La semana pasada, Equifax desveló que había sufrido un hackeo masivo y que estaban afectados unos 143 millones de personas, casi la mitad de los ciudadanos de Estados Unidos. Esta empresa se encarga de ofrecer informes crediticios a instituciones bancarias, por lo que la sensibilidad de los datos que manejan es máxima.

Equifax desvela más detalles de cómo hackearon los datos de 143 millones de personas

El problema es que esta sensibilidad no para haberles importado mucho, ya que cometieron dos fallos garrafales. Uno de ellos tiene que ver con su oficina de Argentina, que utilizaba la contraseña admin/admin para acceder a los datos, pudiendo añadir y modificarlos a placer. Aun así, el verdadero fallo que permitió acceder a los datos tuvo que ver con una vulnerabilidad de una aplicación web que ya había sido parcheada dos meses antes.

Después de haber estado investigando el robo de datos con una empresa de seguridad independiente para ver cuánta información fue robada y a cuántos usuarios afectó, descubrieron que la vulnerabilidad concreta que usaron fue Apache Struts CVE-2017-5638.

Apache Struts se utiliza para desarrollar aplicaciones basadas en Java que funcionan tanto en el front-end como en el back-end de las webs, y se utiliza mucho por bancos, agencias gubernamentales y grandes empresas a nivel mundial. Las otras agencias de Estados Unidos que realizan informes crediticios también lo utilizan, pero al parecer no han sido hackeadas porque probablemente ya parcheasen las vulnerabilidades.

Más de dos meses sin parchear un gravísimo fallo de seguridad

Este fallo fue parcheado el 6 de marzo, y sólo 3 días después de ser publicado el parche, esta vulnerabilidad empezó a explotarse de manera masiva por hackers para instalar aplicaciones en servidores web de manera remota, pasando a ser detectados 1.600 intentos de ataque el 11 de marzo. El hackeo a Equifax se produjo a mediados de mayo, más de dos meses después de que el parche hubiera sido publicado.

Así, el informe publicado hoy por Equifax demuestra que no habían actualizado sus aplicaciones web a pesar de que el bug estaba parcheado y sus efectos adversos eran ampliamente conocidos, dando acceso a los atacantes para tomar el control de páginas web. Esta dejadez vino probablemente porque el proceso de instalación del parche era bastante tedioso.

En concreto, era necesario descargar una versión actualizada de Struts, y usarla para reconstruir todas las aplicaciones web que usaran versiones antiguas de Struts. Webs tan grandes como Equifax probablemente tenían decenas o cientos de aplicaciones en varios servidores distintos en todas partes del mundo. Además, una vez son reconstruidas, las aplicaciones tienen que ser probadas para comprobar que no fallan y que son seguras.

Sea como fuere, la compañía debe ser juzgada por una negligencia grave, al no tratar con la debida seguridad los datos de sus clientes. Ahora mismo los datos de 143 millones de personas, abarcando nombre, fecha de nacimiento, dirección, deudas y hasta incluso números de tarjetas de crédito en algunos casos están pululando en manos indebidas, y un día de estos aparecerán en la Dark Web al mejor postor. Si no han aparecido es porque los principales mercados negros cayeron hace unos meses, quedando otros menores como Dream o TradeRoute.