Hace unos días atrás se registró un hackeo a la base de datos de la empresa Equifax, una organización dedicada a análisis crediticios.
En ese entonces se supo que el inconveniente se produjo en su web principal y dejó vulnerable los datos de más de 143 millones de personas.
Sin embargo, sea por alguna de esas casualidades de la vida o como una consecuencia de aquella causa previa, ahora se acaba de registrar una nueva brecha de seguridad vulnerada para Veraz, la versión local de Argentina para Equifax.
Lo primero a destacar en todo esto es que en esta ocasión no se trató de un ciberataque como tal, sino más bien fue el resultado de una investigación que sirvió justamente para alertar a la organización afectada, además de denotar la ridícula manera de pasar la franja de seguridad del sitio.
La firma Hold Security, formada por 30 empleados de los cuales dos son de origen argentino, se encontraba estudiando el alcance de la primera brecha de Equifax y trataba de ver cómo podía afectar esto en los países de América del Sur.
Ni bien se pusieron “manos a la obra”, los investigadores se percataron de un portal que estaba destinado para los empleados de Veraz. Alex Holden, fundador de Hold Security, relató qué hizo su equipo cuando llegó a ese punto:
“La página mostraba una búsqueda usando el DNI y el sexo de una persona. Esto nos indicó que la seguridad era débil. Acortando la URL de https://online.org.veraz.com.ar/IVR/faces/_web/webequifax.jsp a https://online.org.veraz.com.ar/IVR/ nos llevó a una pantalla de ingreso”.
Como bien dijo el sitio KrebsOnSecurity, “lo que vino después, fue lo más grave”. Es decir, según siguió relatando Holden:
“Sabemos que las pantallas de ingreso se ponen por seguridad. De todos modos verificar las credenciales básicas es rutina. admin como usuario y también como contraseña fue nuestro intento original y resultó ser el único. Lo que se nos presentó fue preocupante desde el punto de vista de la seguridad informática.”
Sí, como pudiste haberte imaginado en base a la interpretación de estas palabras textuales, los empleados de Equifax Argentina accedían a ese portal con el nombre de usuario y contraseña admin.
Una vez dentro, los investigadores descubrieron que podían acceder a los nombres de usuario, identificación de empleado y dirección de correo electrónico de más de 100 empleados de Veraz. Es más, hasta se podía editar y/o eliminar determinados datos de ese listado. Si se hacía clic derecho en el perfil de algún obrero y se escogía la opción “view source” (ver fuente), se accedía a la contraseña del nombre de ese usuario en un archivo de texto plano en HTML. Si a eso le consideramos una búsqueda realizada en LinkedIn, notamos que Veraz posee 111 empleados en su plantilla, por lo tanto, había bastante información para recolectar.
Ahora, si pensabas que con eso el panorama estaba complicado, te quedaste corto… pues aún hay más. También se pudo dar con una planilla que contenía unas 715 páginas de reclamos y disputas de clientes de Veraz por medio de su call center en la última década. Allí se encontraban más de 100.000 faxes traspasados entre enero y septiembre del presente año, teléfonos, direcciones de e-mail, DNI y números de seguro social de todos esos allegados. Para hacerla fácil, en total había más de 14.000 registros expuestos.
Por suerte, es bueno saber que la gente de Hold Security decidió no abrir ningún archivo delicado como fax ni nada de ello, todo “por respeto a las potenciales víctimas”, según declararon.
Jorge Speranza , Gerente de Tecnología de la Información en Hold Security, es de origen argentino y admitió estar horrorizado al ver que la seguridad de los datos de tantos ciudadanos de su país quedaban expuestos tras un sistema muy fácil de burlar.
Ahora bien, acá es cuando viene “la pregunta del millón”: ¿Tiene alguna relación este hecho con el sucedido en primera instancia, o sea, con aquel hackeo masivo a Equifax registrado la semana pasada?
Sobre ello, Enrique Pugliano, Director de Asuntos Legales de Veraz, dijo lo siguiente:
“No tiene conexión con lo que pasó acá. Son hechos aislados. Nuestra base de datos no fue hackeada, no corrieron un set de herramientas para explotar vulnerabilidades ni hubo un intento de intrusión. Es algo que quedó desatendido”.
Fernando Spettoli, Vicepresidente de Seguridad para Latinoamérica de Equifax, también comunicó unas palabras para tratar de defender un poco más a su empresa:
“(Lo ocurrido en Veraz) No fue una vulnerabilidad. Fue un error de gestión interna de nuestro sistema. Esta base no debió haber estado publicado en internet nunca, era un sistema en desuso. Pero no hubo ningún ataque, ni explotación de la vulnerabilidad. Fue un error en la configuración.”
En otras palabras, si bien intentar denotar el ser dos hechos separados, lo cierto es que parece ser demasiada casualidad. O en todo caso, y cuanto menos, llamativo.
Y mucho ojo, porque Equifax realiza operaciones en otros países de Sudamérica, nos referimos a Brasil, Chile, Ecuador, Paraguay, Perú y Uruguay. Hasta el momento no se tiene noción de que el inconveniente revelado en Argentina afecte a las otras naciones, pero igualmente es un tema a no dejar pasar y genera necesidad de mucha atención y vigilancia.
Para finalizar, los clientes de Equifax Argentina que deseen saber de su situación actual o realizar cualquier otro tipo de consulta pueden contactarse al call center de Atención al Público de la empresa al teléfono 011 5352 4800 o bien escribir a la dirección [email protected].
Fuentes: KrebsOnSecurity – La Nación
