Equifax es una de las tres empresas de informes de crédito más importantes de Estados Unidos. En septiembre de 2017 anunció que había sido víctima de un hackeo que afectó a más de 140 millones de sus clientes en ese país.
Los atacantes explotaron una vulnerabilidad en un ambiente de código abierto (open source) llamado Apache Struts, que Equifax utilizaba en su plataforma Web de disputas, para acceder y extraer datos personales (PII-Personally Identifiable Information) tales como nombre de la persona, dirección, fecha de nacimiento, número de seguridad social, número de la licencia de manejo y más de doscientos mil números de tarjetas de crédito.
Alrededor de este evento han sucedido múltiples situaciones que resultan interesantes. A manera de resumen, listo las principales en una línea de tiempo:
Como parte de los hechos interesantes de este caso, puede destacarse que el director general (CEO) tuvo que comparecer en diversas ocasiones y fue cuestionado fuertemente sobre su involucramiento en el manejo, toma de decisiones y accionar de la organización sobre los temas relativos a la ciberseguridad, debiendo responder a preguntas como:
- ¿Tuvo alguna reunión con su CIO o con su Departamento de Seguridad acerca de este asunto antes del 31 de julio?
- ¿Tuvo alguna reunión con ellos sobre otros temas de seguridad entre marzo y julio?
- ¿Cuántas reuniones tuvo? ¿Por qué no abordó esta discusión en sus reuniones?
- ¿Para cualquier persona que está en su equipo de Equifax, existe algo más importante que proteger la información personal (PII) de sus clientes? ¿Identificaría esto como la responsabilidad número uno de su empresa y de cada uno de sus empleados?
En palabras del CEO «hubo un error humano al no aplicar un parche, y un error técnico cuando el escáner no detectó que la vulnerabilidad estaba pendiente de resolver». Sin embargo, de lo que hoy se sabe, podemos observar algunos otros aspectos como:
- Falta de monitoreo de la integridad de los archivos.
- Falta de segmentación de la red.
- No se logró identificar oportunamente el ataque entre otras cosas por falta de visibilidad.
- El reporte a las autoridades y a los clientes no fue oportuno.
- Mal manejo organizacional de la crisis.
- Falta de involucramiento de la alta dirección en temas de ciberseguridad.
Todo lo anterior ocasionó un enorme impacto en la empresa:
- Caída del valor de la acción.
- Pérdida de reputación de la empresa.
- Afectación a la ciudadanía.
- Efectos financieros, pues deberán tener un fondo de hasta $700 millones de dólares para compensar a los clientes.
- Cada cliente que demuestre que fue afectado, es decir, que ha tenido que invertir tiempo o dinero para resolver la situación (cargos no reconocidos, gastos de abogados, etc.), podrá recibir $20,000 dólares.
- Los clientes afectados podrán recibir servicios de monitoreo de su estatus crediticio durante 10 años; los primeros 4 años con cualquiera de las 3 empresas principales y los restantes 6 directamente con Equifax. Si el cliente ya tiene contratado el servicio de monitoreo crediticio, podrá optar por recibir $125 dólares como compensación.
- El director general se retiró, pero, dado que una investigación interna determinó que no hubo negligencia de su parte, probablemente reciba bonos de acciones pendientes por un monto de $20 millones de dólares.
- El director de TI y un ingeniero que construyó parte del portal Web involucrado en el incidente de seguridad, fueron encontrados culpables y sentenciados. El primero a 4 meses de cárcel y el segundo a 8 meses de arresto domiciliario; ambos por tomar ventaja de información privilegiada relativa a la brecha de seguridad, pues vendieron sus acciones antes de que el incidente se anunciara a las autoridades y se diera a conocer públicamente, poniendo en duda los valores y ética de la firma entera.
Así pues, a manera de cierre podemos concluir con, al menos, las siguientes lecciones:
- Aplicar de forma consistente y repetible las mejores prácticas básicas, como la aplicación de parches, segmentación de redes, identificación y clasificación de activos, monitoreo de integridad de archivos, reuniones periódicas de revisión, vigilancia y seguimiento.
- El manejo de la ciberseguridad debe ser un tema de negocio y no meramente técnico. Se requiere el involucramiento de la alta dirección, la asignación adecuada de recursos, la identificación y mitigación de los riesgos asociados con las altas expectativas de crecimiento del negocio, implementar un programa de ciberseguridad sistémico, formar una cultura de seguridad y refrendarla con los valores organizacionales.
- Contar con un proceso de respuesta a incidentes que contemple aspectos complementarios como mecanismos de comunicación para dar a conocer de forma adecuada la situación a las partes interesadas y resolver sus dudas, conocer a quiénes y en qué momento se debe notificar por ley o regulación, contar con contratos de servicios de respuesta a incidentes (conocidos como «incident response retainers») para poder iniciar la investigación oportunamente.
Referencias:
https://interwork.com/equifax-cyber-attack-happened-protect/
https://techcrunch.com/2018/12/10/equifax-breach-preventable-house-oversight-report/
https://qz.com/1491250/the-equifax-breach-was-entirely-preventable-us-house-report-says/
https://www.welivesecurity.com/2019/07/01/equifax-executive-jail-insider-trading/
En el ciberataque a Equifax, lo más recomendable hubiese sido implementar una revisión exhaustiva de las políticas de seguridad de la información y realizar un análisis de riesgo más riguroso. La importancia de tener un buen sistema de seguridad radica en la protección de datos sensibles, la continuidad del negocio y la confianza del consumidor. Un sistema robusto puede prevenir accesos no autorizados, mitigar el impacto de ciberataques y asegurar que la información crítica está protegida adecuadamente, eh actualizarlo cada 3 meses, todos los ciber ataques.