La brecha de Equifax pudo haberse evitado completamente

  • Endpoint

Una investigación ha determinado que Equifax no pudo apreciar y mitigar completamente sus riesgos de ciberseguridad. La compañía permitió que expiraran más de 300 certificados de seguridad, incluidos 79 certificados para monitorizar dominios críticos para el negocio.

También puedes leer...

Cómo evaluar las opciones de SD-WAN

La Seguridad es Infinity

Gestión de cuentas con privilegios para Dummies

Cómo combatir las amenazas cifradas

Cómo vencer al malware evasivo

Un comité de la Cámara de Representantes de los Estados Unidos ha publicado un informe que concluye que la brecha que afectó a Equifax en 2017 fue "totalmente prevenible". El informe incluye muchos hallazgos notables, incluidas recomendaciones para que el sector empresarial evite este tipo de incidentes en el futuro.

En septiembre de 2017, el Comité de Reforma Gubernamental y Supervisión de la Cámara de Representantes comenzó a investigar la brecha de datos de Equifax, que afectó a 148 millones de consumidores, incluidos algunos en Europa. En los 14 meses posteriores, el Comité descubrió que Equifax no definió las líneas de autoridad claras que asignaban la responsabilidad de los datos que estaba recopilando, que estaba usando sistemas obsoletos y que no estaba preparado para brindar asistencia a los clientes en caso de una infracción, entre otras cosas. Lo más importante, el Comité encontró que el incidente podría haberse evitado fácilmente.

Como algunos recordarán, Equifax no parcheó vulnerabilidades conocidas en el marco de la aplicación web Apache Struts, lo que permitió a los hackers acceder a sus sistemas. Según el informe, Equifax no pudo apreciar y mitigar completamente sus riesgos de ciberseguridad. Si la compañía hubiera tomado medidas para abordar los problemas de seguridad, la brecha de datos podría haberse evitado.

Equifax no implementó unas líneas claras de autoridad dentro de su estructura interna de administración de TI, lo que llevó a un fallo de ejecución entre el desarrollo y la operación de políticas de TI. En última instancia, la brecha restringió la capacidad de la empresa para implementar iniciativas de seguridad de manera integral y oportuna.

Por otra parte, la agresiva estrategia de crecimiento y la acumulación de datos de Equifax dieron como resultado un entorno de TI complejo. Tanto la complejidad como la naturaleza obsoleta de los sistemas heredados hicieron que la seguridad de TI fuera especialmente difícil. Además, Equifax permitió que expiraran más de 300 certificados de seguridad, incluidos 79 certificados para monitorizar dominios críticos para el negocio. La falta de renovación de un certificado digital caducado durante 19 meses dejó a Equifax sin visibilidad en la exfiltración de datos durante el ciberataque.

Finalmente, después de que Equifax hizo pública la brecha de datos, no estaba preparado para identificar, alertar y soportar a los consumidores afectados. El sitio web y los centros de llamadas se vieron atosigados de inmediato y los consumidores afectados no pudieron acceder a la información necesaria para proteger su identidad.

El Comité dice que Equifax tiene "la responsabilidad" de proteger los datos personales de sus clientes, pero subraya que el gobierno también debería involucrarse más. Recomienda a las organizaciones aumentar la supervisión, la responsabilidad y la transparencia en sus operaciones e infraestructura, y modernizar sus soluciones de seguridad de TI.