Hack de Equifax expone datos de 143 millones de consumidores
Equifax a principios de septiembre informó al mundo sobre lo que podría ser una de las mayores violaciones de datos de EE. UU. Hasta la fecha.
El hackeo de la compañía de puntaje de crédito al consumo expuso los datos personales de aproximadamente 143 millones de personas. Eso es casi la mitad de la población de 326,4 millones del país. Algunos residentes canadienses y británicos también se vieron afectados.
Las partes no autorizadas pudieron acceder a los números de tarjeta de crédito, números de licencia de conducir, nombres y números de Seguro Social debido a lo que Equifax describió como “una vulnerabilidad de la aplicación del sitio web de los Estados Unidos”.
Eso sucedió entre mediados de mayo y julio. Equifax dice que se dio cuenta del problema el 29 de julio y “actuó de inmediato para detener esa intrusión”.
Desde entonces, Equifax ha estado trabajando con la policía. La compañía también contrató a una empresa de seguridad cibernética para investigar la situación. Esa investigación debería concluir “en las próximas semanas”, dijo Equifax en su comunicado de prensa del 7 de septiembre.
La compañía está enviando cartas a aquellos cuyos números de tarjeta de crédito o documentos de disputa con información personal fueron accedidos. También ha creado un sitio web y ha circulado un número de centro de llamadas a través del cual los consumidores pueden acceder a detalles sobre la violación.
A la luz de las noticias, varios expertos en seguridad cibernética se pusieron en contacto conmigo para evaluar. Aquí están sus pensamientos sobre el asunto. Para obtener más información sobre los desarrollos y tendencias de seguridad cibernética, consulte el Suplemento especial de seguridad en esta edición
Mike Schuricht, vicepresidente de administración de productos en Bitglass:
“Vemos una violación tras otra atribuida a aplicaciones internas mal parcheadas o mal mantenidas, lo cual es irónico considerando que los profesionales de seguridad continúan prediciendo las aplicaciones en la nube como la mayor preocupación de seguridad. Se está volviendo cada vez más claro que pasar a la nube a menudo significa una mayor seguridad, ya que la capacidad de proteger adecuadamente la aplicación es una pregunta existencial para los proveedores de aplicaciones en la nube “.
Bill Mann, director de producto de Centrify:
“Las acciones de Equifax disminuyeron un cinco por ciento el día que su incumplimiento se hizo público. Esto está directamente en línea con un estudio reciente de Ponemon que encontró que este es el promedio histórico en el primer día. El impacto a largo plazo probablemente será mayor, ya que esta violación afecta a millones de consumidores que confían en Equifax con su información más personal, y la confianza es el núcleo de su negocio. Según su gravedad y la gran cantidad de casos involucrados, una violación como esta desplazará la confianza del consumidor y potencialmente eliminará rápidamente el valor adicional. Las violaciones de datos son un negocio muy real con inquietudes finales. La seguridad cibernética actual no es segura, ya que es demasiado fácil para los piratas informáticos acceder a las redes corporativas a través de ataques que incluyen exceso de privilegios, captura de contraseñas, etc. Para evitar la ruina financiera y de reputación, las organizaciones deben repensar su enfoque de seguridad “.
Kenneth Geers, científico investigador senior de Comodo:
“Es ideal, aunque irónico, que los cibercriminales comprometan a las compañías en las que los usuarios de Internet confían para salvaguardar sus identidades y finanzas. A los ciberdelincuentes les gustaría tener suficiente información sobre usted para que puedan convertirse en usted, y Equifax posee esa cantidad y calidad de datos. Incluso si no es un cliente, Equifax probablemente tenga muchos datos sobre usted, y debe tomar medidas proactivas en respuesta a este ataque ”.
Ilia Kolochenko, CEO y fundadora de High-Tech Bridge:
“Esta es una violación de datos desastrosa, probablemente una de las violaciones más perjudiciales de este año, capaz de socavar la confianza en un espacio financiero en línea bastante frágil … Ahora los ciberdelincuentes tienen una gran cantidad de oportunidades para realizar ataques de phishing, fraude, robo de identidad, suplantación e ingeniería social contra las víctimas de la violación. Deberíamos estar preparados para un número vertiginoso de ataques dirigidos no solo a las víctimas, sino también a sus familiares, empleadores y socios. La base de datos violada probablemente se compartirá entre varias pandillas cibernéticas, lo que exacerbará el daño. Es un ejemplo muy colorido, aunque muy triste, de cómo una vulnerabilidad en una aplicación web puede tener consecuencias desastrosas para toda una empresa, su base de clientes y mucho más ”.
Tim Erlin, vicepresidente de gestión y estrategia de productos en Tripwire (News – Alert):
Los equipos de seguridad de la información en otras organizaciones deberían usar este incidente como una oportunidad para evaluar sus propios planes. Todas las organizaciones que recopilan y almacenan datos confidenciales son objetivos. Hacer lo básico correctamente, como garantizar configuraciones seguras, gestionar vulnerabilidades y capturar datos de registro, es la forma más efectiva de evitar infracciones “.
Atiq Raza, CEO de Virsec:
“Incluso cuando se encuentran y corrigen vulnerabilidades, los piratas informáticos están desarrollando nuevas técnicas sin archivos para volar bajo el radar de la mayoría de las herramientas de seguridad. Ya no es adecuado basar las defensas de seguridad en ataques pasados; necesitamos cambiar a monitoreo y seguridad en tiempo real para aplicaciones web y y todos los procesos que los respaldan “.
