Brecha de seguridad en Equifax Argentina expone los datos personales de miles de usuarios de Veraz

El Disenso

La semana pasada, la empresa Equifax (Veraz) tuvo una brecha de seguridad en la que se divulgaron los datos sensibles de 143 millones de estadounidenses. Ayer el periodista Brian Krebs del The Washington Post denunció desde su blog que a través del portal de empleados de Equifax Argentina quedaron expuestos los datos de 14 mil usuarios, pero según la información publicada, la brecha podría haber afectado a decenas de miles de argentinos que interactuaron con la empresa en los últimos 10 años.

Equifax divulgó la semana pasada una violación de seguridad en la que quedaron expuestos los datos sensibles de aproximadamente 143 millones de estadounidenses. En esa oportunidad, la empresa dijo que la violación también afectó a un número indeterminado de personas en Canadá y el Reino Unido. Equifax es una de las tres mayores agencias de informes de crédito al consumidor del mundo, y trabaja manteniendo registros financieros diarios, que las empresas y personas pueden consultar antes de tomar una decisión como otorgar un préstamo o autorizar un crédito. De acuerdo a los términos legales de la empresa, los consumidores tienen el derecho legal de disputar cualquier información en su informe de crédito que consideren inexacto.

El periodista Brian Krebs fue contactado por Alex Holden de Hold Security. El equipo de Hold cuenta entre sus miembros con 2 expertos argentinos que fueron quienes, luego de conocerse la falla de seguridad en Estado Unidos, se dedicaron a revisar las operaciones de Equifax en Sudamérica. Ellos fueron quienes descubrieron el portal para empleados de Equifax Argentina desde donde al empresa maneja las disputas de los consumidores. La aplicación web no solo era abierta, sino que estaba protegida con los datos de usuario y contraseña mas básicos: “admin/admin”.

Al ingresar a la web, los expertos pudieron ver los nombres de más de 100 empleados de Equifax en Argentina, junto a su identificación de empleado y dirección de correo electrónico. La página “lista de usuarios” también incluía un botón que cualquier persona que hubiese ingresado con el usuario y contraseña admin/admin podía utilizarlo para agregar, modificar o eliminar cuentas de usuario en el sistema. Los datos de seguridad se guardaban en texto plano y podían verse fácilmente al hacer click derecho sobre la pagina y leer el código fuente.

Todas las contraseñas de los empleados coincidían con el nombre de usuario, y cada nombre de usuario era su apellido o bien su primer nombre + su apellido. Si conocías a un empleado de Equifax en Argentina, por ejemplo con solo consultar en LinkedIn hay acceso a 111 nombres de empleados y ex empleados de la empresa, podías tener acceso al portal en cuestión.

Lo que más preocupó a los expertos fue la página principal del portal desde donde se accedía a un listado de 715 páginas de reclamos y disputas de más de 14 mil usuarios argentinos, realizadas durante la última década, conteniendo sus datos personales incluyendo su DNI guardado nuevamente en texto plano.

Jorge Speranza, gerente de tecnología de información de Hold Security, es uno de los dos expertos que verificó la brecha de seguridad y declaró estar “horrorizado al ver los datos personales de tantos argentinos protegidos por una seguridad prácticamente inexistente“.

Krebs llevó la brecha hasta Equifax y luego fue contactado por un equipo de abogados que representan localmente a la empresa. Desde Equifax le confirmaron que el portal Veraz estaba deshabilitado y que estaban investigando cómo pudo haber sucedido esto.

En Argentina, “Organización Veraz SA Comercial de Mandatos e Informes” comenzó a funcionar en 1957, y actualmente es la empresa privada que tiene la mayor cantidad de datos financieros de personas y empresas. En 1994 se asoció con la empresa Banelco, y ese mismo año Equifax de Estados Unicods compró un 14% del paquete accionario. En 1998 el principal accionista de la empresa, Gabriel Yelín, le vendió el 66% de la compañía a Equifax. A esa fecha el 17% restante estaba a manos de Banelco. En ese momento la empresa almacenaba en sus computadoras los datos de todo el padrón electoral y ofrecía la información financiera de 20 millones de argentinos. En la actualidad se desconoce cuantos datos manejan o la composición accionaria de la compañía.

Actualmente el presidente  y gerente de Equifax es Santiago Roberto Pordelanne, quien el año pasado fue recibido por el gobierno de Cambiemos en el Ministerio de Modernización y en la Oficina Anticorrupción. El 8 de agosto Pordelanne se reunió con María Inés Baqué, Secretaría de Gestión e Innovación Pública, a quien le presentó las “capacidades” de Equifax sobre el mercado bancarizado y los “nuevos servicios que ofrecen a partir de la incorporación de la tecnología y redes sociales“. Dos meses después, Pordelanne se reunió con Laura Alonso para “Explorar oportunidades de colaboración en el proceso de lucha contra la corrupción y promoción de herramientas de prevención e investigación de conductas contrarias a la ética y la integridad en la función pública“.

Desde Febrero de 2002, Equifax posee una sociedad comercial con Correo Argentino, desde donde se pueden adquirir los productos de la empresa Organización VERAZ S.A. (Equifax)

Los informes de Equifax se dividen en 2 categorías:

Veraz Personal
Incluye: validación de su identidad, la base de relaciones existentes con terceras personas o empresas (estado civil en caso de individuos, sociedades, etc.), el historial financiero de adquisición o cancelación de productos y/o deudas en bancos pertenecientes al Veraz Credit Bureau, datos acerca del cumplimiento e incumplimiento de sus obligaciones comerciales y crediticias publicados por el Banco Central, AFIP y los aportados por clientes de Veraz, cheques rechazados en los últimos 6 meses, procesos judiciales y extrajudiciales, pedidos de quiebra, concursos y quiebras, el acceso a bancos, empresas o individuos a su informe Veraz durante los últimos 6 meses.

Veraz Comercial
Incluye: validación de identidad de la persona o empresa consultada, datos acerca del cumplimiento de compromisos publicados por el Banco Central y los aportados por los clientes de Veraz, el historial financiero o cancelación de productos y/o deudas en bancos pertenecientes al Veraz Credit Boureau, cheques rechazados los últimos 24 meses, procesos judiciales y extrajudiciales, pedidos de quiebra, juicios, concursos o deudas comerciales.

Seguí las investigaciones de
El Disenso en 👉WhatsApp👈

Este medio se sostiene gracias a la colaboración de nuestros lectores.
Te invitamos a 👉Colaborar con El Disenso👈


Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *