La filtración de datos de Equifax amenaza los datos personales de 143 millones de estadounidenses

Tras la filtración masiva de datos que Equifax reveló al público a principios de septiembre, ha surgido la noticia de un segundo ataque anterior a la agencia de crédito. Aunque originalmente era sólo un rumor de fuentes anónimas, el 19 de septiembre Equifax confirmó la hack secundario, que tuvo lugar en marzo, aunque la empresa negó que tuviera algo que ver con el truco más grande. Para colmo de males, Equifax ha contribuido inadvertidamente a una campaña de phishing al enviar a sus clientes a un sitio de phishing en lugar de a su propio portal de notificación de infracciones.

La cadena de acontecimientos hasta el momento

Como informó originalmente el New York Times, El primer ciberataque del que supimos ocurrió en algún momento entre mediados de mayo de 2017 y el 29 de julio, cuando se descubrió la intrusión. Lo que hace que el ataque a Equifax sea particularmente problemático es el estatus de la compañía como cámara de compensación central para transacciones sensibles relacionadas con el crédito. información que incluye números de seguro social, números de licencia de conducir y otros datos que pueden usarse de diversas maneras para dañar a quienes afectado.

Se dice que la violación de datos anterior en Equifax tuvo lugar en marzo y aunque Equifax afirma que esto El hackeo anterior no tuvo nada que ver con el hackeo que tuvo lugar más adelante en el año, han dicho algunas fuentes anónimas. de lo contrario. Sin embargo, en ambos casos, Equifax contrató los servicios de la empresa de seguridad digital Mandiant para investigar.

El 2 de octubre, Equifax anunció que Mandiant había completado su investigación forense sobre la violación del 7 de septiembre, y que otros 2,5 millones de estadounidenses pueden haber sido afectados por la cortar a tajos. Esto eleva el número total de personas afectadas a 145,5 millones. Sin embargo, Mandiant no encontró más evidencia de nueva actividad de piratería. Además, parece que el impacto de la infracción no se extendió más allá de América del Norte: unos 8.000 canadienses (no 100.000 como se pensaba anteriormente) también pueden haberse visto afectados.

“El domingo me informaron que el análisis del número de consumidores potencialmente afectados por el incidente de ciberseguridad ha sido "Se completó y ordené que los resultados se publicaran de inmediato", dijo el recién nombrado director ejecutivo interino, Paulino do Rego Barros, Jr. dicho. “Nuestras prioridades son la transparencia y mejorar el apoyo a los consumidores. Continuaré monitoreando nuestro progreso diariamente”.

En un testimonio escrito, el ex director ejecutivo Richard Smith dijo al Comité de Energía y Comercio: "Parece que la infracción se produjo debido tanto a errores humanos como a fallas tecnológicas".

Recientemente, añadiendo insulto a la herida, la cuenta de Twitter de Equifax envió recientemente a sus clientes al sitio “securityequifax2017.com”, un sitio falso que claramente reproduce la dirección web del sitio real: equifaxsecurity2017.com. El tweet, naturalmente, se eliminó desde entonces, pero esta no es la primera vez que Equifax envía personas al sitio de phishing. Tenga en cuenta que Google Chrome ahora marca el sitio falso como engañoso.

Mark Coppock/Tendencias digitales

¿Qué datos fueron robados?

Aunque en este punto parece poco probable que se haya robado más información personal de los clientes de Equifax en el ataque original, plantea serias dudas sobre la respuesta de la empresa. Es posible que la ley exigiera que Equifax revelara información al respecto mucho antes que la empresa y esto El desarrollo arroja una luz aún más dura sobre algunas de las ventas de acciones sospechosas realizadas por ejecutivos de Equifax en Agosto.

El Departamento de Justicia de Estados Unidos ha abierto una investigación criminal sobre las ventas de acciones, según fuentes de Bloomberg.

Si bien las violaciones de Equifax no son las más grandes en términos de número de víctimas, Los ataques de Yahoo involucraron a más personas, y el HBO one arrojó más spoilers – es preocupante por el tipo de información personal que fue robada. Ejemplos de información confidencial incluyen 209.000 números de tarjetas de crédito, información personal relacionada con disputas crediticias de 182.000 víctimas y datos que podrían usarse posteriormente para acceder historias medicas, cuentas bancarias y más.

En 15 de Septiembre, Equifax publicó más información sobre el hack y también señaló que dos altos ejecutivos: el director de información y el director de seguridad se estaban “jubilando”. Sin embargo, dados los acontecimientos recientes, es probable que en esta historia haya algo más que una mera Jubilación. Equifax reveló además que su investigación interna aún está en curso y que la compañía "continúa trabajando estrechamente con el FBI en su investigación". Hasta ahora, ha sido reveló que Equifax notó por primera vez actividad sospechosa el 29 de julio de 2017, pero esperó hasta el 2 de agosto para comunicarse con una empresa de ciberseguridad y realizar una "revisión forense integral".

Como dijo Pamela Dixon, directora ejecutiva del grupo de investigación sin fines de lucro World Privacy Forum, en un comunicado: “Esto es tan malo como parece. Si tiene un informe crediticio, es probable que se encuentre en este incumplimiento. Las posibilidades son mucho mejores que el 50 por ciento”.

¿Qué hacer al respecto?

Según un comunicado de prensa emitido por la oficina del senador Mark Warner (D. Virginia), el ataque a Equifax plantea preguntas importantes sobre el papel del gobierno en la respuesta a la amenaza actual a la información personal.

“Aunque muchos tal vez se hayan acostumbrado a oír hablar de una nueva filtración de datos cada pocas semanas, el alcance de esta vulneración (que involucra a la Seguridad Social) números, fechas de nacimiento, direcciones y números de tarjetas de crédito de casi la mitad de la población estadounidense – plantea serias dudas sobre si el Congreso debería no sólo crear un estándar uniforme de notificación de violaciones de datos, sino también si el Congreso necesita repensar las políticas de protección de datos, para que las empresas como Equifax tienen menos incentivos para recopilar grandes conjuntos centralizados de datos altamente confidenciales, como números de seguro social e información de tarjetas de crédito, de millones de americanos”.

Al calificar tales ataques como “una amenaza real a la seguridad económica de los estadounidenses”, es probable que Warren y Otros funcionarios del gobierno impulsarán una legislación que cree protecciones más sólidas para los consumidores a partir de los datos. robo. Warner ha estado trabajando en el desarrollo de ese tipo de legislación, y es probable que se acelere.

Equifax también enviará por correo avisos escritos a todos los consumidores estadounidenses potencialmente afectados, y también se ha actualizado la herramienta en línea que las personas pueden utilizar para determinar su riesgo.

“Quiero disculparme nuevamente con todos los consumidores afectados. Ahora que esta importante fase de nuestro trabajo ya está completada, continuamos tomando numerosas medidas para revisar y mejorar nuestras prácticas de ciberseguridad. También continuamos trabajando estrechamente con nuestro equipo interno y asesores externos para implementar y acelerar mejoras de seguridad a largo plazo”, añadió Barros a principios de octubre.

Vaya a equifaxsecurity2017.com para aprende más sobre el ataque, descubre si estás afectado, y inscríbase en protección gratuita contra robo de identidad y servicios de seguimiento de archivos.

Actualizado: Equifax se enteró de que 2,5 millones de estadounidenses adicionales pueden haber sido afectados por la infracción.

Recomendaciones de los editores

• El hack involucró los datos de toda la población de una nación.
• Los piratas informáticos robaron 1,5 millones de dólares utilizando datos de tarjetas de crédito comprados en la web oscura
• Una filtración de datos puede costar millones de dólares y es posible que usted esté pagando por ello
• Un hacker roba los registros de mil millones de personas en una violación de datos sin precedentes
• Los piratas informáticos apuntaron a AMD para robar enormes 450 GB de datos ultrasecretos