Un nuevo informe del gobierno de Estados Unidos presentado recientemente, indica que las consecuencias del ciberataque a Equifax era totalmente evitable. La moraleja…
En un informe del 10 de diciembre del 2018, presentado por el Comité de Supervisión y Reforma Gubernamental de la Cámara de Representantes de Estados Unidos sobre el ciberataque recibido por Equifax en Septiembre de 2017, se señala que la empresa “…no implementó un programa de seguridad adecuado para proteger estos datos sensibles. Como resultado, Equifax permitió una de las mayores fugas de datos en la historia de Estados Unidos. Esta fuga era totalmente evitable.“
En el análisis efectuado por Techtarget se indica que según lo que detalla el informe, “Equifax debería haber abordado al menos dos puntos en los que no se ha podido mitigar, o incluso prevenir, esta fuga de datos. En primer lugar, la falta de controles y de líneas claras en la estructura de gestión de TI de Equifax, lo que llevó a una brecha de ejecución entre el desarrollo de políticas de TI y la operación“.
“En segundo lugar, la agresiva estrategia de crecimiento de Equifax y la acumulación de datos dieron como resultado un entorno de TI complejo“. Por otra parte si indica que “Equifax ejecutó varias de sus aplicaciones de TI más críticas en sistemas legacy hechos a medida. Tanto la complejidad como la anticuada naturaleza de los sistemas de TI de Equifax hicieron que la seguridad de TI fuera un desafío especial.“.
Entre otras cosas, Equifax, no parcheó completamente sus sistemas. Un viejo portal para clientes desarrollado en la década de 1970, estaba ejecutando una versión de Apache Struts que contenía la famosa y peligrosa vulnerabilidad, no parcheó el software y dejó sus sistemas y datos expuestos.
Sin embargo, más allá de la cuestión de los parches de Apache Struts, el informe señalaba que la empresa tenía serios problemas con los certificados de seguridad ya que había permitido que expiraran más de 300 certificados de seguridad, incluyendo 79 utilizados para monitorear dominios críticos del negocio. Una vez actualizados, después de estar inactivos por 19 meses, los responsables de seguridad notaron un tráfico web sospechoso de una dirección IP originaria de China que salía de la aplicación legacy con archivos relacionados con investigaciones de crédito al consumo. Equifax estaba bajo ataque activo desde hacía meses.
Repasando las principales fallas de Equifax identificadas por el informe:
1- Falta de controles y lineas claras entre políticas de seguridad y operación.
2- Crecimiento desmedido de la compañía, acumulación de datos críticos dando lugar a una estructura de IT compleja y caótica, que incluía sistemas muy antiguos y desactualizados que procesaban datos críticos.
3- Falta de velocidad en la aplicación de parches de vulnerabilidades tan críticas como la de Apache Struts.
4- Completo descontrol sobre la gestión de certificados digitales.
Como podrá observarse, el denominador común de los problemas críticos fue la falta de “gestión” de seguridad…, el no considerar la seguridad como elemento fundamental para el negocio…, el utilizar los controles de seguridad para responder informes de auditoria y no para asegurar verdaderamente el negocio…, el tener en la cabeza el viejo y falso concepto de “a mi no me va a pasar…“
Nota por Carlos Benitez