Ciudad de México, a 11 de septiembre de 2017. Sophos, firma especializada en ciberseguridad, recomienda congelar sus cuentas a los afectados de la filtración de datos del buró de crédito Equifax, que posee los datos de 800 millones de personas a nivel internacional. Esta medida es mejor que los monitoreos que se ofrecen después de una brecha. Los servicios de supervisión de crédito hacen poco para detener a los ladrones de robar una identidad. Una congelación de seguridad, por otro lado, bloquea a los acreedores de mirar un archivo para conceder una nueva línea de crédito falsa para los ladrones de identidad.

Esto es lo que sucedió

Para entender la gravedad de la filtración de datos de Equifax, simplemente hay que saber que la población de los Estados Unidos es aproximadamente de 324 millones de personas, mientras que este proveedor de servicios crediticios afirma que la filtración puede haber afectado a 143 millones de americanos, casi la mitad de la población total.

La empresa ha publicado un comunicado en el que afirma que los cibercriminales han explotado una vulnerabilidad en una aplicación de su web americana que les ha permitido acceder a algunos registros.

Según la investigación llevada a cabo por la propia compañía, el acceso no autorizado ocurrió entre mediados de mayo y julio de 2017, accediendo a bases de datos con información financiera de sus clientes.

¿A qué tipo de datos han tenido acceso estos delincuentes?: nombres, números de Seguridad Social, fecha de nacimiento, direcciones, y en algunos casos al número de del carné de conducir, según informó el CEO de Equifax, Richard Smith. Además consiguieron números de tarjetas de crédito de 209 mil consumidores americanos y documentos sobre litigios con información personal de aproximadamente otros 182 mil clientes.

Algunos clientes de Reino Unido y Canadá también se han visto afectados por la filtración, aunque la información que obtuvieron era limitada.

Muchas incógnitas

Hay muchas preguntas sobre esta filtración. Bloomberg informa que tres directivos de Equifax vendieron acciones de la empresa por un valor de 1.8 millones de dólares en los días siguientes a que la empresa descubriera el problema, pero antes de que se hiciera público. Esto añadirá más leña a la rabia de los clientes afectados.

Equifax también tendrá que explicar lo que es “una vulnerabilidad en una aplicación de su web”. No sabemos si es que los cibercriminales se han aprovechado de una vulnerabilidad día cero en sus servidores o han utilizado alguna otra vía de entrada, como una simple inyección SQL como la que se empleó para atacar a Talk Talk.

Medidas defensivas

Los detalles de lo ocurrido se divulgarán en los próximos días o semanas. Por ahora los clientes deben saber cómo protegerse. Bill Brenner, redactor en Naked Security de Sophos, recomienda tomar las siguientes medidas:

     • Equifax ha incluido un enlace en su web en el que sus clientes pueden comprobar si son potenciales víctimas              del ataque. Los afectados podrán apuntarse a un servicio de monitoreo y protección contra el robo de identidad.

    • Cambia tu contraseña y demás credenciales secretas.

    • Si has usado la misma contraseña en otras webs, cámbialas inmediatamente y nunca más reúses las contraseñas.

    • Emplea contraseñas robustas ya que los cibercriminales emplean herramientas que prueban las obvias.

    •  Se cuidadoso con las preguntas de seguridad ya que un atacante puede buscar el nombre de soltera de tu madre.

    • Usa la identificación de doble factor siempre que sea posible.

“Este caso es otro recordatorio de que la información que no está debidamente protegida será robada. Ya sea en la nube, en una memoria o en un dispositivo móvil, los datos desprotegidos son valiosos para los criminales. En el caso de Equifax es muy delicado ya que el grueso de la información, como números de seguridad social, cumpleaños, direcciones y otros datos personales robados, son mucho más valiosos que la información de una tarjeta de crédito. Los datos de identidad no pueden cambiarse como una tarjeta de crédito”, comentó Chester Wisniewski, Científico Investigador de Sophos.