Ya habrás oído hablar del caso Equifax, la repercusión de este caso no se debe, sólo, a la magnitud del robo de datos, sino a lo delicado del tipo de datos que maneja esta compañía.
Equifax es la agencia de informes de crédito más grande de Estados Unidos y está presente en otros 23 países. Con lo que custodia datos sensibles de millones de personas, que van desde datos personales, de contacto, identificación fiscal y en algunos casos datos bancarios y de tarjetas de crédito.
La compañía anunció el pasado 7 de septiembre que había sufrido un ciberataque que había dejado expuestos los datos de un elevado número de clientes. Específicamente 143 millones, su mayoría en EEUU, aunque también algunos en Reino Unido y parte de Canadá.
Con este anuncio se desata la polémica. Se intenta averiguar que ha pasado y porqué. Y los posibles afectados intentan obtener más información y alguna solución por parte de la empresa.
¿Qué ocurrió?
La investigación apunta a que el robo de datos fue posible porque Equifax no actualizó una de sus herramientas. Apache Struts CVE-2017-5638, a pesar de que el parche estaba disponible unos meses antes del ataque.
¿Qué hizo mal Equifax?
- Mostraron desidia en la custodia de los datos, al no mantener actualizado su software.
- Esperaron mucho tiempo para anunciar el fallo. Fueron conscientes del problema desde el 29 de julio de este año y no lo anunciaron hasta el 7 de septiembre, más de un mes después.
- 3 de sus directivos vendieron sus acciones por unas cifras elevadas antes del anuncio del ciberataque y de que estas se desplomasen.
- No comunicaron a los afectados el problema de manera directa, ofrecieron una página web de consulta, y adicionalmente esta funcionaba mal.
- Inicialmente propusieron un servicio de pago a los clientes para monitorizar los problemas creados por el ataque (luego rectificaron).
¿Qué se puede aprender?
- Las empresas deben de tener una política eficiente de recuperación cibernética, que incluya parches rápidos cuando las actualizaciones estén disponibles.
- Una buena política de protección de datos debe incluir un sistema de cifrado robusto de los grandes bloques de información sensible.
- Las organizaciones deben instaurar una sistema estricto de accesos a los sistemas principales, como los centros de datos.
- Es imprescindible someterse a auditorias periódicas en ciberseguridad, preferiblemente por consultorías externas (estas serán más objetivas).
- También los proveedores deben ser auditados o se convertirán en el eslabón débil de la cadena.
¿Qué consecuencias a medio plazo puede tener esta fuga de datos masiva?
El peligro al que se enfrentan los afectados y el sector financiero, a partir de ahora, es que sus datos están a merced de ciberdelicuentes en la dark web. Es impredecible lo que puede llegar a pasar a partir de ahora, pero deben de estar alerta.
Los expertos señalan que los bancos y las instituciones deben vigilar cualquier tipo de acceso o transacciones fraudulentas. Pues podrían ser víctimas de ataques dirigidos de phishing, spear phishing , entre otros.
La banca debería:
- Aumentar la sensibilidad de monitoreo de transacciones
- Aplicar un sistema de autentificación multifactorial.
Actualmente hay varias denuncias en curso por este caso en los países donde opera la compañía, falta ver el resultado de estas contiendas legales. Mientras tanto, lo que hay que hacer es aprender de esto y tomar todas las medidas de protección que estén a nuestro alcance.
En Syneidis tenemos soluciones de ciberseguridad diseñadas especialmente para ti.