Equifax pudo prevenir el robo masivo de datos dos meses antes de que sucediera

Jenny Surane y Jordan Robertson para Bloomberg

Las acciones de Equifax retrocedieron en la Bolsa de Nueva York tras reconocer que los hackers que robaron los datos de 143 millones de consumidores explotaron una vulnerabilidad que la compañía podría haber resuelto apenas dos meses antes del robo masivo.

La revelación sugiere que Equifax fue lenta al tomar medidas básicas para asegurar sus datos, y probablemente se le exija una supervisión más fuerte para una industria cuya información puede permitir los peores tipos de robo de identidad y fraude. La empresa se enfrenta a una investigación de la Comisión Federal de Comercio y nuevos llamados a testificar ante el Congreso.

Las acciones de Equifax cayeron 4,7% hasta 94,34 dólares en la Bolsa de Nueva York

“La vulnerabilidad fue identificada en Apache Struts CVE-2017-5638”, respondió Equifax en una sección de preguntas frecuentes de su sitio web que creó para ayudar a las personas afectadas. La Apache Software Foundation, que supervisa el software de código abierto, había publicado un parche para la falla en marzo. Equifax dijo que descubrió la violación el 29 de julio y que estaba ocurriendo desde mediados de mayo.

Equifax cayó 4,7% hasta 94,34 dólares en Nueva York. Las acciones han caído 34% desde que la compañía anunció que un grupo de hackers accedió a datos confidenciales que incluyen números del Seguro Social. Se trata de la peor caída en la historia de la compañía. Los papeles de su rival Experian, que opera en Londres, retrocedieron hasta 6,4%.

[td_block_11 custom_title=»» separator=»» post_ids=»31629″ limit=»1″ css=».vc_custom_1496993590403{border-top-width: 1px !important;border-right-width: 1px !important;border-bottom-width: 1px !important;border-left-width: 1px !important;padding-top: 5px !important;padding-right: 5px !important;padding-bottom: 5px !important;padding-left: 5px !important;border-left-color: #000000 !important;border-left-style: solid !important;border-right-color: #000000 !important;border-right-style: solid !important;border-top-color: #000000 !important;border-top-style: solid !important;border-bottom-color: #000000 !important;border-bottom-style: solid !important;border-radius: 4px !important;}» tdc_css=»»]

La Comisión Federal de Comercio dijo que investiga el incumplimiento de Equifax. La agencia no suele comentar sus investigaciones abiertas, pero confirmó su existencia a la luz del “intenso interés público y el impacto potencial de este asunto”, señaló su portavoz Peter Kaplan en una declaración vía correo electrónico.

Error de actualización

El software Apache es ampliamente utilizados por las empresas para ayudar a construir sitios web. La brecha de dos meses entre el momento en que se emitió el parche y cuando los atacantes violaron la red de Equifax sucedió en un momento peligroso, ya que los hackers comenzaron a explotar la falla en sitios que no aplicaban la corrección.

Muchas compañías tardan semanas o incluso meses en aplicar parches de software

“El compromiso de los datos de Equifax se debió a su incapacidad de instalar las actualizaciones de seguridad proporcionadas de forma oportuna”, escribió la Fundación Apache Software en un comunicado en su sitio web.

Pero los profesionales de la seguridad dicen que muchas compañías tardan semanas o incluso meses en aplicar parches de software, ya que las aplicaciones deben ser probadas para asegurar que no rompan el código existente.

El software Apache Struts requiere gran tiempo para actualizarse porque cada aplicación necesita ser arreglada individualmente. Sin embargo, un retraso de varios meses para eliminar un vulnerabilidad de alta prioridad se considera generalmente una práctica de seguridad peligrosa.

La pregunta es por qué algunas de las joyas de la corona de Equifax eran tan accesibles

Si esto es un delito, entonces diría que la mayoría de las organizaciones son culpables”, manifestó Rick Holland, vicepresidente de estrategia de Digital Shadows, una firma de inteligencia cibernética con oficinas en Londres y San Francisco. “La realidad de muchas organizaciones es que el parche no se da tan rápido como se desearía”.

La pregunta más grande

La pregunta más grande para los expertos en seguridad cibernética es por qué algunas de las joyas de la corona de Equifax eran tan accesibles, una pregunta que la compañía aún no ha abordado. La empresa no ha especificado cuándo intentó poner un parche a la falla, ni qué otros mecanismos usaron los atacantes una vez dentro de la red para acceder a los datos del consumidor.

La vulnerabilidad era una debilidad crítica para muchos sitios web grandes que se construyeron utilizando el software. Al anunciar el incidente el 7 de septiembre, Equifax culpó a una “aplicación de sitio web” que no identificaba.

Rene Gielen, vicepresidente de Apache Software Foundation, sostuvo vía correo electrónico que el grupo no tiene información confiable sobre cuánto tiempo les toma a las empresas aplicar parches para vulnerabilidades. Aunque las compañías suelen actuar en cuestión de horas o días después de un anuncio, algunas empresas no lo hacen durante años.

Jeff Dodge, vicepresidente senior de relaciones con inversores de Equifax, dijo en una conferencia en noviembre que la seguridad de los datos “y la forma en que nos ocupamos de garantizar que es algo en lo que dedicamos mucho tiempo y esfuerzos”.