EQUIFAX: 3 Lecciones del Mayor «data breach» de la Historia
Equifax: el mayor “data breach” de la historia
Equifax es una de las tres principales compañías estadounidenses de calificación del crédito de particulares.
En un país en el que los ciudadanos no tienen DNI, qué puedes permitirte (en USA: quién eres), depende necesariamente de lo que Equifax o una de sus dos competidoras diga de ti.
El pasado jueves Equifax reconoció públicamente que durante cerca de tres meses le han estado robando los datos personales de sus 143 millones de clientes (la mitad de los ciudadanos estadounidenses, y de un número por determinar de canadienses y británicos).
Equifax ha cometido varios errores muy graves en la gestión de esta brecha de seguridad o data breach, que voy a resumir para que tú no los cometas si algo de esto te ocurre.
Quiero decir, cuando algo de esto te ocurra (porque es sólo una cuestión de tiempo):
(Nota: hago referencia aquí a obligaciones y responsabilidades vigentes hoy, no a las nuevas obligaciones del Reglamento de Protección de Datos Europeo que se aplicará en mayo de 2018, mucho más detalladas y exigentes, que ya traté en su día).
I.-Tiempo de respuesta
Según la información disponible la fuga de información se produce durante los meses de mayo, junio y julio, y es detectada el 29 de julio.
Equifax no la hace pública hasta el pasado jueves 7 de septiembre.
Los responsables de estos ataques tienen la mala costumbre de sacar pecho publicando las credenciales robadas, o parte de ellas en webs como Pastebin.
Por eso es crucial que la empresa víctima de un data breach contacte con los afectados al más breve plazo indicando las medidas de seguridad más urgentes, como cambiar sus contraseñas, bloquear cuentas, advertir a otros servicios, y en general comprobar que no ha existido actividad anormal en sus cuentas.
es crucial que la empresa víctima de un ataque contacte con los afectados al más breve plazo indicando las medidas de seguridad más urgentes
Equifax ni siquiera ha dado una explicación razonable del tiempo que ha tardado en hacer público el ataque.
Dicho sea de paso, tres altos ejecutivos de la compañía vendieron unos dos millones de dólares en acciones de la compañía antes de hacerse público el “data leak” (la cotización cayó un 13% el día del anuncio).
El protocolo de respuesta a un ataque de estas características tiene que estar preparado de antemano
Consejo: El protocolo de respuesta a un data breach de estas características tiene que estar preparado de antemano. En el menor tiempo posible se debe determinar el perímetro de daño y la vía de entrada del atacante.
Una respuesta adecuada y rápida requiere apoyo jurídico y técnico especializado:
- Los abogados colaborarán en la determinación de las comunicaciones necesarias, la información a suministrar y el tono del mensaje.
- Los técnicos habrán hecho ya un trabajo preventivo que permitira conocer las circunstancias del ataque de forma rápida.
Este doble apoyo debe ser contratado de antemano: sólo así será realmente eficaz.
Pero es que, además, en las horas posteriores a la detección de un data breach la empresa afectada no se encuentra en las mejores circunstancias para elegir un profesional de garantías (ni de negociar una tarifa moderada).
2.- ¡Es el cliente, estúpido!
El buen trato al cliente, al usuario, debe ser lo primero.
Como “remedio” para sus usuarios, Equifax ha montado una web «espejo» de la suya, con una herramienta gratuita que les permite:
1.- comprobar si sus datos habían sido afectados.
2- en caso afirmativo, comprobar si su calificación crediticia ha cambiado (a consecuencia del ataque, o actividades fraudulentas posteriores, se entiende).
El problema es que, para utilizar esta herramienta, el usuario tiene que aceptar unas condiciones generales, entre las que, al parecer, se incluye…
¡¡una renuncia a interponer acciones judiciales de responsabilidad contra la compañía!!.
Apaga y vámonos.
Hoy continúa el confusionismo en los medios sobre el alcance real de estas condiciones.
¿Cual es el problema?
Vale, la renuncia obligatoria al derecho a reclamar en este caso, de confirmarse, sería aberrante.
Pero es que aunque finalmente se hayan malinterpretado los términos y condiciones de la “herramienta”, la mera situación de incertidumbre jurídica es sencillamente inaceptable para el usuario, y no hace más que debilitar aún más la posición de Equifax.
Equifax ha conseguido situarse en las antípodas de la Responsabilidad proactiva, o accountability
Equifax ha conseguido situarse en las antípodas de la Responsabilidad proactiva, o accountability. Y todo, gracias a su dilatadísimo e injustificable tiempo de respuesta, y a su controvertida (por decir lo menos) solución para su cliente afectado.
3.- Tropezar tres veces con la misma piedra
Es la tercera vez que les ocurre.
Que le roben los datos a Equifax es como que le roben el dinero a un banco.
El tratamiento de esos datos, y por tanto su protección es la razón de ser de la compañía.
El core de negocio de Equifax son los datos de sus usuarios. Una cantidad inimaginable de datos vinculados que le permiten prestar ese servicio de calificación crediticia.
Sabemos que en materia de ciberseguridad el riesgo cero no existe, pero seguridad y privacidad tienen que ser la principal preocupación de una empresa como Equifax.
Pero resulta que el ataque se atribuye a una vulnerabilidad en un software de Apache conocida desde marzo pasado, y para la que estaban disponibles los parches de seguridad oportunos.
Conclusión: el riesgo de no hacer nada
En definitiva, para evitar que nuestra empresa en caso de “data breach” se quede entre la espada (demandas de nuestros clientes) y la pared (sanciones de la autoridad reguladora, en especial la Agencia Española de Protección de Datos) deberíamos:
- Contratar la implementación de un protocolo de respuesta frente a data breach (brecha de seguridad) y data leak (robo de datos), con un asesoramiento mixto (jurídico y tecnológico) que permita un diagnóstico, balance de daños y respuesta rápida ante usuarios y autoridades (sin olvidarnos de nuestros consejero delegado o director general).
- Esta implementación preventiva permitirá acelerar la detección de la entrada de terceros, abortarla y preconstituir pruebas forensic que permitan la persecución del responsable (muchas veces el atacante está en casa o es un antiguo conocido).
Buena semana.
Jorge García Herrero. Abogado.
