Lecciones del caso Equifax: tras el histórico ataque crecen los riesgos cibernéticos para los bancos y consumidores

Después de una de las peores filtraciones en la historia de Estados Unidos, que expuso datos e información financiera muy sensible de más de la mitad de la población del país, y de ciudadanos de otras partes del mundo, no sólo los consumidores deben ser cautelosos –las instituciones financieras también podrían ser más vulnerables a ataques de phishing personalizados y de malware.

En el hack de Equifax, sin embargo, hay una serie de lecciones que se deben extraer para mejorar la preparación, la resiliencia y la recuperación cibernética, incluyendo sistemas de parches rápidos cuando las actualizaciones están disponibles, mejor cifrado de grandes bloques de datos y restringir el acceso a los sistemas sensibles y los centros de datos, señala Neal O’Farrell, fundador del Identity Theft Council, un grupo con sede en California que crea lazos entre las agencias de ley y los negocios para frustrar a los ciberdelincuentes y apoyar a las víctimas de robo de identidades.

Los temblores financieros, comerciales y personales siguen resonando a partir de la revelación de Equifax –parte del trio de las agencias de informes de crédito— de que los hackers aprovecharon una falla de seguridad para robar datos de 143 millones de personas. La filtración histórica es en gran parte el resultado del error humano, la fuente de un estimado del 90% de todos los ciberataques exitosos.

La violación es otra de las importantes victorias de hackers en los últimos años que han afectado a muchos de los comercios minoristas más grandes del país, bancos y centros de datos del gobierno, ataques iniciados por grupos criminales organizados, operaciones de estados-naciones, oportunistas que buscan fama y hacktivistas ideológicos.

Es probable que el ataque afecte a las instituciones de manera indirecta y directa. A medida que los grupos criminales analizan los datos, pueden encontrar empleados que trabajan en grandes instituciones financieras –especialmente aquellos con cargos ejecutivos, que cuentan con altos niveles de permisos cibernéticos— para comenzar los bombardeos de ataques masivos de phishing o ataques de phishing más específicos (spear phishing) y business email compromise.

Los criminales pueden analizar fácilmente los datos para apuntar a correos electrónicos de un banco en particular.

Con la profundidad de la información disponible tras la violación de Equifax, los hackers podrían enviar un correo electrónico detallado y creíble de un oficial de banco de alto rango para que se envíen transferencias de alto valor a ciertas compañías, o incluso actuar como un oficial de ciberseguridad de una compañía, indicando a los empleados que bajen una supuesta actualización de seguridad que es en realidad un malware o ransomware.

Los bancos podrían encontrarse bajo ataques más inteligentes y más específicos como resultado de la violación, dijo O’Farrell.

«Lo más fácil para un hacker después de obtener los datos es atacar a un banco con un esquema phishing», dijo O’Farrell. «Será una mezcla de phishing, ataques de red de deriva (drift net attacks) y spear phishing», apuntando potencialmente a ejecutivos de banca y personal con autorizaciones de seguridad de alto nivel.

Algunos grupos criminales podrían ser lo suficientemente creativos como para actuar como una compañía de seguridad que ofrece servicios para prevenir y responder a ataques cibernéticos, incluso ofreciendo un supuesto «seminario exclusivo». Todo lo que los empleados del banco tienen que hacer es «presionar aquí para registrarse» y el enlace es un malware, un troyano para obtener aún más datos.

“Lo he visto una y otra vez. A veces la gente más peligrosa de la organización son los altos ejecutivos», dijo.

Para protegerse, la Comisión Federal de Comercio y otros grupos están aconsejando a los clientes que consulten el sitio de Equifax para ver si sus datos se han visto comprometidos y, de ser así, consideren una «congelación del crédito» que frenará todos los créditos en el nombre de esa persona.

La compañía afirmó la semana pasada que los piratas informáticos capturaron un verdadero tesoro de datos, lo suficiente para crear identidades sintéticas, crear falsas tarjetas de crédito y préstamos y posiblemente incluso robar directamente de tarjetas de crédito y cuentas bancarias obtenidas. La información robada incluye nombres, números de Seguro Social, fechas de nacimiento, direcciones y en algunos casos, números de licencia de conducir.

El grupo desconocido detrás del ataque también robó números de tarjetas de crédito para cerca de 209.000 personas, y los documentos con la información de identificación personal para cerca de 182.000 personas, incluyendo algunos residentes de Canadá y el Reino Unido, según la compañía.

La violación duró desde mediados de mayo hasta julio. Equifax está bajo mucha presión por no haber reportado la filtración hasta hace poco, varias semanas más tarde y después de que varios altos funcionarios de la compañía se despojaran de más de un millón de dólares en acciones—el precio de las acciones de la compañía se desplomó más de US$ 50 de US$ 142 a US$ 90.

Algunos expertos han pronosticado incluso las investigaciones federales y estatales y las demandas judiciales colectivas que podrían desatar el caso Equifax.

Ese potencial futuro para una empresa que ha estado en operaciones desde aproximadamente 1899 y con ingresos de más de US$ 3.000 millones el año pasado refuerza la postura de que la ciberseguridad ha aumentado a la par de los riesgos ALD, fraude, corrupción y otros delitos financieros y riesgos de cumplimiento.

La compañía también sufrió daño reputacional adicional cuando dirigió a las víctimas a utilizar un nuevo plan de servicio para proporcionar protección y seguro durante un año – pero luego supuestamente enterró en la letra pequeña que, al suscribirse, quedarían obligados al arbitraje, negándoles la posibilidad de entablar demandas por daños.

Bajo la presión de las autoridades, Equifax aparentemente eliminó ese lenguaje del servicio, que las víctimas tendrán que pagar después del primer año, aunque la razón por la que se vieron obligados a pagar por el servicio se debe a la violación de Equifax.

Es un ataque serio con ramificaciones en todo el país –algunos dicen que los consumidores pueden tener que monitorear más de cerca su historial de crédito durante años, si no es que de por la vida. Sin embargo, ha habido algunos momentos de ligereza esta semana, cuando Equifax trató de culpar la filtración a una vulnerabilidad de la aplicación web.

En una actualización de su sitio publicada el miércoles, Equifax señaló que ha estado «investigando intensamente el alcance de la intrusión con la asistencia de una firma líder en seguridad cibernética para determinar qué información se accedió y quién ha sido afectado».

Como resultado, llegaron a la conclusión que «los criminales explotaron una vulnerabilidad de la aplicación de los sitios web en Estados Unidos. La vulnerabilidad fue Apache Struts CVE-2017-5638 «, que data de marzo. Apache Struts es un framework de código abierto para crear aplicaciones Java de grado empresarial.

La Apache Software Foundation respondió que la aplicación, utilizada por muchos de los bancos más grandes del mundo, agencias gubernamentales y firmas de tecnología, había sido parchada el 7 de marzo, el mismo día que se anunció. «En conclusión, la vulnerabilidad de Equifax se debió a no haber instalado las actualizaciones de seguridad proporcionadas en el momento oportuno».

En pocas palabras, Apache explicó que la violación de datos de Equifax se debe a que la compañía no instaló un parche disponible en marzo, algo fácilmente evitable que podría afectar a decenas de millones de estadounidenses durante un número indefinido de años.

Los bancos tendrían que darles una vuelta a sus sistemas ALD y antifraude para proteger mejor a sus clientes

Si usted es un banco, la violación de datos «va a golpearlo en algún momento», dijo O’Farrell, que tiene más de 30 años de experiencia asesorando a compañías, gobiernos y firmas tecnológicas sobre servicios financieros y contramedidas cibernéticas. «No se trata sólo de los datos de los clientes de Equifax. Estos son los datos de su cliente».

Los bancos también deben tomar una táctica diferente a Equifax, que sin duda está tratando de superar el incumplimiento y busca salir de las noticias lo antes posible.

«Los ejecutivos de Equifax tratarán de superar esta brecha rápidamente, ya que es lo que su equipo de comunicaciones de crisis les dirá», dijo O’Farrell.

«Pero los bancos deben tomar la dirección opuesta», dijo. «Ellos tienen que decirles a sus equipos de fraude y de delincuencia financiera que estén en guardia para el próximo año. Francamente, deberían estar en pie de guerra constantemente de todas formas ya que las instituciones financieras son atacadas más que cualquier otra industria. Este hackeo es un gran recordatorio de que puedes hacer más y tienes que hacer más» cuando se trata de ciberseguridad.

Para proteger mejor a los clientes, los bancos pueden tener que ajustar sus sistemas de monitoreo de transacciones para que sean más sensibles al activar alertas con umbrales más bajos para comportamientos que se apartan de la normalidad, así como para crear alarmas internas y externas que adviertan a los analistas al mismo tiempo que ubican a los clientes para asegurar que son los que están iniciando un nuevo préstamo, enviando un giro o una nueva línea de crédito que parece fuera del perfil transaccional del cliente, O’Farrell dijo.

Parte de esa iniciativa podría ser en forma de alertas automatizadas a los números de teléfono y direcciones de correo electrónico de los clientes antes de permitir ciertas transacciones, especialmente si involucran extranjeros o grandes retiros de efectivo y también detener el movimiento de fondos hasta que un cliente demuestre que es el originador.

Además, esta filtración podría empujar a más bancos a adoptar la autenticación multifactorial, algo que ciertas instituciones han sido reticentes a hacer para no crear fricción en las transacciones de los clientes.

Equifax ya está intentando mea culpas para calmar las aguas

El presidente ejecutivo de Equifax, Richard Smith, pidió disculpas el martes en un editorial de USA Today, afirmando que la compañía al principio no se dio cuenta del alcance de la violación, señalando que creía que «la intrusión era limitada» después de descubrirla el 29 de julio.

«Estamos dedicando recursos extraordinarios para asegurarnos de que este tipo de incidentes no vuelvan a ocurrir», dijo Smith. «Haremos cambios y continuaremos fortaleciendo nuestras defensas contra los delitos cibernéticos».

«En el mundo del delito cibernético y el fraude de identidad, hay realmente una conspiración de fracasos», dijo O’Farrell. «Hay fracasos por todos nosotros, como un parche disponible y la gente sabía sobre él, pero nunca fue implementado. Las empresas necesitan dejar claro que, si alguien no se asegura de que todo esté remendado, probado y revisado de manera adecuada, su trabajo está en juego».