El Ciberataque a Equifax y la importancia de la gestión en base a riesgos: fallos críticos, una historia que se repite hasta hoy.

El ciberataque a Equifax en 2017 fue un momento decisivo en la historia de la ciberseguridad. Afectó a aproximadamente 148 millones de personas y dejó claro que las fallas en la gestión de la seguridad pueden tener consecuencias muy graves. Este artículo se refiere a este caso, las fallas e incumplimiento que se constataron y que lamentablemente vemos que se repiten constantemente en ciberataques de gran magnitud hasta hoy.

Es el momento de aprender de las lecciones, de tomar en serio una adecuada gestión de riesgos. Los datos son contundentes de cualquier estudio que ustedes puedan revisar, la gran parte de los ciberataques no se debe a un aumento de su complejidad sino que a falencias preventivas básicas y la falta de logros operativo de los programas y políticas de ciberseguridad que se implementan dentro de las empresas.

Las medidas, prevenciones, planes que quedan en los papeles, políticas, contratos, no significan nada si no son operativas, y deben serlo – tanto – desde el punto de vista técnico y para que su cumplimiento pueda comprobarse – como – desde el punto de vista legal.

¿Qué Pasó con Equifax?
Equifax, una de las principales agencias de informes crediticios en Estados Unidos, sufrió un ciberataque que comprometió datos personales como nombres, números de Seguro Social, fechas de nacimiento, direcciones y, en algunos casos, números de licencia de conducir. Los hackers aprovecharon una vulnerabilidad en un software que usaban, llamado Apache Struts 2, para acceder a los sistemas de Equifax (Kabanov & Madnick, 2021).

El ataque comenzó en mayo de 2017 y no fue detectado hasta finales de julio, lo que permitió a los hackers robar datos durante mucho tiempo. Cuando el ataque se hizo público en septiembre de 2017, el valor de las acciones de Equifax se desplomó y la empresa enfrentó múltiples investigaciones (U.S. House of Representatives, 2018).

Fallos Críticos en Equifax
1. Mala Gestión de Vulnerabilidades y Parches
Uno de los problemas más grandes fue la gestión deficiente de vulnerabilidades y parches. La vulnerabilidad en Apache Struts 2 había sido identificada y parcheada meses antes del ataque. Sin embargo, Equifax no aplicó el parche a tiempo, lo que permitió a los atacantes explotar la debilidad.

Lección Aprendida: Es crucial que las organizaciones implementen un proceso riguroso y proactivo para la gestión de parches. Esto incluye identificar rápidamente las vulnerabilidades, priorizarlas según el riesgo y aplicar los parches lo antes posible. La automatización puede ayudar mucho en estos procesos (Kabanov & Madnick, 2021).

2. Falta de Monitoreo y Detección de Intrusiones
El ataque también destacó la importancia del monitoreo continuo y la detección de intrusiones. Los certificados SSL necesarios para monitorear el tráfico de red habían expirado, lo que permitió que el tráfico malicioso pasara sin ser detectado.

Lección Aprendida: Las organizaciones deben mantener una vigilancia continua y tener sistemas de detección de intrusiones bien configurados. Es vital actualizar y renovar regularmente los certificados de seguridad para que los sistemas de monitoreo funcionen correctamente (U.S. Senate, 2019).

3. Diseño Inseguro del Sistema
El diseño de los sistemas de Equifax permitió a los atacantes moverse lateralmente a través de la red y acceder a múltiples bases de datos. Esto muestra la necesidad de principios de diseño seguro, como la segmentación de la red y el principio de menor privilegio.

Lección Aprendida: Las organizaciones deben diseñar sus sistemas con una arquitectura de seguridad en mente. Esto significa segmentar adecuadamente los sistemas y los datos y limitar los accesos al mínimo necesario para las operaciones (Kabanov & Madnick, 2021).

4. Falta de Cifrado de Datos Sensibles
Equifax no cifró adecuadamente los datos sensibles almacenados en sus sistemas, lo que permitió a los atacantes acceder a la información en texto claro.

Lección Aprendida: Es fundamental que las organizaciones implementen el cifrado de datos tanto en reposo como en tránsito para proteger la información sensible, incluso si los sistemas son comprometidos (U.S. Senate, 2019).

5. Gestión Obsoleta de Certificados
El proceso manual y propenso a errores para gestionar y actualizar los certificados SSL fue un punto crítico de falla. Equifax reconoció el problema, pero no completó la implementación de una herramienta automatizada antes del incidente.

Lección Aprendida: Automatizar la gestión de certificados es esencial para evitar errores humanos y asegurar que los certificados se renueven y actualicen de manera oportuna (Kabanov & Madnick, 2021).

Importancia del Cumplimiento Regulatorio Basado en Riesgos
El incidente de Equifax subraya la importancia del cumplimiento con las normativas de seguridad y protección de datos. No cumplir con estas normativas puede resultar en sanciones significativas y dañar la reputación de la organización. Equifax llegó a un acuerdo con la Comisión Federal de Comercio (FTC), la Oficina de Protección Financiera del Consumidor (CFPB) y 50 estados de EE. UU., que incluyó el pago de al menos $575 millones (FTC, 2019).

Infracciones regulatorias
PCI DSS (Payment Card Industry Data Security Standard): Aunque Equifax procesaba transacciones con tarjetas de crédito, no cumplía con las normas PCI DSS. Cumplir con PCI DSS podría haber mitigado algunos de los riesgos de seguridad presentes en sus sistemas (FTC, 2019).

FCRA (Fair Credit Reporting Act): Esta ley requiere que las agencias de informes crediticios implementen medidas razonables para proteger la información de los consumidores. El incumplimiento de estas medidas contribuyó significativamente a la gravedad del incidente (U.S. House of Representatives, 2018).

GLBA (Gramm-Leach-Bliley Act): Esta ley exige que las instituciones financieras, incluidas las agencias de crédito, protejan la información sensible. La falta de medidas adecuadas de seguridad bajo GLBA también fue un factor en el ataque a Equifax (FTC, 2019).

Recomendación: Las organizaciones deben establecer programas de cumplimiento robustos que no solo se centren en cumplir con las regulaciones, sino que también promuevan una cultura de seguridad. Esto incluye auditorías regulares, evaluación de riesgos y la implementación de controles de seguridad basados en estándares reconocidos (U.S. Senate, 2019).

Estrategias básicas de ciberseguridad
1. Evaluación Continua de Riesgos
Las organizaciones deben llevar a cabo evaluaciones de riesgos continuas para identificar y abordar las vulnerabilidades antes de que puedan ser explotadas. Estas evaluaciones deben considerar tanto las amenazas internas como externas y adaptarse a las cambiantes condiciones del entorno de ciberseguridad.

Recomendación: Utilizar marcos de trabajo como el NIST Cybersecurity Framework para estructurar las evaluaciones de riesgos y guiar las mejoras en la postura de seguridad (NIST, 2018).

2. Gestión de riesgos de error humano
El factor humano sigue siendo la principal vulnerabilidad en materia de ciberseguridad.

Recomendación: Implementar gestion de riesgo de error humano en todos los niveles, con un enfoque particular en las mejores prácticas de seguridad, la identificación de phishing y la respuesta a incidentes (U.S. House of Representatives, 2018).

3. Respuesta a Incidentes y Recuperación
La capacidad de responder rápidamente a un incidente de ciberseguridad puede limitar el daño y acelerar la recuperación. Las organizaciones deben tener un plan de respuesta a incidentes bien definido y probado regularmente.

Recomendación: Desarrollar y mantener un plan de respuesta a incidentes que incluya procedimientos claros para la detección, contención, erradicación y recuperación de incidentes. Realizar simulacros de incidentes para asegurar que todos los involucrados estén preparados para responder eficazmente (FTC, 2019).

4. Implementación de Controles de Seguridad adecuados y eficaces
La implementación de controles de seguridad robustos, como firewalls de aplicaciones web (WAF), sistemas de prevención de pérdida de datos (DLP) y mecanismos de autenticación multifactor (MFA), puede prevenir ataques y minimizar su impacto.

Recomendación: Adoptar una estrategia de defensa en profundidad que combine múltiples capas de seguridad para proteger los activos críticos y detectar actividades maliciosas de manera temprana (U.S. Senate, 2019).

Conclusión
El ciberataque a Equifax es un recordatorio contundente de los riesgos asociados con la ciberseguridad y la importancia del cumplimiento regulatorio técnico-legal basado en riesgos. Las organizaciones deben aprender de este incidente y adoptar un enfoque proactivo para la gestión de la seguridad cibernética. Implementar prácticas robustas de gestión de vulnerabilidades, monitoreo y detección de intrusiones, diseño seguro del sistema y cifrado de datos, junto con un cumplimiento riguroso de las normativas, puede ayudar a proteger la información sensible y mantener la confianza de los clientes.

La seguridad cibernética no es solo una responsabilidad técnica, sino una obligación estratégica que requiere el compromiso y la colaboración de toda la organización. Solo a través de un enfoque integral y coordinado se pueden mitigar los riesgos y fortalecer la resiliencia frente a las crecientes amenazas cibernéticas.

Referencias
Federal Trade Commission. (2019). Equifax to pay $575 million as part of settlement with FTC, CFPB, and states related to 2017 data breach. Recuperado de https://www.ftc.gov/news-events/press-releases/2019/07/equifax-pay-575-million-part-settlement-ftc-cfpb-states-related

Kabanov, I., & Madnick, S. (2021). Applying the lessons from the Equifax cybersecurity incident to build a better defense. MIS Quarterly Executive, 20(2), 109-123. Recuperado de https://aisel.aisnet.org/misqe/vol20/iss2/4/

National Institute of Standards and Technology. (2018). Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1. Recuperado de https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf

U.S. House of Representatives. (2018). The Equifax data breach. Committee on Oversight and Government Reform. Recuperado de https://oversight.house.gov/report/the-equifax-data-breach/

U.S. Senate. (2019). How Equifax neglected cybersecurity and suffered a devastating data breach. Permanent Subcommittee on Investigations. Recuperado de https://www.hsgac.senate.gov/imo/media/doc/FINAL%20Equifax%20Report.pdf