Los robos de datos personales se han convertido en algo tristemente rutinario en los últimos meses, pero frente ni siquiera los mastodónticos robos en Yahoo (500 millones de usuarios afectados primero, otros 1.000 millones después) se quedan pequeños frente a lo que ha pasado con Equifax, la entidad que monitoriza el historial crediticio de decenas de millones de ciudadanos de los Estados Unidos.
Hace unas horas se ha descubierto cómo una vulnerabilidad en su sitio web ha permitido a un grupo de ciberatacantes robar los datos personales de 143 millones de usuarios. No han robado solo una contraseña o una tarjeta de crédito, no. Han robado además números de la seguridad social o números de sus carnets de conducir (que tienen el mismo valor que el DNI en España, por ejemplo). Es la mayor amenaza de la historia a un potencial robo masivo de identidades.
La suplantación de identidad es la gran amenaza
La dimensión de este ciberataque es alarmante, y tal y como explicaba el analista de seguridad de Gartner Avivah Litan, "en una escala de uno a diez, esto es un 10 en términos de un robo de identidad potencial". Como este experto explicaba, las empresas que monitorizan los créditos en Estados Unidos tienen una cantidad de datos ingente sobre cada uno de sus clientes, porque esa información es la que permite determinar si a los ciudadanos norteamericanos se les concede o no un crédito para una casa, un coche o la simple obtención de una tarjeta de crédito.
La empresa, que descubrió el ciberataque el pasado 29 de julio no lo ha hecho público hasta hace unas horas. No ha dado razones por el retraso en esa comunicación, aunque como indican en el New York Times la razón podría ser que las propias autoridades de los EE.UU. no permitieran ese anuncio público para poder ir tras los responsables del ciberataque.
¿Otra razón probable? QUe sus propios responsables tuvieran tiempo de cubrirse las espaldas. Se ha descubierto que tres de los directivos de Equifax (entre los que está su Chief Financial Officer) vendieron acciones por valor de 1,8 millones de dólares justo después de que se descubriese la brecha de seguridad. La empresa ha indicado que ninguno de ellos se había enterado del ataque cuando tomaron esa decisión.
La empresa ha preparado el sitio web www.equifaxsecurity2017.com para que los afectados puedan comprobar si su información personal puede haber sido robada, aunque como indican en Ars Technica, ese sitio web se ha creado con una instalación estándar de WordPress, un certificado TLS que no se comporta de la forma debida y un dominio que ni siquiera pertenece directamente a Equifax y que por tanto podría ser considerado como phishing por todo tipo de herramientas de seguridad.
El peor robo de datos personales de la historia
Román Ramírez, co-organizador del evento de seguridad RootedCON, nos explicaba cómo este robo de datos personales ha activado todas las alarmas: "Ya se habla de que es posiblemente uno de los peores sino el peor incidente de la historia".
Este experto nos explicaba cómo entre otras cosas esos datos pueden revelar datos médicos potencialmente comprometedores (que alguien esté registrado con un impago un tratamiento de VIH, por ejemplo), que se suman a esa amenaza de robo de identidad que podría ser utilizada para todo tipo de propósitos, no solo financieros.
De hecho, como comentaba Ramírez, Si tenemos en cuenta que los menores de edad y la gente que no tiene un historial crediticio (mayores de 75 años) sale de la ecuación, "esos 143 millones de personas representan más de la mitad de la población de Estados Unidos".
Mientras tanto en Equifax se lamentan por el ciberataque. Richard Smith, CEO de la empresa, indicaba que "esto es claramente un suceso decepcionante para nuestra compañía, y uno que ataca la esencia de quiénes somos y lo que hacemos. Quiero pedir disculpas a nuestros clientes y clientes empresariales por la preocupación y frustración que esto causa".
Según la empresa sus bases de datos con los informes crediticios no parecen haber sido vulneradas. En su análisis del problema han revelado que una vulnerabilidad en una de sus aplicaciones web fue la causante de que los ciberatacantes pudieran conseguir acceso a una ingente cantidad de datos.
Se estima que se obtuvieron 209.000 números de tarjetas de crédito y 182.000 "documentos de disputa" en los que sus clientes rellenan datos que pueden identificarles personalmente. Como explicaba Alex McGeorge, responsable de la firma de seguridad Immunity, "tu número de la seguridad social no cambia, así que estos datos van a ser vendidos en el mercado negro y mantendrán su valor durante mucho tiempo".
¿Cómo protegerse de este robo de datos masivo?
El sitio web puesto en marcha por Equifax permite comprobar si estás entre los afectados, pero no explica el alcance del problema a sus clientes, a los que no desvela cuántos de sus datos se han visto comprometidos. El problema no se reduce solo a los Estados Unidos: algunos ciudadanos de Canadá y el Reino Unido podrían haberse visto también implicados en ese robo masivo de datos.
Ese servicio se une a la oferta de Equifax que ahora ofrece un año de monitorización crediticia gratuita y un seguro contra el robo de identidad que todo residente en los Estados Unidos debería suscribir cuanto antes. No sería mala idea extender ese periodo gratuito si los afectados creen que sus datos pueden haber sido comprometido.
Otro de los consejos para los potenciales afectados es el de estar más atentos que nunca a su actividad financiera y a los movimientos de sus cuentas. Esos robos de identidad podrían usarse para conseguir créditos fraudulentos en nuestro nombre y suplantar esas identidades para lograr cambiar contraseñas de multitud de servicios.
Activar sistemas de autenticación en dos pasos pueden resultar de ayuda para los afectados, aunque si los atacantes logran muchos datos de sus víctimas ni siquiera esto podría ser suficiente. Las consecuencias podrían ser enormes, no a corto, sino a largo plazo.