En septiembre de 2017, Equifax anunció al mundo que había protagonizado una de las mayores brechas de seguridad de la historia. Se trataba de más de 200 millones de consumidores expuestos a dicha brecha, un alto porcentaje estadounidenses.
Según el testimonio del exconsejero delegado Richard Smith, el ataque fue realizado mediante la explotación de una vulnerabilidad en Apache Strust. Dicha vulnerabilidad fue revelada por el US-CERT el 8 de marzo.
El día 13, los ciberdelincuentes comenzaron a acceder a la información y continuaron haciéndolo durante meses.
Según la declaración de Smith, en Equifax, hasta el año 2013 no contaban con personal dedicado a la ciberseguridad. Ese mismo año se realizó una inversión de 250 millones de dólares y, ya en 2017, contaban con un equipo de 225 personas.
Sin embargo, Smith dio una interesante explicación sobre cómo la situación se salió de control para este equipo de 225 personas: «Se debió a un error humano; el responsable en la organización de comunicar la aplicación del parche, simplemente no lo hizo«.
La idea de que una sola persona no hizo su trabajo y como resultado de ello se originó la mayor brecha de seguridad hasta ese momento, es una afirmación sorprendente y muestra la falta primordial de buenas prácticas en seguridad.
Según el testimonio escrito de Smith, Equifax envió un correo electrónico interno el 9 de marzo para que se efectuara la actualización de Apache Struts en las siguientes 48 horas. Sin embargo, el sistema no identificó ninguna vulnerabilidad. Unos días más tarde, el departamento de TI realizó un análisis, pero tampoco reconoció la vulnerabilidad. Aparentemente, la persona responsable debió comunicar que ya había un parche disponible para una vulnerabilidad descubierta.
Smith dimitió como CEO de Equifax semanas después de la brecha, y poco después de que el jefe de seguridad y el jefe de información fueran destituidos de la compañía.
Meses después, durante un peritaje judicial, se descubrió que el sistema que monitorizaba la red llevaba 19 meses inactivo.
En octubre de 2019, Equifax ha manifestado que la brecha ya le ha supuesto 1.400 millones de dólares en gastos. Este importe es la suma de las sanciones impuestas, el pago de indemnizaciones, gastos en medidas de seguridad y honorarios legales (aproximadamente un 10%).
Esto demuestra que el coste de una brecha de seguridad no es fácil de calcular. La clave para reducir el impacto es realizar una correcta gestión del riesgo y adoptar un enfoque integral en seguridad de la información, en lugar de depender solo de la tecnología. Para reducir riesgos y obtener un retorno real sobre cualquier inversión, ya sea para contratar personal o adquirir software, la gestión del riesgo constituye un aspecto crucial.
Desde UBT Legal & Compliance, le invitamos a ponerse en contacto con nosotros para proveerle más información acerca de los servicios y casos de éxito logrados con nuestros clientes al desarrollar las mejores estrategias de seguridad. ¡Consúltenos!
David Marqués. Director de IT Compliance en UBT Legal & Compliance.