La brecha de seguridad abierta en los sistemas de Equifax es sólo la sexta en orden de magnitud comparada con otros casos similares (Yahoo, Sony, Tesco, etc). Pero es la más grave: los delincuentes se han apoderado de información altamente sensible en las mismas barbas del sistema financiero de Estados Unidos. Si las demandas que se anuncian prosperasen, el pago de indemnizaciones amenazaría de quiebra a la compañía. El rol de Equifax como proveedor de información sobre riesgos crediticios supone que sus servidores sean una auténtica cámara del tesoro: datos personales, entre ellos los más críticos para todo ciudadano estadounidense: su número de seguridad social y el permiso de conducir.
Los hackers habrían obtenido así las llaves para acceder al historial vital de los solicitantes de crédito así como a sus cuentas bancarias. En total, 143 millones de usuarios han quedado desnudos ante unos hackers que –como de costumbre – no han sido identificados. Sus datos reaparecerán pronto en un mercado negro donde pueden valer millones. Hay menos del 50% de posibilidades de que alguien que haya pedido un crédito en Estados Unidos – también en Canadá y Reino Unido – se salvara del robo.
Con increíble demora, Equifax ha hecho pública una reconstrucción de los hechos. Quizá pase a la historia como un manual de cómo no manejar una crisis de esta naturaleza. El 29 de julio, según el documento, su equipo de seguridad detectó tráfico sospechoso en el portal dedicado a la tramitación online de disputas, por lo que procedió a cerrar el acceso. Una revisión interna «descubrió» un fallo en el software Apache Struts y lo corrigió antes de reactivar el portal online.
Lo alarmante es que ese fallo lo había hecho público Cisco en un informe de marzo y desde entonces ha habido una solución disponible, que Equifax decidió ignorar. De poco sirve la existencia de mecanismos de protección si, con insólita desidia, no se les hace caso. De mucho menos sirve que el CIO y la CISO de Equifax dimitieran la semana pasada. Ahora toca culpar a Equifax, pero cualquiera apostaría que lo mismo ocurrirá con otra empresa.
Seis semanas después (sic) Equifax encargó una revisión forense, esta vez independiente, cuya conclusión es que los hackers camparon a sus anchas por los sistemas de Equifax entre el 13 de mayo y el 30 de julio, dos meses y medio, sin ser descubierto. Con una buena dosis de descaro, Equifax aclara que no ha detectado actividad sospechosa con posterioridad.
Las críticas han arreciado al saberse que tres directivos de la compañía – incluído su CFO – vendieron acciones de Equifax por valor de 1,8 millones de dólares mientras el ataque sólo se conocía internamente. Dejando a un lado la falta de transparencia y el oportunismo, hay que admitir que la raíz del problema es realmente difícil de extirpar, por eso sorprende la inhibición. Todos los estudios sobre ciberseguridad son unánimes en señalar el aumento de ataques año tras año, al tiempo que siguen encontrando vulnerabilidades allá donde se explora a fondo.
En el caso de Equifax, las consecuencias pueden ser más graves que en cualquier antecedente como los nombrados. Los hackers, o más bien sus clientes clandestinos, podrían usar la información robada para suplantar la identidad de las víctimas ante entidades bancarias o proveedores de Internet, por ejemplo. También podrían usar esos datos para acceder a cuentas bancarias y construir identidades falsas mediante la combinación de perfiles. A partir de ahí, las tropelías son incalculables.
En realidad, esta es sólo una recaída, es el tercer ataque que la compañía sufre desde 2015. El año pasado, los ciberdelincuentes accedieron a documentos que revelaban los salarios de empleados y el monto de sus retenciones fiscales. De modo que Equifax estaba sobre aviso, no obstante lo cual los hackers han logrado nuevamente entrar hasta la cocina.
En total, los sistemas de Equifax albergan datos de 820 millones de consumidores y más de 91 millones de empresas de todo el mundo. Que se sepa, el último ataque ha afectado a 143 millones en Estados Unidos, Canadá y Reino Unido. Una de las recomendaciones es congelar los informes de todas sus bases de datos, para que nadie pueda usarlos con el fin de pedir un crédito apócrifo. No se hace ni se hará, porque los bancos temen que el remedio sería peor que la enfermedad, al interrumpir bruscamente su negocio crediticio. Por otro lado, esos mismos bancos están legalmente obligados a proteger a sus clientes de posibles fraudes.
Algunas voces advierten que el daño ha sido tan profundo que podría durar décadas. Y los especialistas en ciberseguridad sostienen que la compañía debería haber tenido varias capas de protección en sus sistemas, para que los hackers no llegaran a penetrar tan profundamente. También se preguntan – y la compañía no responde – qué información estaba cifrada, si es que alguna lo estaba.
De ningún software puede asegurarse que no contiene fallos o que es invulnerable. La legislación estadounidense determina que gran parte del riesgo tecnológico han de correrlo los usuarios si algo falla. Ya se encargan los proveedores de servicios de blindarse torticeramente introduciendo cláusulas que descargan su parte de responsabilidad.
Durante años, las organizaciones de consumidores han reclamado una vigilancia más estricta de las compañías llamadas credit bureau, y la imposición de reglas de protección de la intimidad de los usuarios. La ley aplicable se conoce como FairCredit Reporting Act y pretende ofrecer «alivio y remedio» en situaciones de desprotección: los consumidores tienen derecho de acceso a sus registros de crédito y solvencia, pero la supervisión se encomienda a la comisión federal de comercio (FTC) que tiene competencias sancionadoras limitadas. El hecho de que la ley fuera promulgada en 1970 por Richard Nixon, ya dice mucho acerca de la escasa voluntad de adaptarla a una era en la que los registros no están en un archivador sino en Internet.
Según se ha sabido ahora, Equifax dedicó el año pasado 1,1 millones de dólares a practicar el lobby político en materias que le inquietan: seguridad de datos y notificación de fallos, compartición de información sobre amenazas a la seguridad de los datos. Más le hubiera valido destinar ese dinero a mejorar sus sistemas de seguridad.
Esta vez las cosas han llegado tan lejos que el caso Equifax ha reabierto de forma virulenta el debate acerca del cambio legislativo necesario para que la responsabilidad recaiga duramente sobre las empresas que se revelen incapaces de detectar las intrusiones en sus sistemas. Se reclama dotar a la FTC de poderes para examinar los planes de seguridad, pero la experiencia no es alentadora: ha habido antes ataques notorios que dieron mucho que hablar y acabaron en agua de borraja.
¿Serán capaces las autoridades norteamericanas– empezando por este Congreso enredado en otras batallas – de cambiar las reglas de este juego? ¿Habrá que esperar otro ataque mayúsculo para que los legisladores retomen los proyectos de ley esbozados y los aprueben de una vez? Son preguntas pertinentes que se hacen estos días. Bastaría como primer paso dictar la obligación de que las empresas informen inmediatamente – no seis semanas después, como ha hecho Equifax – a los usuarios de que sus datos personales han sido atacados.
Algunos cronistas antiguos – de esos que no se obnubilan con la futurista sede de Apple, que todavía no se puede visitar – contemplan la posibilidad de que el caso Equifax acabe siendo para la ciberseguridad una espoleta equivalente a la que las hipotecas subprime fueron para la regulación del sector bancario. Ojalá fuera así, pero se puede aventurar que en todo caso seguirá habiendo ataques, intrusiones… y víctimas.
[informe de Pablo G. Bejerano]