Por culpa de esta empresa, la mitad de EE.UU. sufrió la mayor filtración de datos de la historia
Hasta 2017, Equifax, una de las tres agencias de informes de crédito que evalúan la salud financiera de los habitantes y empresas de los Estados Unidos, tenía una reputación alta.
Pero después de ese año, esa imagen quedó hecha añicos y la marca es sinónimo de la mayor filtración de datos de la historia.
Los piratas informáticos robaron los nombres de los clientes, los números de la seguridad social, las fechas de nacimiento y las direcciones en una filtración que se prolongó durante tres meses.
Además, capturaron 209.000 números de tarjetas de crédito y 182.000 documentos que contenían información personal.
Equifax estimó que la mitad de la población estadounidense se vio afectada, pero ese dato no incluyó a las víctimas fuera del país norteamericano.
La compañía de informes crediticios acordó pagar entre 575 millones de dólares y hasta 700 millones de dólares, como parte de un acuerdo con la Comisión Federal de Comercio.
¿Cómo ocurrió la violación de Equifax?
Al igual que los accidentes aéreos, los principales desastres de seguridad de la información suelen ser el resultado de múltiples fallas.
La investigación de violación de Equifax destacó una serie de fallas de seguridad que permitieron a los atacantes ingresar a sistemas supuestamente seguros y filtrar terabytes de datos.
Inicialmente, la empresa fue pirateada a través de un portal web de quejas de consumidores, y los atacantes usaron una vulnerabilidad ampliamente conocida que debería haber sido parcheada pero, debido a fallas en los procesos internos de Equifax, no fue así.
Los atacantes pudieron pasar del portal web a otros servidores porque los sistemas no estaban adecuadamente segmentados entre sí, y pudieron encontrar nombres de usuarios y contraseñas almacenados en texto sin formato que luego les permitieron acceder a otros sistemas.
Los atacantes extrajeron datos de la red en forma encriptada sin ser detectados durante meses porque Equifax no había logrado renovar un certificado de encriptación en una de sus herramientas de seguridad interna.
Equifax no hizo pública la violación hasta más de un mes después de que descubrieron lo que había ocurrido. Las ventas de acciones por parte de los altos ejecutivos en esta época dieron lugar a acusaciones de abuso de información privilegiada.
¿Cuándo ocurrió la violación de Equifax?
La crisis comenzó en marzo de 2017. En ese mes, una vulnerabilidad, denominada CVE-2017-5638, se descubrió en Apache Struts, un marco de desarrollo de código abierto para crear aplicaciones Java empresariales que utiliza Equifax, junto con miles de otros sitios web.
Si los atacantes enviaban solicitudes HTTP con código malicioso metido en el encabezado de tipo de contenido, se podía engañar a Struts para que ejecutara ese código y potencialmente abrir el sistema en el que se estaba ejecutando Struts para una mayor intrusión.
El 7 de marzo, Apache Software Foundation lanzó un parche para las vulnerabilidades; el 9 de marzo, se les dijo a los administradores de Equifax que aplicaran el parche a los sistemas afectados, pero el empleado que debería haberlo hecho no lo hizo.
El departamento de tecnologías de la información (TI) de Equifax realizó una serie de escaneos que supuestamente identificarían los sistemas sin parches el 15 de marzo. De hecho, había múltiples sistemas vulnerables, incluido el portal web antes mencionado,
Una advertencia ignorada
Si bien no está claro por qué el proceso de parcheo se interrumpió en este punto, vale la pena señalar lo que estaba sucediendo en Equifax ese mismo mes.
Para iniciar sesión en los sitios de Equifax, la agencia de crédito había contratado a la consultora de seguridad Mandiant para evaluar sus sistemas.
Mandiant advirtió a Equifax sobre múltiples sistemas sin parches y mal configurados, y la relación se volvió amarga en unas pocas semanas.
Los análisis forenses posteriores al hecho revelaron que la fecha inicial de filtración de datos de Equifax fue el 10 de marzo de 2017: fue entonces cuando el portal web fue vulnerado por primera vez a través de la vulnerabilidad de Struts.
Sin embargo, los atacantes no parecen haber hecho mucho de inmediato. No fue hasta el 13 de mayo de 2017 en lo que Equifax se refirió en un informe como un "incidente separado", que los atacantes comenzaron a moverse desde el servidor comprometido a otras partes de la red y extrajeron datos en serio.
Desde mayo hasta julio de 2017, los atacantes pudieron obtener acceso a múltiples bases de datos de Equifax que contenían información sobre cientos de millones de personas.
Un certificado vencido, la clave de la filtración
¿Cómo pudieron eliminar todos esos datos sin que se dieran cuenta? Ahora hemos llegado a otro error atroz de Equifax.
Al igual que muchos ciberladrones, los atacantes de Equifax encriptaron los datos que estaban moviendo para que a los administradores les resultara más difícil detectarlos.
Al igual que muchas grandes empresas, Equifax tenía herramientas que descifraban, analizaban y luego volvían a cifrar el tráfico de la red interna, específicamente para detectar eventos de exfiltración de datos como este.
Pero para volver a cifrar ese tráfico, estas herramientas necesitan un certificado de clave pública, que se compra a terceros y debe renovarse anualmente.
Equifax no había renovado uno de sus certificados casi 10 meses antes, lo que significaba que no se estaba inspeccionando el tráfico cifrado.
El certificado vencido no se descubrió ni renovó hasta el 29 de julio de 2019, momento en el que los administradores de Equifax comenzaron a notar casi de inmediato toda esa actividad sospechosa previamente ofuscada. Fue entonces cuando Equifax supo por primera vez sobre la violación.
Se necesitó otro mes completo de investigación interna antes de que Equifax publicara la infracción, el 8 de septiembre de 2017.
Muchos altos ejecutivos de Equifax vendieron acciones de la compañía a principios de agosto, lo que generó sospechas de que se habían adelantado a la inevitable caída en el precio de las acciones que se produciría cuando todos salió la información.
Fueron absueltos, aunque un ejecutivo de nivel inferior fue acusado de abuso de información privilegiada.
¿Qué datos se vieron comprometidos y cuántas personas se vieron afectadas?
Equifax trafica específicamente con datos personales, por lo que la información que los atacantes comprometieron y robaron fue bastante profunda y cubría a una gran cantidad de personas.
Afectó potencialmente a 143 millones de personas, más del 40 por ciento de la población de los Estados Unidos, cuyos nombres, direcciones, fechas de nacimiento, números de seguridad social y números de licencias de conducir quedaron expuestos.
Un pequeño subconjunto de los registros, del orden de unos 200.000, también incluía números de tarjetas de crédito.
Este grupo probablemente estaba formado por personas que habían pagado a Equifax directamente para poder ver su propio informe crediticio.
Este último factor es un tanto irónico, ya que a las personas que se preocuparon lo suficiente por su puntaje crediticio como para pagarle a Equifax para que lo revisara también les robaron la mayoría de los datos personales, lo que podría conducir a un fraude que luego dañaría su puntaje crediticio.
Pero sucedió algo divertido cuando el país se preparó para la ola de robo de identidad y fraude que parecía inevitable después de esta violación: nunca sucedió. Y eso tiene todo que ver con la identidad de los atacantes.
¿Quién fue responsable de la violación de datos de Equifax?
Tan pronto como se anunció la violación de Equifax, los expertos en seguridad de la información comenzaron a controlar los sitios de la Web oscura , esperando grandes cantidades de datos volcados a la Dark Web que pudieran estar conectados.
Esperaron y esperaron, pero los datos nunca aparecieron. Esto dio lugar a lo que se ha convertido en una teoría ampliamente aceptada: que Equifax fue violada por piratas informáticos patrocinados por el Estado chino cuyo propósito era el espionaje, no el robo.
La brecha inicial el 10 de marzo fue seguida por más de dos meses de inactividad antes de que los atacantes comenzaran a moverse abruptamente hacia objetivos de alto valor dentro de la red de Equifax.
Los investigadores creen que la primera incursión la lograron piratas informáticos relativamente inexpertos que usaban un kit de piratería fácilmente disponible que se había actualizado para aprovechar la vulnerabilidad de Struts, que en ese momento tenía solo unos días y era fácil de explotar.
Es posible que hayan encontrado el servidor Equifax sin parches usando una herramienta de escaneo y no se dieron cuenta de cuán potencialmente valiosa era la empresa que habían violado.
Eventualmente, incapaces de ir mucho más allá de su éxito inicial, vendieron su punto de apoyo a atacantes más hábiles.
¿Y por qué el gobierno chino estaría interesado en los registros de datos de Equifax? Los investigadores relacionan el ataque con otras dos grandes infracciones que tampoco resultaron en un volcado de datos de identificación personal en la web oscura: el hackeo de 2015 de la Oficina de Administración de Personal de EE. UU . y el hackeo de 2018 de las marcas de hoteles Starwood de Marriott.
Un océano de datos privados
Se supone que todos fueron parte de una operación para construir un enorme "océano de datos" sobre millones de estadounidenses, con la intención de utilizar técnicas de big data para aprender sobre los funcionarios del gobierno de los EE.UU. y los agentes de inteligencia.
En particular, la evidencia de funcionarios o espías estadounidenses que tienen problemas financieros podría ayudar a la inteligencia china a identificar posibles objetivos de intentos de soborno o chantaje.
En febrero de 2020, el Departamento de Justicia de los Estados Unidos acusó formalmente a cuatro miembros del Ejército chino del ataque.
Fue un movimiento muy extraño, porque EE. UU. rara vez presenta cargos penales contra agentes de inteligencia extranjeros para evitar represalias contra los agentes estadounidenses.
Más eslabones en la cadena de errores de Equifax
De todos modos, una vez que se hizo pública la violación, la respuesta inmediata de Equifax no ganó muchos aplausos.
Entre sus tropiezos estaba la creación de un dominio dedicado separado, equifaxsecurity2017.com, para alojar el sitio con información y recursos para los potencialmente afectados.
Este tipo de dominios similares a menudo se usan para estafas de "phishing", por lo que pedirles a los clientes que confíen en este fue una falla monumental en el procedimiento de seguridad de la información.
Peor aún, en múltiples ocasiones, las cuentas oficiales de las redes sociales de Equifax dirigieron erróneamente a las personas a securityequifax2017.com.
Afortunadamente, la persona que había tomado esa URL la usó para siempre, dirigiendo a los 200.000 visitantes que recibió al sitio correcto .
Mientras tanto, el verdadero sitio de filtración equifaxsecurity2017.com fue considerado inseguro por varios observadores.
El lenguaje en el sitio (posteriormente retirado por Equifax) implicaba que el solo hecho de verificar si estaba afectado significaba que estaba renunciando a su derecho a demandar por ello.
Y al final, si se vio afectado, se le indicó que se inscribiera en un servicio de protección de identificación de Equifax, de forma gratuita. ¿Quién confiaría en la empresa en ese momento?
¿Qué pasó con Equifax después de la violación de datos?
Dos años después de la brecha, la compañía dijo que había gastado 1,4 mil millones de dólares en costos de limpieza, incluidos "costos incrementales para transformar nuestra infraestructura tecnológica y mejorar la aplicación, la red y la seguridad de los datos".
En junio de 2019, Moody's rebajó la calificación financiera de la empresa en parte debido a las enormes cantidades que tendría que gastar en seguridad informática en los próximos años.
En julio de 2019, la empresa llegó a un acuerdo sin precedentes con la FTC, que cerró una demanda colectiva en curso y requerirá que Equifax gaste al menos 1.380 millones de dólares para resolver las reclamaciones de los consumidores.
¿Cuáles son las lecciones aprendidas de la violación de Equifax?
Si quisiéramos hacer un estudio de caso de la violación de Equifax, ¿qué lecciones sacaríamos de él?
Manejar los conceptos básicos correctos sobre los datos
Ninguna red es invulnerable. Pero Equifax fue violado porque no pudo parchear una vulnerabilidad básica, a pesar de tener procedimientos para asegurarse de que dichos parches se aplicaran con prontitud.
Y grandes cantidades de datos fueron filtradas sin ser detectadas porque alguien olvidó renovar un certificado de seguridad. Equifax había gastado millones en equipo de seguridad , pero se implementó y administró de manera deficiente.
Los silos son defendibles. Una vez que los atacantes estaban dentro del perímetro, podían pasar de una máquina a otra y de una base de datos a otra. Si hubieran estado restringidos a una sola máquina, el daño habría sido mucho menor.
El gobierno de datos es clave, especialmente si los datos son tu negocio
Las bases de datos de Equifax podrían haber sido más mezquinas al revelar su contenido . Por ejemplo, los usuarios solo deben tener acceso al contenido de la base de datos en función de la "necesidad de saberlo".
Dar acceso general a cualquier usuario "de confianza" significa que un atacante puede tomar el control de esas cuentas de usuario y volverse loco.
Y los sistemas deben estar atentos a comportamientos extraños; los atacantes ejecutaron hasta 9.000 consultas a la base de datos muy rápidamente, lo que debería haber sido una señal de alerta.
Los números de la filtración de datos de Equifax
- 76 días: Cantidad de tiempo durante el cual los atacantes estuvieron activos dentro de las redes de Equifax sin ser descubiertos.
- 143 millones: número de consumidores cuyos datos se vieron potencialmente afectados por la filtración.
- 125 dólares: lo máximo que las víctimas pudieron obtener en compensación si sus datos fueron extraídos de los sistemas de Equifax.
- 1,4 mil millones de dólares: cantidad que Equifax gastó en mejorar su seguridad a raíz del incidente.
- 0: número de casos de fraude o robo de identidad que se pudieron rastrear hasta este incidente.