El año 2017 estuvo marcado por lo que podría denominarse como la caída de un imperio. Equifax, uno de los actores más importantes en el negocio de la data crediticia de millones de personas alrededor del mundo, fue penetrada. Los datos personales de al menos 143 millones de personas fueron robados. Números de Seguro Social, fechas de nacimiento y direcciones: todas parte del concepto de información personal identificable (PII). Un grupo de hackers, usando herramientas altamente sofisticadas, tuvieron todo un verano para extraer bases de datos, diseñar herramientas, analizar datos, y evitar toda detección de parte del equipo de seguridad de Equifax. En menos de tres meses, un grupo de personas –cuyos motivos y acciones se siguen investigando– pudo instalarse en lo profundo de los sistemas informáticos de una empresa que suponíamos segura.
Las ramificaciones que trae el robo violento de datos personales va muchísimo más allá de lo que creemos. Millones de personas que ven sus datos vulnerados y expuestos terminan pagando las consecuencias de los problemas de seguridad de bases de datos, marcos de trabajo y aplicaciones. Aquellos datos se convierten en una mina de oro para scammers, que usan dicha información para cometer más delitos, perpetuando así el ciclo. A aquello se suma al problema legal del uso de nuestros datos personales, que en Estados Unidos trató de ser regulada con una ley introducida al senado el año 2019 y que todavía no se ha debatido.
A tres años de la brecha, la inseguridad respecto al destino de los datos personales de millones de personas sigue vigente. Son diversas las herramientas que permiten saber si nuestros datos fueron vulnerados o no, pero la incertidumbre sobre si esos datos serán usados para cometer delitos no se puede negar.
Es por eso que casos como el de Equifax, que pueden volver a repetirse con cualquier otra entidad que almacene nuestros datos, nos permiten entender el gran panorama. Mirando paso a paso desde que lugar y hasta dónde fueron nuestros datos, podemos resguardar y prevenir otra brecha desde ambos lados: los consumidores, y los que almacenan nuestros datos. Una brecha que puede traer consecuencias mucho peores que las de Equifax.
El origen de los datos
Nuestra información personal identificable (PII), o lo que definimos normalmente como PII, se ha hecho extensivo a cada vez más cosas a lo largo del tiempo. Lo que originalmente sólo era tu número de Seguro Social o tu dirección de correo electrónico, ahora también es tu dirección IP, la biométrica de tu rostro, y tu geolocalización. Regulaciones como el GDPR en Europa han ampliado dicho espectro con la intención de abarcar nuestros datos lo mejor posible si una brecha llegase a ocurrir. Sin embargo, y aún teniendo regulaciones de por medio, es posible que nuestros datos sean robados en masa de alguna forma u otra.
Muchos de nuestros datos son voluntarios: debemos entregarle nuestro número de Seguridad Social a nuestro banco para solicitar un crédito, por ejemplo. Diversas entidades, públicas y privadas, necesitan de nuestros datos personales para funcionar correctamente. Por supuesto, algunos datos son más importantes que otros: tu dirección de correo electrónico recibiendo spam no es lo mismo que alguien haciéndose pasar por ti para cometer un fraude.
Al mismo tiempo, hay datos que entregamos de manera involuntaria. Las redes sociales, en particular Facebook pero extensivo a gran parte de las plataformas que usamos, esconden poderosos motores de análisis biométrico. Muchas entidades de salud guardan nuestros datos médicos, que también se consideran importantes, sin nuestra expresa autorización. En el caso de Equifax, la compañía crediticia y sus competidores (principalmente Experian y TransUnion) tienen la ley a su favor. La actual configuración crediticia y bancaria en Estados Unidos les da el poder para almacenar tu fecha de nacimiento, número de Seguro Social, número de licencia de conducir, historial de empleo y de compras, datos de tarjetas de crédito y muchos otros datos sensibles.
Con esa información en sus manos, tanto Equifax como sus competidores pueden hacerse una idea general de nuestro panorama crediticio: es decir, cuánto podemos pagar. Luego estas empresas venden esa información a instituciones financieras, con el fin de determinar nuestra valía crediticia. Esta información fue entregada a Equifax sólo por el hecho de vivir en una sociedad de capital, donde los ciudadanos de a pie usamos instrumentos financieros, tarjetas de crédito y préstamos de manera completamente natural. Equifax no golpeó nuestra puerta para preguntar dichos datos: ellos recopilaron todo, y lo guardaron para venderlo al mejor postor. Esto es importante por dos razones:
- Los datos que entregamos involuntariamente no son nuestra responsabilidad.
- Los datos voluntarios se pueden resguardar, o en lo posible negar.
Por un lado, toda persona, entidad o servicio que sea responsable de nuestros datos debe hacerse cargo ante cualquier eventualidad, en los marcos que estipule la ley de cada país y de uso de cada plataforma. Ejemplos hay de sobra: el uso de nuestros datos biométricos con el objetivo de realizar perfilado criminal es uno de ellos, y que requiere regulación y definición. Esto es especialmente importante en los casos donde el entrenamiento de redes neuronales o la detección de sospechosos se hace con datos que a primera vista son públicos –como fotos en nuestras redes sociales– pero que tras una mayor investigación terminan siendo datos biométricos privados.
Por otra parte, como ciudadanos también es nuestra responsabilidad tener un control estricto sobre los datos que entregamos. Esto con el objetivo de evitar que nuestros propios datos, los que voluntariamente confiamos en muchas partes, sean usados para cometer delitos. Si alguien nos solicita datos personales, tenemos el derecho de resguardarlos y saber para qué serán usados, y en una buena parte de los casos, no entregarlos si creemos que nuestra privacidad pueda ser vulnerada.
La brecha de datos de Equifax, en corto
Habiendo definido lo que se perdió en la brecha de datos de Equifax, es hora de visualizar paso a paso lo que ocurrió.
Según una buena parte de los estudios, investigaciones y medios que han recopilado todos los antecedentes, la responsabilidad cayó en una vulnerabilidad de un popular software de backend empresarial, llamado Apache Struts. Como lo explica un artículo en Bloomberg, fue Nike Zheng, un investigador chino de ciberseguridad, el que descubrió la vulnerabilidad, la que comunicó a Apache. De hecho, la compañia publicó un fix el 6 de marzo en su sitio. Sin embargo, en menos de 24 horas esa información ya estaba en populares sitios de hacking, lo que derivó en que la comunidad se aprovechara de dicha vulnerabilidad. Cuatro días después, un atacante encontró una máquina vulnerable en Atlanta y el resto es historia.
La reacción en cadena permitió a los hackers aprovecharse de múltiples problemas en la seguridad de Equifax. El sitio CSO lo pone en contexto: “Como los accidentes de avión, los grandes desastres de InfoSec son tipicamente el resultado de múltiples factores”. La suma de errores incluye, pero no se limita a:
- Los atacantes utilizaron la vulnerabilidad antes descrita, la que ya había sido divulgada pero no había sido parchada en una multitud de equipos de la compañía.
- Los atacantes entraron a un equipo que funcionaba como servidor para el portal web, y pudieron acceder al resto de la infraestructura debido a una pobre segmentación entre ellos.
- Los nombres de usuario y contraseñas de usuarios y cuentas estaban almacenados en texto plano.
- Uno de los certficados de encriptación clave en una de sus herramientas de seguridad no había sido renovado, lo que le permitió a los atacantes exfiltrar información encriptada durante meses.
- La brecha no fue divulgada por los ejecutivos, los que sabían las consecuencias e incluso vendieron acciones de la compañía.
Qué ocurrió con los datos
Aquí es donde la historia toma ribetes de misterio. Después de toda brecha importante –o al menos en la mayoría– casi siempre es posible encontrar los datos robados en la dark web, siendo vendidos como bases de datos al mejor postor. Sin embargo, los datos de la brecha de Equifax, al contrario de lo que se esperaba, jamás se hicieron públicos, sino que dieron a parar en los discos duros de actores mucho más interesados en el espionaje que en el robo.
Una investigación del gobierno de E.E.U.U. cuyos resultados sólo se develaron recientemente, reveló que los hackers formaban parte de una célula militar china, que ha usado aquellos datos para perfilar a personas importantes en empresas y gobierno. Dicho perfilado les permitiría, según varias teorías, identificar a oficiales en problemas económicos para realizar chantajes o sobornos que faciliten el espionaje.
Otro antecedente soporta esta teoría: una investigación del New York Times supone que el ciberataque a la cadena de hoteles Marriott estaría ligada al mismo esfuerzo del gobierno de China por crear una base de datos financiera de políticos, empresarios y personas clave con fines de perfilado, extorsión y chantaje.
Pero, ¿Qué ocurrió finalmente con los datos de Equifax? ¿Salieron alguna vez a la luz? Según una investigación publicada en CNBC, los datos de Equifax son “La ciudad perdida de Atlantis o el Santo Grial”: imposibles de encontrar. Uno de los investigadores, que pasó cerca de un año y medio buscando en la dark web por dichos datos, asegura que el contenido de la brecha nunca fue comerciado. En estos casos, usualmente los hackers apuestan por la velocidad: mientras más rápido puedan vender las bases de datos obtenidas ilegalmente, menos probabilidades hay de ser capturados o de que las instituciones robadas inutilicen los datos. Es por eso que tras tanto tiempo los datos se dan por desaparecidos, existiendo unicamente en manos de los hackers que los robaron o de actores privados como los ya mencionados en el gobierno chino.
Por supuesto, hay ejemplos de lo contrario. En Have I Been Pwned hay una lista con decenas de brechas de datos, entre las cuales se cuenta la brecha de Yahoo ocurrida el 2013, y cuyos datos fueron vendidos por cerca de US$300.000 en la dark web al menos a tres actores maliciosos, dos de ellos scammers. Otro ejemplo es Tumblr, que también sufrió una brecha donde 65 millones de correos electrónicos y contraseñas fueron robados, para ser vendidas posteriormente en la dark web.
¿Qué aprendimos sobre la brecha de datos de Equifax?
Si bien las ramificaciones no fueron completamente desastrosas para los usuarios afectados, brechas como las de Equifax nos permitieron poner atención a muchísimos puntos relativos a la seguridad y privacidad de datos.
La información personal identificable es valiosa, y debe ser protegida a como de lugar
Incluso si estamos constantemente redefiniendo qué es PII y qué no, los datos personales deben tratarse con el cuidado que merecen. Esto aplica desde el propio usuario eligiendo qué entregar, hasta los gobiernos que empujan legislación adecuada con el objetivo de proteger nuestros datos de hackers y actores maliciosos.
Los datos importantes deben estar fragmentados y encriptados
La clasificación y fragmentación de datos personales en todas las organizaciones que los manejen debe ser un punto clave. Es un paso que muchos CISO consideran tedioso y burocrático, pero que permite un control profundo. Por ejemplo, los diversos datos personales pueden estar organizados en capas debidamente inventariadas: datos de clientes, datos confidenciales de la empresa, y datos públicos. De esta forma se evita que un hacker con acceso a un servidor web termine, como se dice popularmente, entrando hasta la cocina.
Lo mismo con la encriptación. La jerarquía e inventario de los datos permite asignar distintos niveles de protección a los datos según sea necesario, y asignar responsabilidades de llaves públicas y privadas a usuarios y partes de la organización que lo necesiten.
Si una brecha ocurre, comunícala tan pronto como puedas a tus usuarios
Este punto sigue siendo un área gris en materia legal, debido a la poca voluntad de legislar con firmeza respecto a la privacidad de datos. Sin embargo, debería ser un imperativo moral comunicar a los usuarios con celeridad en caso de una brecha importante, especialmente si involucra información personal identificable.
En la mayoría de los casos –como quedó demostrado en el caso de Equifax– todo el tiempo que se cree “ganado” al no comunicar, deviene en prácticas sospechosas como el tráfico de influencias o el ocultamiento de información, los que si son penados por la ley.