Ya han pasado casi dos semanas desde que la compañía de monitoreo de crédito Equifax admitió que había sufrido una de las mayores fugas de información en su base de datos. Esta falla dejo expuesta a los hackers la información personal de 143 millones de consumidores de los EE.UU.
En un comunicado publicado hoy martes, la compañía finalmente confirmó que aproximadamente 100,000 canadienses también fueron afectados en la fuga de estos datos. Los nombres, direcciones, números de seguro social (SIN) y, en casos limitados, números de tarjeta de crédito son entre otras, la información personal potencialmente accesible por los hackers.
¿Cuándo la compañía lo sabía?
Equifax dijo que la violación ocurrió a mediados de mayo, pero que sólo descubrió que los intrusos habían comprometido sus sistemas el 29 de julio, casi dos meses después. Y por razones que aún no están claras, a la compañía le tomó otro mes más revelar públicamente la infracción.
Sin embargo, Bloomberg informó el lunes que era en realidad la segunda vez que la compañía había sido violada este año. El incidente anterior ocurrió en marzo de acuerdo con las fuentes de Bloomberg.
¿Por qué Equifax no corrigió el agujero que usaron los intrusos para entrar?
Equifax fue víctima de una vulnerabilidad en una pieza de software ampliamente utilizada llamada Apache Struts. Es el favorito de las instituciones financieras y las agencias gubernamentales, que se utilizan para el desarrollo de aplicaciones web. No está claro por qué Equifax no corrigió sus sistemas en ese momento ni por qué la empresa de seguridad Mandiant no identificó la vulnerabilidad cuando fue llamada a investigar la primera violación de seguridad de Equifax ese mismo mes.
¿Quién está detrás de este ataque cibernético?
Como suele ser el caso en las secuelas de grandes brechas y ataques, esto no está claro. Varios grupos han surgido reclamando responsabilidad, pero ninguno ha sido capaz de proporcionar pruebas hasta el momento.
¿Qué tan malo es esto para los canadienses?
Por un lado, 100.000 víctimas canadienses palidecen en comparación con los 143 millones de estadounidenses afectados. Por otro lado, todavía no hay una manera fácil de saber si estás o no entre los pocos afortunados. Equifax estableció un sitio web para los estadounidenses para comprobar si su información fue afectada por la violación, pero ese sitio web no funciona para los canadienses. En cambio, la compañía dijo el martes que «enviará notificaciones por correo directamente a todos los consumidores afectados, describiendo los pasos que deben tomar».
pero no pienses que puedes simplemente pedir al gobierno un nuevo SIN. Sólo puede solicitar un reemplazo si puede probar al gobierno que su SIN se ha utilizado fraudulentamente.
¿Qué pasa después?
La Oficina del Comisionado de Privacidad de Canadá (OPC) dijo la semana pasada que está investigando el incumplimiento, y que Equifax está cooperando. Eso es todo lo que sabemos por ahora. Mientras tanto, el OPC le sugiere que controle sus tarjetas de crédito y cuentas bancarias para transacciones no autorizadas, reporte cualquier signo de robo o crimen a la policía local, notifique estafas o fraudes al Centro Antifraude Canadiense y comunique a su banco y tarjeta de crédito empresas si cree que ha sido blanco de fraude de identidad.