8 sept 2017

Filtración masiva de Equifax expone los datos personales de la mitad de la población de EE.UU.

Equifax, una empresa estadounidense dedicada a la creación de informes de crédito para la industria bancaria, ha protagonizado la que ya es descrita como posiblemente la peor filtración de datos personales de toda la historia. La fuga de información afecta potencialmente a 143 millones de ciudadanos estadounidenses, lo que supone aproximadamente el 44% de la población. Este porcentaje es aún mayor cuando se eliminan del total a los menores de edad.

Ese ataque se llevó a cabo entre mayo y julio de 2017 y peor aún que el volumen de datos filtrados es el tipo de información al que habrían accedido los atacantes. La firma maneja información de cerca de 820 millones de personas y 91 millones de empresas en todo el mundo y admitió hoy que un acceso ilegal a sus bases de datos pudo haber expuesto la información de unos 143 millones
personas.

Según ha reconocido la compañía, el cracker o los crackers han logrado acceder a nombres, números de la seguridad social, fechas de nacimiento, direcciones y, en ocasiones, números del permiso de conducir. En otras palabras, todo lo necesario para lanzar campañas de phishing a gran escala, realizar estafas masivas mediante métodos más convencionales o suplantar la identidad de millones de personas.

Compañías como Equifax, que centran su actividad en recoger información personal relacionada con hábitos de consumo y facturación para la elaboración de informes de crédito (un documento muy común en EEUU de donde se deriva la puntuación de crédito, utilizada por los bancos para determinar si alguien va a ser un buen pagador), se han convertido en uno de los objetivos prioritarios de los cibercriminales. La cantidad y la "calidad" de los datos son muy superiores a los disponibles en las bases de datos de empresas como Yahoo, por lo que los ataques son frecuentes. Lo que no es común es que se salgan con la suya, mucho menos a esta escala.

Equifax, que es una de las tres mayores empresas de su ramo, no solo ha sido criticada por no proteger adecuadamente los datos de las personas en sus bases de datos, sino también por la forma en la que ha respondido al ataque. La compañía se ha tomado más de cinco semanas en reportar el suceso (el ataque tuvo lugar el pasado 29 de julio), pero además permitió que tres ejecutivos de la empresa vendieran más de 1,8 millones de dólares en acciones antes de hacer pública la filtración. Tras el anuncio, la cotización se ha desplomado de forma instantánea.

Por si todo esto no fuera suficiente, Equifax ha creado un sitio distinto al oficial para notificar a las personas cuyos datos pueden formar parte de la filtración. No solo es un problema desde el punto de vista de la confianza (un sitio con su dominio propio resulta menos confiable que un subdominio bajo el sitio oficial), sino que además está construido sobre Wordpress, que no es una solución muy segura para un que sitio pide a los visitantes su primer apellido y su número de la seguridad social (salvo las tres últimas cifras) para comprobar si se han visto afectados por la filtración.
Desde Equifax se señala que "no se han encontrado evidencias de que información personal de consumidores en cualquier otro país haya sido impactada".
Actualización: Según la nota de prensa publicada por la compañía, la brecha también permitió el acceso a los números de tarjeta de crédito de 209.000 consumidores estadounidenses y a documentos relacionados con disputas de otros 182.000. Equifax también ha descubierto que se accedió de forma no autorizada a "información personal limitada" de residentes en Reino Unido y Canadá.

Actualización: Ese ataque se llevó a cabo entre mayo y julio de 2017; sin embargo, se hizo público recién en septiembre. ¿Qué pasó entre medio? Pasó que tres altos mandos de Equifax vendieron acciones de la compañía sumando una cantidad cercana a los 2 millones de dólares.

Los reportes de Bloomberg y TechCrunch dice la venta de acciones sucedió el 2 de agosto, apenas tres días después que la compañía supiera del problema. Sin embargo en Equifax la palabra oficial es que estos tres ejecutivos no sabían lo que había sucedido y además, que la venta de acciones equivale a un porcentaje muy pequeño de las que tenían en su poder.

Actualización: un portal en la Dark Web dice ques tiene los datos de Equifax a la venta y requiere el pago de BTC 600 antes del 15 de septiembre. De otro modo publicarán la información.

¿Cómo puedo averiguar si fui afectado?

Equifax ha creado un sitio para ayudar a la gente a averiguar si fueron uno de los afectados por el hackeo. Sin embargo, el proceso no es muy claro porque requiere hacer un proceso de varios pasos que toma por lo menos una semana. Aquí un vistazo general al proceso:

Primer paso: Ve a la página de registro y haz clic en "Begin enrollment" (Comienza el registro -- la página no parece estar disponible en español). En la pantalla que aparece, escribe tu nombre y los últimos seis dígitos de tu número de seguridad social. Varios periodistas de CNET lo han intentado, y han recibido una de dos notificaciones:
  • Equifax te dará una fecha para registrarte al servicio de monitorización de crédito.
  • Equifax te dirá pronto que no fuiste impactado.
Por ahora, no queda claro qué significan estas dos notificaciones. 

Segundo paso: Si te aparece una fecha de registro, anótala. Equifax no solicita tu dirección de correo electrónico, así que no te dará un recordatorio de la fecha. 

Tercer paso: En tu fecha o poco después del registro, ve a esta página para continuar con el proceso de registro. Tienes que finalizar el proceso para el 21 de noviembre. Según Equifax, aquellos que fueron afectados se están registrando de forma gratuita a una suscripción de un año a Trusted ID. Trusted ID es una firma de protección de identidad propiedad de Equifax. Según la empresa, el servicio cuesta normalmente US$27.99 al mes en un plan familiar.

Fuente: El otro lado

Suscríbete a nuestro Boletín

1 comentario:

  1. La realidad supera a la ficción. La tercera temporada de Mr. Robot tendrá que esmerarse. Habría que hacer hincapié en las identidades basadas en Blockchain. No es algo sustentable que nuestras ID digitales dependan de una empresa.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!