La oficina de monitoreo de crédito Equifax, que en la Argentina opera como Veraz, sufrió una brecha que permitió a cibercriminales acceder a datos de 143 millones de personas.
Los datos robados incluyen nombres, números de seguridad social, fechas de nacimiento, direcciones y números de algunas licencias de conducir y tarjetas de crédito, sobre todo de los EEUU y Reino Unido.
Si bien parecía que América Latina no se vería afectada por este incidente, resulta que varias oficinas de análisis de riesgo crediticio de la región operan a través de Equifax. Es el caso de Veraz en Argentina y DICOM en Chile, por ejemplo.
Una investigación paralela realizada por Hold Security detectó que un portal interno de Equifax, diseñado para ser usado por empleados, expuso los datos de aproximadamente 14.000 registros. Allí se incluía información de empleados de Veraz en Argentina y de todos aquellos que hayan hecho un reclamo o consulta ante la entidad, incluyendo su nombre completo y documento de identidad, señaló la empresa de seguridad informática ESET.
Lo más insólito del caso es que Equifax utilizó la palabra admin como nombre de usuario y contraseña, es decir, una combinación que generalmente es la que viene por defecto.
Desde CNET indican que cualquiera podría entonces agregarse como un nuevo «empleado» a la base de datos o bien eliminar cualquier registro. Para peor, todo el contenido estaba presentado en texto plano en lugar de estar cifrado.
Sin consecuencias
En declaraciones a CNET, desde Equifax señalaron: “Nos enteramos de una vulnerabilidad potencial en un portal interno en Argentina que no estaba de ninguna manera conectado con el evento de ciberseguridad que ocurrió en los Estados Unidos la semana pasada. Inmediatamente actuamos para remediar la situación, lo que afectó a una cantidad limitada de información pública estrictamente relacionada con los consumidores que contactaron con nuestro centro de atención al cliente y los empleados que manejaron esas interacciones. No tenemos evidencia en este momento de que ningún consumidor, cliente o información en nuestras bases de datos comerciales y crediticios se vean afectados negativamente y continuaremos probando y mejorando todas las medidas de seguridad en la región”.
El caso de Equifax “es otro recordatorio de que la información que no está debidamente protegida será robada. Ya sea en la nube, en una memoria o en un dispositivo móvil, los datos desprotegidos son valiosos para los criminales. Lo peor es que el grueso de la información, como números de seguridad social, cumpleaños, direcciones y otros datos personales, es mucho más valioso que la información de la tarjeta de crédito robada. Su identidad no puede ser cambiada o reemplazada como una tarjeta de crédito”, dijeron desde la empresa de seguridad informática Sophos.