Como habrás oído por la copiosa cobertura de noticias (incluyendo la nuestra), la oficina de monitoreo de crédito Equifax, de Estados Unidos, sufrió una brecha que ha dado a los cibercriminales acceso a datos de 143 millones de personas; esta información proviene principalmente de clientes en los EE.UU., así como algunos en el Reino Unido y Canadá. Los datos robados incluyen nombres, números de seguridad social, fechas de nacimiento, direcciones y números de algunas licencias de conducir y tarjetas de crédito.
Y si bien parecía que Latinoamérica no se vería afectada por este incidente, resulta ser que varias oficinas de análisis de riesgo crediticio de la región operan a través de Equifax. Es el caso de Veraz en Argentina y DICOM en Chile, por ejemplo.
En una investigación separada, ejecutada por la compañía Hold Security, se detectó que un portal interno de Equifax diseñado para ser usado por empleados expuso los datos de aproximadamente 14.000 registros. Allí se incluía información de empleados de Veraz en Argentina y de todos aquellos que hayan hecho un reclamo o consulta ante la entidad (incluyendo su nombre completo y documento de identidad).
El periodista especializado en ciberseguridad Brian Krebs dio la noticia, explicando que el portal tenía un nivel bajo de seguridad (usaba una contraseña por defecto, y las contraseñas se almacenaban sin cifrar, por ejemplo). Tras recibir el aviso, Veraz dio de baja el portal.
Normalmente, nuestro primer consejo sería que vayas directamente al sitio del proveedor tras un incidente de este tipo, para obtener más información. Pero, dada la magnitud del caso, que afectó a prácticamente la mitad de la población de los Estados Unidos, Equifax estuvo teniendo una serie de dificultades técnicas con los métodos de contacto existentes, en parte como resultado del volumen de tráfico inusualmente alto.
Llamar a Equifax directamente no da resultado para todo el mundo, y el sitio en el que publica novedades del caso estuvo teniendo una variedad de problemas que parecen indicar que, en la prisa por proporcionar información, se generaron más problemas.
El sitio se ejecuta en una instalación de WordPress configurada por defecto. Esto es motivo de preocupación ya que parece tener una seguridad insuficiente para un sitio que le pide a la gente que proporcione su apellido y seis de los nueve dígitos de su número de Seguro Social. Si esta información fuera robada, sería más que suficiente para los criminales para perpetrar fraudes adicionales.
Allí, las personas pueden, entre otras cosas, comprobar si sus datos se vieron impactados, aunque un número creciente de informes parece indicar que la información que sale del mecanismo de comprobación puede ser incompleta o inexacta.
En cualquier caso, si arroja que el usuario se vio afectado, se le ofrece la opción de inscribirse de forma gratuita por un año en TrustedID, una firma de protección de identidad de Equifax que otorga un seguro. Pero, según informa CNET, Trusted ID incluye un acuerdo en sus Términos de Servicio que hace que las personas afectadas renuncien a su derecho de unirse a una demanda colectiva contra la empresa, por lo cual se armó un debate significativo. En tanto, Equifax aclararó que esta afirmación no se aplica al incidente actual.
Pero este no es el único motivo de preocupación: el software con funcionalidad de detección de phishing (incluyendo algunos navegadores de Internet y OpenDNS) ha estado bloqueando el acceso al sitio y advirtiendo que se trataba de una potencial amenaza de phishing debido a irregularidades en su funcionalidad. Por ejemplo, el certificado SSL/TLS no realiza comprobaciones de revocación adecuadas, lo que puede hacer que los navegadores muestren un mensaje de error. Y el nombre de dominio está registrado en un sitio que no está claramente etiquetado como perteneciente a Equifax.
Cómo protegerte
Todo indica que esta brecha se produjo entre mediados de mayo y julio de 2017, y que fue descubierta por Equifax el 29 de julio. Como ha afectado potencialmente a casi la mitad de todos los adultos en los EE.UU., podrías preguntarte cómo identificar o mitigar los problemas causados por esta brecha.
Aquí hay algunas medidas que puedes tomar ahora mismo:
1. Comprueba si hay actividad sospechosa en tus cuentas
Lo primero y más importante que puedes hacer es comprobar las transacciones en todas sus cuentas financieras e historial de crédito. Ten en cuenta que hay una cantidad abrumadora de tráfico yendo a todas las principales agencias de informes crediticios, por lo que puede ser un servicio lento o intermitente. Dado que el incidente se informó hace poco, es probable que en los próximos días haya más información y detalles sobre quién fue afectado y qué fue robado.
Si ves actividad que no reconoces, es importante que notifiques al banco o agencia de crédito inmediatamente.
Ten en cuenta que los ladrones quizá no usan o venden todos los datos robados de inmediato. Tendrás que estar atento con tus cuentas por un tiempo.
2. Mejora la seguridad en tu inicio de sesión
Con toda la información que ahora tienen disponible, los estafadores podrían tratar de combinarla con ataques a otras cuentas y servicios en línea. Siempre es una buena idea asegurarse de tener contraseñas fuertes y únicas para cada cuenta que utilices.
Si aún no has activado el doble factor de autenticación dondequiera que esté disponible, ahora es un buen momento para asegurarte de hacerlo.
3. Ten cuidado con los engaños
Los criminales son conscientes de que la gente se sentirá especialmente preocupada por su seguridad y privacidad como resultado de este incidente. Esto podría conducir a otras estafas y ya ha inspirado al menos un sitio de phishing que se hace pasar por un recurso de Equifax.
Lamentablemente, algunas personas pueden ser más propensas a caer en las tácticas de ingeniería social y las campañas de phishing que se aprovechan de esta preocupación. Nunca hagas clic en enlaces incluidos en mensajes de correo electrónico que pretenden venir de empresas que siguen este patrón, especialmente si parecen sospechosos de alguna manera.
Es una buena idea, especialmente después de grandes incidentes de seguridad y otras crisis, considerar cualquier enlace en un correo electrónico no solicitado como potencialmente malicioso. En su lugar, debes escribir las URL que sabes que son auténticas directamente en tu navegador.
4. Considera un congelamiento de crédito
Si bien un congelamiento de crédito introduce un obstáculo cuando se trata de permitir que alguien acceda a tu informe de crédito (como cuando solicitas una nueva tarjeta bancaria, un préstamo, un apartamento o un trabajo), también dificulta que los ladrones creen nuevas cuentas utilizando tu información.
Si tu información fue incluida en esta filtración y decides no hacer un congelamiento de crédito, deberías considersr colocar una alerta de fraude en sus archivos. Una alerta de fraude advierte a los acreedores que podrías ser una víctima de robo de identidad y que deben tomar medidas adicionales para verificar que cualquier persona que busca crédito en tu nombre es realmente tú.
