Inicio » Ciberseguridad » Una vuelta al cole movidita: Equifax, la enésima fuga de datos masiva

Una vuelta al cole movidita: Equifax, la enésima fuga de datos masiva

la fuga de datos de equifax

Si hace unas semanas afirmábamos que en el sector de la ciberseguridad habíamos vivido unos meses agitados, impropios de un período como el estival, la vuelta al cole no ha sido ni mucho menos apacible, sobre todo en lo que a incidentes se refiere. Hace unos días, ha vuelto a pasar. Los medios de todo el mundo se hacían eco de la noticia de que la compañía americana Equifax, había sido víctima de un ciberataque.

Incidentes relacionados con la ciberseguridad

Hace tiempo que nos acostumbramos a leer en medios de comunicación, noticias relacionadas con incidentes relacionados con la ciberseguridad de diversa índole, impacto, tipología o magnitud.

Dentro de todos estos diferentes tipos de incidentes, el robo o filtrado de datos sensibles o confidenciales de una organización es algo a lo que desafortunadamente nos hemos ya habituado. De hecho, a lo largo de los años son ya unas cuantas las veces que hemos podido leer o escuchar acerca de «la mayor fuga de datos de la historia».

Cifras estratosféricas de millones de registros que albergan datos personales o financieros de clientes y usuarios de compañías punteras en todo el mundo, algunas que pertenecen incluso al sector tecnológico como Yahoo o Adobe.  En este sitio web es posible encontrar información detallada acerca de las brechas de datos más sonadas de los últimos años.

Uno de los hackeos más graves de la historia

De hecho, en muchos de los medios de comunicación que han hecho eco sobre el ciberataque de Equifax se hablaba de este ataque como uno de «los hackeos más graves de la historia». Gartner ha otorgado a esta fuga de datos una calificación de 10 sobre 10 en cuanto a criticidad.  ¿No fue WannaCry galardonado con el premio al «mayor ciberataque de la historia«?  ¿Por qué entonces se habla en este caso de uno de los más graves?

Además de por el número de posibles clientes afectados por la fuga de datos, que asciende a 143 millones de estadounidenses, sin duda alguna el revuelo mediático generado a raíz de incidente, es a causa del tipo de compañía atacada, así como la naturaleza de los datos que han podido quedar expuestos.

La firma americana Equifax

Para quien aún no haya leído algo acerca del incidente, recordemos que Equifax es una reconocida firma americana de información sobre solvencia crediticia.

Esto quiere decir que los datos que almacena acerca de clientes, que son en definitiva los datos exfiltrados,  incluyen nombre, apellidos, datos de contacto, licencia de conducir, números de la seguridad social así como información acerca de préstamos, situación financiera, fiscal y hasta tarjetas de crédito.

El pasado 7 de septiembre los responsables de Equifax anunciaban haber sido víctimas de esta fuga de información, que habían identificado meses atrás, concretamente el 29 de Julio. Aun así, decidieron esperar hasta septiembre para comunicarlo al mundo.

Esto ha generado también algo de controversia , puesto que Bloomberg ha informado de que tres ejecutivos de la compañía vendieron acciones por valor casi de 1,8 millones de dólares en los días posteriores a que la firma descubriera la filtración de datos.

LEE  Salidas profesionales después de estudiar Ciberseguridad

Pero antes de que fuera reconocida públicamente. De hecho, nada más trascender la brecha de seguridad, las acciones de Equifax cayeron un 19%.

Según el presidente de la compañía, los cibercriminales pudieron acceder a más de 209.000 números de tarjetas de crédito de clientes estadounidenses y otros documentos con información personal de cerca de 182.000 clientes.

Las primeras noticias apuntaban a que, al parecer, los ciberdelincuentes consiguieron sustraer toda esta información a raíz de una vulnerabilidad en la aplicación web de la compañía. Según los responsables de Equifax, el acceso no autorizado fue identificado entre mayo y julio de 2017.

Si bien no encontraron evidencias de accesos no autorizados a las bases de datos de informes de créditos comerciales o de clientes, lo cierto es que gran cantidad de información sensible fue sustraída.

Según parece ni los propios hackers esperaban encontrar tanta información. De hecho han pedido un rescate de 600 BTC, aproximadamente 2.6 millones de dólares para no hacer pública la información exfiltrada.

A medida que han ido pasando los días como suele ser habitual, hemos podido conocer más noticias acerca del incidente. A día de hoy, según la información de la que se dispone, parece ser que los atacantes hubieran podido explotar una vulnerabilidad en el framework de desarrollo de aplicaciones Apache Struts.

Esto ha generado también bastante revuelo en el mundo de la seguridad, puesto que de alguna manera daba la sensación de que desde Equifax o de algunos sectores, se responsabiliza a los miembros del proyecto Apache del incidente. Algo que carece de sentido alguno. Tanto es así, que desde la fundación Apache se ha publicado un comunicado oficial para dar su visión acerca de los hechos.

En dicho comunicado, lamentan el incidente de seguridad y la consiguiente fuga de información sufrida por la compañía, así como aclaran todo lo relativo a las vulnerabilidades a las que se ha hecho referencia.

Y es que, aun con toda la información publicada, se desconoce aún qué vulnerabilidad de Struts ha sido utilizada por los ciberdelincuentes para poder comprometer Equifax.

Un artículo publicado en Quartz.com, al que se referencia en el comunicado, asume que se trata de la vulnerabilidad catalogada con el CVE-2017-9805, que fue anunciada públicamente el 4 de Septiembre, junto con actualizaciones de Struts que la corregían junto a otras vulnerabilidades.

Hemos de recordar que el ciberataque del que estamos hablando fue detectado en Julio por los responsables de Equifax, por lo que si se ha utilizado esta vulnerabilidad para llevarlo a cabo, en aquel entonces se trataba de un Zero Day, como afirman los responsables de Apache en su comunicado.

Es decir, una vulnerabilidad no conocida ante la cual ni el propio fabricante nos puede proteger. Algo a lo que todos estamos expuestos. Por otro lado, se habla también de que la vulnerabilidad CVE-2017-9805 una vez identificada y solucionada correctamente en la actualización de Apache Struts, existía desde hace 9 años.

LEE  En qué consiste el text mining en las empresas: cómo funciona

Esto es algo inherente al mundo de la seguridad y todo lo que en él acontece. Una cosa es el tiempo que transcurre desde que se conoce una vulnerabilidad, otra bien diferente es el tiempo que la vulnerabilidad está presente en un determinado software, dispositivo, programa o tecnología hasta que es descubierta, y, finalmente, cuando es hecha pública.

Esto es algo totalmente aleatorio que depende de que un investigador la encuentre, y decida reportarla. Porque también es posible que decida reservarla para uso propio o venderla al mejor postor, entre los que siempre se encuentran gobiernos y agencias de inteligencia. Hemos podido ver otras vulnerabilidades míticas como Heartbleed o Shellshock que también fueron descubiertas después de muchos años

Por otro lado, también cabe la posibilidad de que el ataque se pudiera haber consumado explotando una vulnerabilidad crítica encontrada en Apache Struts en Marzo del presente año, que fue corregida en su día. Por lo que en dicho caso no habría excusa alguna por parte de los responsables de Equifax , ya que habrían pasado no días ni semanas, sino meses desde que el parche fuera publicado. Incluso habiéndose reconocido la primera intrusión en mayo, habría pasado más de un mes desde la publicación de la vulnerabilidad.

Lo que está claro es que, sea a través de un zero day o una vulnerabilidad conocida, aunque cambia bastante el escenario en cuanto a si se podía haber evitado o mitigado el impacto del ataque, lo cierto es que hemos presenciado una vez más a una auténtica masacre digital, que ha puesto en entredicho el sistema crediticio de Estados Unidos. Información que debería ser de extrema confidencialidad, podría estar ahora en manos de cualquiera.

Da que pensar que sólo a raíz de una vulnerabilidad en un componente de una aplicación web se hayan podido filtrar tal cantidad de datos. Podría deducirse que se trata de un ataque dirigido con el objetivo concreto de obtener precisamente lo que los ciberdelincuentes han obtenido.

Equifax ha puesto a disposición de sus clientes un sitio web en el cual los clientes puedan saber si sus datos pueden haber sido comprometidos como resultado del ciberataque. Es paradóijco que, para saber si sus datos sensibles han sido expuestos, tengan que facilitar también datos personales.

Son ya unas cuantas las grandes compañías estadounidenses que han sufrido en sus carnes los devastadores efectos de un ciberataque que concluye con una fuga de datos de tal magnitud y calibre. JP Morgan, la base de datos de votantes americanos, Adobe, Yahoo, Sony, AOL, Dropbox.

Desgraciadamente, no es el primero de este tipo de incidentes y probablemente no será el último. Como podemos observar, en un mundo como el que vivimos es imposible garantizar que nuestros sistemas estén 100% seguros, puesto que lo que hoy es seguro mañana puede no serlo.

LEE  Apps gratuitas de ciberseguridad

Aun así, existen formas de alcanzar un nivel confiable para la seguridad de nuestros sistemas, tecnologías o dispositivos. Desconocemos, con la información de la que disponemos, si los responsables de Equifax podían haber hecho algo para evitar que esto sucediera o, al menos, mitigar el impacto de la intrusión.

Esto es algo que no podemos valorar. Lo que sí queda claro una vez más, es que los ataques se suceden sí o sí. Por eso a día de hoy, en este sector, más allá de intentar evitar que los ataques se produzcan, se trabaja desde las organizaciones, fabricantes y proveedores de seguridad en la ya conocida respuesta a incidentes.

En disponer de un plan de actuación que poder aplicar en situaciones como las vividas por Equifax, donde tan importante es la identificación del incidente como, por supuesto, su resolución e incluso su comunicación.

Como ya señalamos, desde julio a septiembre, transcurrió un tiempo en el que algunos ejecutivos de la firma aprovecharon para vender sus acciones, que cayeron en picado tras la comunicación del incidente.

Es un mundo complejo este de la ciberseguridad. De ahí que sea especialmente importante formarse adecuadamente, mantenerse actualizado,  reciclarse y dotar a nuestra organización de profesionales especializados.

En aquellos casos en los que no sea posible formar a nuestros recursos internos, es preferible externalizar el trabajo. Contar con un equipo de élite, como los SWAT, siempre alerta y vigilantes que vengan a ayudarnos cuando las cosas se pongan feas.   Es la única manera de poder hacer frente al día a día que nos espera.

Feliz vuelta al cole para todos y happy hacking 😉

Deepak Daswani, Security Architect. Deloitte, S.L.Deepak Daswani (@dipudaswani)

Ingeniero en Informática. Experto en Ciberseguridad Deloitte CyberSOC Academy. Conferenciante y colaborador de medios de comunicación.

Formación Relacionada

Las dos pestañas siguientes cambian el contenido a continuación.
Equipo de profesionales formado esencialmente por profesores y colaboradores con amplia experiencia en las distintas áreas de negocio del mundo empresarial y del mundo académico. IMF Smart Education ofrece una exclusiva oferta de postgrados en tecnología en colaboración con empresa como Deloitte, Indra o EY (masters en Big Data, Ciberseguridad, Sistemas, Deep Learning, IoT) y un máster que permite acceder a la certificación PMP/PMI. Para ello IMF cuenta con acuerdos con universidades como Nebrija, la Universidad de Alcalá y la Universidad Católica de Ávila así como con un selecto grupo de universidades de Latinoamérica.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

¡Noticias, eventos y formación!

Suscríbete ahora y recibe los mejores contenidos sobre Negocios, Prevención, Marketing, Energías Renovables, Tecnología, Logística y Recursos Humanos.

Acepto recibir comunicaciones comerciales por parte del grupo IMF
He leído y acepto las condiciones


Una vuelta al cole movidita: Equifax, la enésima fuga de datos masiva

Los medios de todo el mundo se hacían eco de la noticia de que la compañía americana Equifax, había sido víctima de un ciberataque.