El Disenso

Brecha de seguridad en Equifax Argentina expone los datos personales de miles de usuarios de Veraz

por
en Sociedad

La semana pasada, la empresa Equifax (Veraz) tuvo una brecha de seguridad en la que se divulgaron los datos sensibles de 143 millones de estadounidenses. Ayer el periodista Brian Krebs del The Washington Post denunci贸 desde su blog que a trav茅s del portal de empleados de Equifax Argentina quedaron expuestos los datos de 14 mil usuarios, pero seg煤n la informaci贸n publicada, la brecha podr铆a haber afectado a decenas de miles de argentinos que interactuaron con la empresa en los 煤ltimos 10 a帽os.

Equifax divulg贸 la semana pasada una violaci贸n de seguridad en la que quedaron expuestos los datos sensibles de aproximadamente 143 millones de estadounidenses. En esa oportunidad, la empresa dijo que la violaci贸n tambi茅n afect贸 a un n煤mero indeterminado de personas en Canad谩 y el Reino Unido. Equifax es una de las tres mayores agencias de informes de cr茅dito al consumidor del mundo, y trabaja manteniendo registros financieros diarios, que las empresas y personas pueden consultar antes de tomar una decisi贸n como otorgar un pr茅stamo o autorizar un cr茅dito. De acuerdo a los t茅rminos legales de la empresa, los consumidores tienen el derecho legal de disputar cualquier informaci贸n en su informe de cr茅dito que consideren inexacto.

El periodista Brian Krebs fue contactado por Alex Holden de Hold Security. El equipo de Hold cuenta entre sus miembros con 2 expertos argentinos que fueron quienes, luego de conocerse la falla de seguridad en Estado Unidos, se dedicaron a revisar las operaciones de Equifax en Sudam茅rica. Ellos fueron quienes descubrieron el portal para empleados de Equifax Argentina desde donde al empresa maneja las disputas de los consumidores. La aplicaci贸n web no solo era abierta, sino que estaba protegida con los datos de usuario y contrase帽a mas b谩sicos: “admin/admin”.

Al ingresar a la web, los expertos pudieron ver los nombres de m谩s de 100 empleados de Equifax en Argentina, junto a su identificaci贸n de empleado y direcci贸n de correo electr贸nico. La p谩gina “lista de usuarios” tambi茅n inclu铆a un bot贸n que cualquier persona que hubiese ingresado con el usuario y contrase帽a admin/admin pod铆a utilizarlo para agregar, modificar o eliminar cuentas de usuario en el sistema. Los datos de seguridad se guardaban en texto plano y pod铆an verse f谩cilmente al hacer click derecho sobre la pagina y leer el c贸digo fuente.

Todas las contrase帽as de los empleados coincid铆an con el nombre de usuario, y cada nombre de usuario era su apellido o bien su primer nombre + su apellido. Si conoc铆as a un empleado de Equifax en Argentina, por ejemplo con solo consultar en LinkedIn hay acceso a 111 nombres de empleados y ex empleados de la empresa, pod铆as tener acceso al portal en cuesti贸n.

Lo que m谩s preocup贸 a los expertos fue la p谩gina principal del portal desde donde se acced铆a a un listado de 715 p谩ginas de reclamos y disputas de m谩s de 14 mil usuarios argentinos, realizadas durante la 煤ltima d茅cada, conteniendo sus datos personales incluyendo su DNI guardado nuevamente en texto plano.

Jorge Speranza, gerente de tecnolog铆a de informaci贸n de Hold Security, es uno de los dos expertos que verific贸 la brecha de seguridad y declar贸 estar “horrorizado al ver los datos personales de tantos argentinos protegidos por una seguridad pr谩cticamente inexistente“.

Krebs llev贸 la brecha hasta Equifax y luego fue contactado por un equipo de abogados que representan localmente a la empresa. Desde Equifax le confirmaron que el portal Veraz estaba deshabilitado y que estaban investigando c贸mo pudo haber sucedido esto.

En Argentina, “Organizaci贸n Veraz SA Comercial de Mandatos e Informes” comenz贸 a funcionar en 1957, y actualmente es la empresa privada que tiene la mayor cantidad de datos financieros de personas y empresas. En 1994 se asoci贸 con la empresa Banelco, y ese mismo a帽o Equifax de Estados Unicods compr贸 un 14% del paquete accionario. En 1998 el principal accionista de la empresa, Gabriel Yel铆n, le vendi贸 el 66% de la compa帽铆a a Equifax. A esa fecha el 17% restante estaba a manos de Banelco. En ese momento la empresa almacenaba en sus computadoras los datos de todo el padr贸n electoral y ofrec铆a la informaci贸n financiera de 20 millones de argentinos. En la actualidad se desconoce cuantos datos manejan o la composici贸n accionaria de la compa帽铆a.

Actualmente el presidente聽 y gerente de Equifax es Santiago Roberto Pordelanne, quien el a帽o pasado fue recibido por el gobierno de Cambiemos en el Ministerio de Modernizaci贸n y en la Oficina Anticorrupci贸n. El 8 de agosto Pordelanne se reuni贸 con Mar铆a In茅s Baqu茅, Secretar铆a de Gesti贸n e Innovaci贸n P煤blica, a quien le present贸 las “capacidades” de Equifax sobre el mercado bancarizado y los “nuevos servicios que ofrecen a partir de la incorporaci贸n de la tecnolog铆a y redes sociales“. Dos meses despu茅s, Pordelanne se reuni贸 con Laura Alonso para “Explorar oportunidades de colaboraci贸n en el proceso de lucha contra la corrupci贸n y promoci贸n de herramientas de prevenci贸n e investigaci贸n de conductas contrarias a la 茅tica y la integridad en la funci贸n p煤blica“.

Desde Febrero de 2002, Equifax posee una sociedad comercial con Correo Argentino, desde donde se pueden adquirir los productos de la empresa Organizaci贸n VERAZ S.A. (Equifax)

Los informes de Equifax se dividen en 2 categor铆as:

Veraz Personal
Incluye: validaci贸n de su identidad, la base de relaciones existentes con terceras personas o empresas (estado civil en caso de individuos, sociedades, etc.), el historial financiero de adquisici贸n o cancelaci贸n de productos y/o deudas en bancos pertenecientes al Veraz Credit Bureau, datos acerca del cumplimiento e incumplimiento de sus obligaciones comerciales y crediticias publicados por el Banco Central, AFIP y los aportados por clientes de Veraz, cheques rechazados en los 煤ltimos 6 meses, procesos judiciales y extrajudiciales, pedidos de quiebra, concursos y quiebras, el acceso a bancos, empresas o individuos a su informe Veraz durante los 煤ltimos 6 meses.

Veraz Comercial
Incluye: validaci贸n de identidad de la persona o empresa consultada, datos acerca del cumplimiento de compromisos publicados por el Banco Central y los aportados por los clientes de Veraz, el historial financiero o cancelaci贸n de productos y/o deudas en bancos pertenecientes al Veraz Credit Boureau, cheques rechazados los 煤ltimos 24 meses, procesos judiciales y extrajudiciales, pedidos de quiebra, juicios, concursos o deudas comerciales.



**Si vas a levantar esta nota en tu medio, por favor respet谩 nuestro trabajo y cit谩 la fuente. Gracias!**

Para que este proyecto contin煤e y podamos redoblar nuestro trabajo, te invitamos a

? ?


 

Deja un comentario

Your email address will not be published.

*