La masiva violación de datos de la empresa de calificación crediticia Equifax que expuso los datos altamente sensibles de 143 millones de personas en Estados Unidos, Canadá y Reino Unido fue causada por la explotación de una falla en el framework Apache Struts, que Apache corrigió dos meses antes del incidente de seguridad, confirmó Equifax.
La agencia de calificación crediticia Equifax es otro ejemplo de que las compañías que son víctimas de ataques cibernéticos masivos debido a no parchar una vulnerabilidad crítica a tiempo, ya que los parches fueron emitidos por la fundación Apache meses antes de que ocurriera el hackeo de Equifax.
La vulnerabilidad de Apache Struts2, que ha recibido el código CVE-2017-5638 fue aprovechada por los ciberdelincuentes para ganar acceso a los servidores de Equifax, esta vulnerabilidad fue revelada y parchada por Apache el 6 de marzo del presente año con el lanzamiento de Apache Struts versión 2.3.32 o 2.5.10.1.
Esta falla es independiente de la recientemente divulgada CVE-2017-9805, otra vulnerabilidad de Apache Struts2 que fue remendada a principios de este mes, que era un error de programación que se manifiesta debido a la forma en que el plugin Struts REST maneja los mensajes XML mientras los deserializa y se corrigió en la versión de Struts 2.5 .13.
Inmediatamente después de la divulgación de la vulnerabilidad, los hackers comenzaron a explotar activamente la falla para instalar aplicaciones deshonestas en los servidores web afectados después de que un programa de prueba de concepto (PoC) se hizo pública en un sitio web chino.
A pesar de que los parches estaban disponibles y había pruebas de que la falla ya estaba siendo activamente explotada por los hackers, Equifax no había remendado sus aplicaciones web contra el error, lo que resultó en el robo de los datos personales de casi la mitad de la población de los EE.UU.
Lo que queda claro en este caso en particular la ineptitud del departamento a cargo en Equifax, ya que incluso estas laxas prácticas de seguridad se han detectado en la filiar argentina de Equifax llamada Veraz. En un post titulado “Ayuda! Equifax tiene mis datos!“, se reporta la espeluznante historia del sistema de administración de la disputas usados por los empleados de Veraz, que tenía como usuario “admin” y la clave del mismo era “admin”. No sólo eso, sino que si se conocía el nombre de algún trabajador de la empresa, lo cuál no era difícil de averiguar ya que en su página de LinkedIn aparecía la lista de sus empleados, los login era el apellido o nombre del trabajador y el password era exactamente el mismo.
Aquí una traducción de la parte más aterradora del pésimo estado de la seguridad en la filial de Equifax en Argentina:
No tomo mucho tiempo para que descubran que un portal en línea diseñado para permitir que los empleados de Equifax en Argentina manejar las disputas del informe de crédito de los consumidores en ese país estaba abierto, protegido por quizás la combinación de la contraseña más fácil de adivinar: “admin/admin”
[…]
Una vez dentro del portal, los investigadores descubrieron que podían ver los nombres de más de 100 empleados de Equifax en Argentina, así como su identificación de empleado y dirección de correo electrónico. La página “lista de usuarios” también incluía un botón que cualquier persona autenticada con el nombre de usuario y contraseña “admin/admin” podría usar para agregar, modificar o eliminar cuentas de usuario en el sistema. Una búsqueda en “Equifax Veraz” en Linkedin indica que la unidad tiene actualmente aproximadamente 111 empleados en Argentina.
[…]
Cada expediente del empleado incluyó un username de la compañía en texto llano y una contraseña correspondiente que fue ofuscada por una serie de puntos.
[…]
Sin embargo, todo lo que se necesitaba hacer para ver dicha contraseña era hacer clic con el botón derecho del ratón en la página de perfil del empleado y seleccionar “ver fuente”, una función que muestra el código HTML sin procesar que constituye el sitio Web. Dentro de ese código HTML estaba la contraseña del empleado en texto plano.
Una revisión de esas cuentas muestra que todas las contraseñas de los empleados eran las mismas que el nombre de usuario de cada usuario. Peor aún, el nombre de usuario de cada empleado parece ser nada más que su apellido o una combinación de su primer nombre y apellido. En otras palabras, si conocía el apellido de un empleado de Equifax Argentina, también podría elaborar su contraseña para este portal de disputa de crédito con bastante facilidad.
Lo más preocupante es que Equifax tiene presencia en varios países de Latinoamérica incluyendo el Perú, dónde la empresa es conocida como Infocorp. Así que este no es un problema que los peruanos consideremos que no nos afecte, por el contrario la globalización una vez más prueba que es una autopista de dos vías, en la cuál no solamente pueden llegar capitales que ayuden a desarrollar el país, sino también los problemas de robo de identidad que tanto afectan al primer mundo.
Me pregunto si no será a través de vulnerabilidades de este tipo que ciberdelincuentes pueden robar con total impunidad. Por ejemplo en los casos descritos en los reportajes de Panorama y Punto Final de hace pocas semanas, tal vez los casos reportados no es un error o abuso del banco, sino un incompetente manejo de la seguridad en la infraestructura tecnológica que permite que ciberdelincuentes roben a los clientes de la institución: