El mayor chantaje informático y financiero

Desastre Equifax: cuenta atrás para el peor 'hackeo' financiero de la historia

Unos 'hackers' han dado a la firma Equifax de plazo hasta hoy viernes para abonar 1,8 millones de euros. Si no lo hacen filtrarán los datos de casi 200 millones de personas en sus bases de datos

Foto: (Foto: Reuters)
(Foto: Reuters)

Faltan pocas horas para que venza el chantaje de los 'hackers' y las cosas van de mal en peor para Equifax, la mayor agencia del mundo de informes de créditos al consumo. Desde que el 7 de septiembre anunció que le habían robado datos de 200 millones de personas ha recibido ya dos advertencias públicas del gobierno de Estados Unidos y 30 querellas. Hoy vence el tiempo que los ladrones le dieron para pagar 600 bitcoins (1,8 millones de euros al precio actual) a cambio de no hacer públicos los datos.

Los 'hackers' se llaman PastHole Hacking Team y han amenazado, desde un sitio en la Dark Web, hacer público todo (números de seguridad social, nombres, direcciones) excepto las 200.000 tarjetas de crédito que, presumiblemente, venderán en el mercado negro. Diversos expertos en seguridad descubrieron qué proveedor de hosting y correo usaban los ladrones y lograron cerrarles la web así que nadie tiene muy claro si cumplirán su amenaza.

Es realmente raro que los autores de uno de los mayores robos de datos de la historia sean unos aficionados que no pueden mantener el anonimato en la Dark Web, pero todo vale en esta rocambolesca historia: el precio del rescate, casi dos millones de euros en bitcoins, es la misma cantidad que se embolsaron tres altos directivos de la compañia al vender acciones de la misma el 1 de agosto, cuando se acababa de descubrir el robo y no se había informado aún a la opinión pública.

El ataque más rocambolesco

Es probablemente también el ataque informático más rocambolesco de la historia. Equifax ha demostrado históricamente su dejadez respecto a los datos de la vida creditica de la población de Estados Unidos y otros 23 países que tiene bajo su control. Entre ellos, España, donde Equifax gestiona el principal listado de morosos a través de la Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF).

La página ha recibido innumerables críticas por ser tan precaria que los principales navegadores la confundieron por un engaño de "phishing"

De todas formas, y según ha informado la compañia a Teknautas, el robo afectaría "solo" a Estados Unidos, Gran Bretaña y Canadá, con 143 millones de afectados en EEUU, 44 millones en Gran Bretaña y un número desconocido en Canadá. Solo la legislación de EEUU obliga a notificarlo a las víctimas y aquí Equifax ha fallado estrepitosamente: en vez de avisar, montó una página web para que cada cual comprobase si estaba afectado.

La página ha recibido innumerables críticas por ser tan precaria que, en un primer momento, los principales navegadores la confundieron por un engaño de "phishing". Además, al introducir dos datos idénticos devuelve resultados distintos. Teniendo en cuenta que el robo se descubrió el 29 de julio y Equifax no ha avisado públicamente hasta el 7 de septiembre, se comenta que habría tenido tiempo suficiente para crear una web "decente".

(Reuters)
(Reuters)

"Si lo sumas todo queda claro que los cientos de millones de personas afectados por el robo de datos no son sus clientes ni su prioridad inmediante: son su producto", escribía Guise Bule, de Hacker Noon. Levantó también grandes quejas el intento de aprovecharse económicamente, cuando al principio Equifax ofrecía a los afectados un servicio para monitorizar si alguien usaba sus datos y otro para bloquear el acceso a los mismos... de pago.

Ciertamente, en esta crisis Equifax no ha abandonado su ya conocida desidia y falta de seguridad respecto a las personas cuyos datos almacena, que en el pasado provocaron incidentes no tan importantes pero parecidos, culminando en esta ocasión con unos intrusos paseando por las redes de la compañía sin ser detectados al menos entre mayo y junio de este año.

Los expertos en seguridad se llevan las manos a la cabeza al saber que una base de datos con millones de registros sensibles estaba conectada a Internet a través de un sitio web protegido por un cortafuegos sencillo, de software. Para interactuar con esta web solo se requería el número de la Seguridad Social. Y para modificar parámetros de la base de datos, por ejemplo bloquear un registro, era suficiente con un PIN muy simple de adivinar.

Los ciberataques a gran escala suelen empezar en un agujero de seguridad olvidado

Según Equifax, los atacantes entraron a través de una "vulnerabilidad en una aplicación web" que podría ser un fallo en el servidor web Apache, aunque la Fundación Apache acaba de negarlo. Ayer Equifax explicó que había sido otro agujero, también del servidor Apache, que se había solucionado hacía dos meses, pero no había aplicado aún el parche. Casi peor.

Una de las empresas que protegía la seguridad de Equifax era FireEye. Es un dato público porque Equifax aparecía como caso de éxito en los informes de FireEye, con Toni Spinelly, entonces responsable de seguridad de la compañía, escribiendo: "Hemos analizado las soluciones de otros proveedores, pero FireEye se distingue por su capacidad para detectar amenazas avanzadas y garantizar nuestra seguridad".

Nada más conocerse el ataque contra Equifax, FireEye retiró la web donde aparecían estas líneas, que sigue viva aún en las búsquedas de Google, pero solo puede verse en caché. FireEye no pudo retirar en cambio los muchos informes en .pdf donde usa a Equifax de caso de éxito.

(Reuters)
(Reuters)

Da la casualidad de que FireEye sufrió un ataque informático en agosto, lo que ha hecho sospechar que los atacantes hubiesen encontrado en los ordenadores de FireEye la forma de entrar en la base de datos de Equifax. En una charla informal en Twitter, diversos investigadores lo descartaron, aunque nunca se sabe en seguridad informática, menos con compañías como FireEye, cuyos clientes suelen ser gobiernos.

Ciertamente, son cada vez más habituales los ataques donde se accede a la red de una empresa usando información conseguida en el asalto informático a otra, como explica Pete Herzog, director del Instituto por la Seguridad y las Metodologías Abiertas: "Los ciberataques a gran escala suelen empezar en un agujero de seguridad olvidado, muchas veces a través de una vendedor o tercera parte que tiene una vulnerabilidad no parcheada o aplicaciones web no auditadas".

¿Acabarán los 'hackers' cumpliendo su amenaza? La respuesta a esta última pregunta la conoceremos muy pronto

Para complicarlo más, en mayo hubó otro interesante hackeo: el de la empresa filial de Equifax, TALX, que ofrece pagos y devoluciones de impuestos online. Los trabajadores de TALX usaban PINs de cuatro dígitos como contraseñas, que los atacantes descubrieron fácilmente y con los que consiguieron acceso al sistema al menos entre el 17 de abril y el 29 de marzo de este año, justo un mes antes de la primera intrusión documentada en Equifax.

El gigante de las listas de morosos no quiso informar en aquella ocasión sobre cuántos consumidores y servicios fueron afectados. Los abogados de TALX explicaron que la empresa no era capaz de saber exactamente cuántos accesos no autorizados a registros de impuestos habrían realizado los atacantes. ¿Fueron los mismos que saltaron de TALX a Equifax? ¿O entraron como dice Equifax por un agujero en la web? ¿Y por qué FireEye se dedica a borrar información tan burdamente? ¿Que relación tiene con todo esto el grupo PastHole Hacking Team? ¿Acabarán cumpliendo su amenaza? La respuesta a esta última pregunta la conoceremos muy pronto.

Tecnología

El redactor recomienda

Escribe un comentario... Respondiendo al comentario #1
2 comentarios
Por FechaMejor Valorados
Mostrar más comentarios