Saltar al contenido

Hackean matriz de Equifax – Infocorp en USA y compañía testifica en el Congreso de los Estados Unidos

Equifax la compañía matriz que se encuentra detrás de Infocorp en Perú y en diferentes empresas con otros nombres en Latinoamérica fue víctima de un hackeo. Los peritos informáticos  revelaron que la primera vulnerabilidad en su sistema fue en Mayo de este año.

La empresa Equifax es famosa por sus cálculos de riesgo crediticio, que le da a los consumidores cierta seguridad de acceso a préstamos para calificar a la compra de viviendas, automóviles y afines; información privilegiada y datos (como nombres completos, direcciones, números telefónicos y de tarjetas de créditos, DNI, licencias para conducir y cualquier otro documento considerado importante para la solicitud de créditos) que en cualquier entidad bancaria son considerados altamente confidenciales; han sido robados tras lo que parece ser el robo de información más prominente de los últimos años. Los usuarios temen que datos financieros y estados de cuenta sean revelados.

Richard Smith de la empresa de calificación crediticia Equifax renunció su cargo como Presidente y CEO de Equifax el mes pasado en Setiembre. Esta semana Smith testificó ante el Subcomité de Comercio Digital y Protección del Consumidor del Comité de Comercio de la Cámara en el Congreso de los Estados Unidos.

Una cantidad en aumento, este último lunes, la compañía anunció que el número total de personas afectadas por su incumplimiento no es de 143 millones, la cantidad que se reveló por primera vez en Setiembre, sino de hecho 145,5 millones.

Con fecha de los primeros días de Setiembre, Equifax contaba con más de 820 millones de usuarios a nivel mundial, incluyendo clientes en países de Latinoamérica como Argentina, Brasil, Chile, Ecuador, Paraguay, Perú y Uruguay. Uno de ellos, Veraz en Argentina, decidió prescindir de Equifax a partir del hecho.

Los legisladores de Estados Unidos presionaron en el interrogatorio a Smith sobre los ejecutivos de la compañía que vendieron acciones en la compañía después de que se detectara la actividad sospechosa. Los días 1 y 2 de agosto, el director financiero de Equifax, John Gamble, y otros dos ejecutivos, Rodolfo Ploder y Joseph Loughran, vendieron un total de 1,8 millones de dólares en acciones.

Smith describió a los ejecutivos como «Hombres honorables, Hombres con integridad». Dijo que en ese momento en el tiempo la empresa no era consciente de que los datos de los consumidores se había accedido.

Algunos puntos asombrosos y decepcionantes de la última audiencia del día martes:

1. La cronología de cuándo los ejecutivos sabían lo que acerca de la violación es a la vez desalentador y sospechoso. Equifax dijo anteriormente que fue violada el 13 de mayo y que descubrió el problema el 29 de julio. La empresa notificó al público el 7 de septiembre.

2. El proceso de remiendo de Equifax fue totalmente inadecuado. Los atacantes entraron inicialmente en el portal de conflictos de clientes afectados a través de una vulnerabilidad en la plataforma Apache Struts, un servicio de aplicaciones web de código abierto popular entre los clientes corporativos.

3. Equifax almacenó la información del consumidor sensible en texto sin cifrarlo. Cuando el representante Adam Kinzinger de Illinois le preguntó qué datos codifica Equifax en sus sistemas, Smith admitió que los datos comprometidos en el portal de la disputa del cliente se almacenaban en texto claro y que los atacantes podrían haberlos leído fácilmente.

 

 

4. El recientemente renunciado CEO de Equifax sólo mandó revisiones de seguridad cada trimestre. Hacia el final de la audiencia, Smith dijo que generalmente se reunió con representantes de seguridad y de TI una vez al trimestre para revisar la postura de seguridad de Equifax.

5. Equifax no comentará ni descartará a los atacantes del estado-nación. No hay ninguna evidencia pública hasta el momento de que un estado-nación perpetró la violación Equifax, pero ha habido algunos pequeños indicios de que podría ser una posibilidad.

6. Equifax hizo que su sitio de notificación de infracción fuera un dominio independiente porque su sitio principal no estaba a la altura de la tarea. Uno de los principales errores de la respuesta de violación de Equifax fue su decisión de alojar un sitio de notificación de Equifaxsecurity2017.com como un dominio independiente en lugar de su sitio principal establecido y de confianza en Equifax.com. El sitio no pudo atender la demanda a nivel mundial.

Un gran incógnita del uso de la información por parte de los hackers y los derechos de protección de datos estarán en controversia en estas semanas en los Estados Unidos.

Tal vez te podría interesar: