Equifax, la mayor agencia del mundo de informes de créditos al consumo, que en España gestiona el principal listado de morosos a través de la Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF). anunció el 7 de Septiembre que le habían robado datos de 200 millones de personas. Los autores de este «robo de información» son un grupo de hackers que se llaman PastHole Hacking Team.
Equifax dijo la semana pasada que el hackeo fue posible gracias a una vulnerabilidad antigua en un servidor Web que no tenía los parches actualizados. Los parches estaban disponibles para el fallo a mediados de marzo, pero no está claro por qué todavía no estaban aplicados en los servidores de Equifax.
Este hackeo podría convertirse en el peor «hackeo» financiero de la historia (Ya le ha costado su puesto al responsable de Seguridad y al de IT de la compañía), ya que los datos crediticios ( Detalles de tarjeta de crédito, números de seguridad social, residencia fiscal… ) de 200 millones de personas podrían ser filtrados y vendidos.
Para hacer un poco más feo este hackeo, Equifax tardó más de 6 semanas en hacerlo público y, en vez de avisar a los afectados, montó una página web para que cada cual comprobase si estaba afectado. Esta web, en un primer momento. era tan precaria que los principales navegadores la confundieron por un engaño de «phishing». Además, se vio que los resultados obtenidos eran distintos al introducir los mismos datos.
Pero, ¿cuales son las consecuencias de este ataque?
- Los datos robados se pueden emplear para cometer fraude (realizar compras, solicitar préstamos, defraudar a hacienda)
- Junto con otras brechas de seguridad, se pueden conseguir perfiles completos.
- Genera dudas acerca de la seguridad de nuestra información. Si una gran multinacional ha sido hackeada por no aplicar un parche, ¿Los datos que tengan otras compañías son seguros?
- Pérdidas millonarias para la compañía
Y, ¿ qué pueden hacer las empresas? Pues basarse en dos principios a la hora de gestionar sus riesgos
- Adoptar un enfoque de defensa en «capas» (Three lines of defense) para protegerse frente este tipo de ataques y asumir que es un riesgo real. Así es como las sociedades piensan acerca de muchos otros riesgos. Los coches son máquinas peligrosas, por ejemplo. Los códigos de conducción y las señales de tráfico intentan evitar que ocurran accidentes. Pero eso no siempre funciona, por lo que los coches están diseñados para proteger a sus ocupantes en caso de un accidente. Si eso no es suficiente, los servicios de emergencia y los hospitales tratan de arreglar el daño. Es más fácil y efectivo «prevenir» que curar.
- Tratar la información como si fuese un producto, ( incluyendo cuanta tenemos y donde la guardamos). La información es el «nuevo petróleo». Esta analogía es útil, ya que aparte de valioso, el petróleo es tóxico e inflamable (y sus vertidos pueden ser peligrosos)
Si estás interesado en leer más acerca de este ataque, te recomendamos que visites los siguientes links
