El hack de Equifax, que dejó al descubierto datos personales de 143 millones de personas a ciberdelincuentes desconocidos a partir de marzo, pero que no se hizo público hasta mediados de septiembre, fue totalmente evitable . La compañía estaba usando un software desactualizado con debilidades de seguridad conocidas. Pero parece que con Equifax, como con muchas organizaciones, éstas eran sólo el comienzo de los problemas.
Durante las últimas tres décadas hemos investigado, desarrollado y probado millones de líneas de software para muchos propósitos, incluyendo defensa y seguridad nacional, telecomunicaciones, servicios financieros, atención médica y juegos en línea. Con los años hemos observado que los medios técnicos por los cuales ocurre una violación a menudo revelan vulnerabilidades de software que necesitan arreglarse.
Pero cuando las debilidades digitales son conocidas públicamente antes de que ocurra un ataque -como con el caso de Equifax- el elemento más importante es por qué las empresas no se mueven más rápidamente para protegerse a sí mismas ya las personas cuyos datos almacenan. Tal como lo sugiere la salida repentina de tres de los principales líderes (incluido el CEO ) en Equifax, parte del problema es técnico, pero otra gran razón tiene que ver con la gestión y la estructura organizativa.
Complejidad interconectada
Equifax, al igual que la mayoría de las empresas Fortune 100 , estaba utilizando una plataforma de software de código abierto llamada Apache Struts para ejecutar partes de su sitio web. Cada pieza importante de software tiene vulnerabilidades, casi inevitablemente . Cuando se encuentran, normalmente la empresa u organización que escribe el software crea una corrección y la comparte con el mundo, junto con las notificaciones que los usuarios deben actualizar a la última versión. Para las personas habituales, a menudo es tan fácil como hacer clic en un botón para acordar la actualización de un sistema operativo o aplicación de software.
Para las empresas, el proceso puede ser mucho más difícil. En parte, esto se debe a que muchas compañías utilizan sistemas complejos de software interactivo para ejecutar sus sitios web.Cambiar un elemento puede afectar a las otras partes de maneras impredecibles. Este problema es especialmente cierto cuando las empresas utilizan el mismo hardware y software durante muchos años y no se mantienen al día con cada actualización a lo largo del camino. Sólo empeora las cosas cuando las empresas subcontratan su desarrollo de software y mantenimiento, negándose a sí mismos experiencia interna para usar cuando surgen problemas.
Las mejores prácticas de la higiene cibernética sugieren combinar el desarrollo y las operaciones (conocidas como “DevOps“) para simplificar el proceso de revisiones regulares y rápidas y actualizaciones. No practicar una buena higiene cibernética es como un médico que no se lava las manos, hacerlo puede tomar más tiempo y energía, pero protege a miles de pacientes de la infección.
Cuando la higiene cibernética funciona bien, es bastante eficaz. En abril de 2017, se dio la noticia de una falla importante en los sistemas iOS y Android que permitía a los piratas informáticos tomar remotamente los teléfonos inteligentes a través de Wi-Fi.Google y Apple abordaron inmediatamente el problema y distribuyeron parches para solucionarlo. Esta respuesta rápida indica que las empresas cuentan con procesos de desarrollo y operaciones que cumplen con los estándares de la industria para la escritura rápida, confiable y la implementación de actualizaciones de software.
Problemas en la parte superior
Más allá de los desafíos inherentes a la tecnología ya las prácticas empresariales actuales, la administración corporativa puede desempeñar un papel importante cuando los problemas se convierten en desastres.
Las empresas que tienen sistemas para la inversión regular en mantenimiento de software y reacción rápida a vulnerabilidades de seguridad pueden responder a problemas muy rápidamente, como lo hicieron Apple y Google. La lenta respuesta de Equifax sugiere que no estaba bien preparada de esa manera. Y la historia de la compañía de la subcontratació del desarrollo a otras localizaciones sugiere que no pudo haber nadie en casa para que hubiese trabajado en el software que necesitaba la actualización.
Las empresas bien administradas tienen altos ejecutivos que saben la importancia de contar con equipos de ciberseguridad listos para trabajar a toda hora cuando surjan vulnerabilidades. Y los líderes necesitan entender los riesgos de colocar información confidencial en línea, en lugar de la práctica de almacenarla en computadoras desconectadas – o “air-gapped” – de Internet. Desafortunadamente, cuando los altos ejecutivos de las empresas no son expertos en tecnología, a menudo carecen de comprensión de lo que está en juego y cómo proteger rápidamente la información valiosa.
Un largo camino por delante
Parece que los problemas de Equifax no están cerca de terminar. Después de que se revelara el incumplimiento mayor, las víctimas no tardaron en descubrir que incluso sus intentos de congelar su crédito serían frustrados por otro ejemplo de mala higiene cibernética de Equifax: El PIN creado por la empresa que un cliente utilizaría para descongelar el crédito estaba basado en la fecha y hora de la solicitud de congelación, y por lo tanto potencialmente adivinable por un atacante.
Más recientemente, la cuenta oficial de Twitter de la compañía repetidamente dirigió al público no a su propio sitio de seguridad, sino a un sitio de phishing que buscaba engañar a la gente para que divulgue su información personal.
Todos estos problemas, además de la lentitud de Equifax en la reparación de las principales vulnerabilidades de software, apuntan a la gestión corporativa como un elemento crucial para prevenir y recuperarse de las brechas de seguridad, o empeorándolas.
We use cookies on our website to give you the most relevant experience by remembering your preferences and repeat visits. By clicking “Accept All”, you consent to the use of ALL the cookies. However, you may visit "Cookie Settings" to provide a controlled consent.
This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Cookie
Duración
Descripción
cookielawinfo-checkbox-analytics
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional
11 months
The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy
11 months
The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
por Douglas C. Schmidt y Jules White
El hack de Equifax, que dejó al descubierto datos personales de 143 millones de personas a ciberdelincuentes desconocidos a partir de marzo, pero que no se hizo público hasta mediados de septiembre, fue totalmente evitable . La compañía estaba usando un software desactualizado con debilidades de seguridad conocidas. Pero parece que con Equifax, como con muchas organizaciones, éstas eran sólo el comienzo de los problemas.
Durante las últimas tres décadas hemos investigado, desarrollado y probado millones de líneas de software para muchos propósitos, incluyendo defensa y seguridad nacional, telecomunicaciones, servicios financieros, atención médica y juegos en línea. Con los años hemos observado que los medios técnicos por los cuales ocurre una violación a menudo revelan vulnerabilidades de software que necesitan arreglarse.
Pero cuando las debilidades digitales son conocidas públicamente antes de que ocurra un ataque -como con el caso de Equifax- el elemento más importante es por qué las empresas no se mueven más rápidamente para protegerse a sí mismas ya las personas cuyos datos almacenan. Tal como lo sugiere la salida repentina de tres de los principales líderes (incluido el CEO ) en Equifax, parte del problema es técnico, pero otra gran razón tiene que ver con la gestión y la estructura organizativa.
Complejidad interconectada
Equifax, al igual que la mayoría de las empresas Fortune 100 , estaba utilizando una plataforma de software de código abierto llamada Apache Struts para ejecutar partes de su sitio web. Cada pieza importante de software tiene vulnerabilidades, casi inevitablemente . Cuando se encuentran, normalmente la empresa u organización que escribe el software crea una corrección y la comparte con el mundo, junto con las notificaciones que los usuarios deben actualizar a la última versión. Para las personas habituales, a menudo es tan fácil como hacer clic en un botón para acordar la actualización de un sistema operativo o aplicación de software.
Para las empresas, el proceso puede ser mucho más difícil. En parte, esto se debe a que muchas compañías utilizan sistemas complejos de software interactivo para ejecutar sus sitios web. Cambiar un elemento puede afectar a las otras partes de maneras impredecibles. Este problema es especialmente cierto cuando las empresas utilizan el mismo hardware y software durante muchos años y no se mantienen al día con cada actualización a lo largo del camino. Sólo empeora las cosas cuando las empresas subcontratan su desarrollo de software y mantenimiento, negándose a sí mismos experiencia interna para usar cuando surgen problemas.
Las mejores prácticas de la higiene cibernética sugieren combinar el desarrollo y las operaciones (conocidas como “DevOps“) para simplificar el proceso de revisiones regulares y rápidas y actualizaciones. No practicar una buena higiene cibernética es como un médico que no se lava las manos, hacerlo puede tomar más tiempo y energía, pero protege a miles de pacientes de la infección.
Cuando la higiene cibernética funciona bien, es bastante eficaz. En abril de 2017, se dio la noticia de una falla importante en los sistemas iOS y Android que permitía a los piratas informáticos tomar remotamente los teléfonos inteligentes a través de Wi-Fi. Google y Apple abordaron inmediatamente el problema y distribuyeron parches para solucionarlo. Esta respuesta rápida indica que las empresas cuentan con procesos de desarrollo y operaciones que cumplen con los estándares de la industria para la escritura rápida, confiable y la implementación de actualizaciones de software.
Problemas en la parte superior
Más allá de los desafíos inherentes a la tecnología ya las prácticas empresariales actuales, la administración corporativa puede desempeñar un papel importante cuando los problemas se convierten en desastres.
Las empresas que tienen sistemas para la inversión regular en mantenimiento de software y reacción rápida a vulnerabilidades de seguridad pueden responder a problemas muy rápidamente, como lo hicieron Apple y Google. La lenta respuesta de Equifax sugiere que no estaba bien preparada de esa manera. Y la historia de la compañía de la subcontratació del desarrollo a otras localizaciones sugiere que no pudo haber nadie en casa para que hubiese trabajado en el software que necesitaba la actualización.
Para empeorar las cosas, el jefe de seguridad, que se jubiló junto con el director de información de la compañía y el CEO tras la violación, parece no tener antecedentes técnicos. Eso podría ayudar a explicar por qué Equifax experimentó brechas consecutivas que requieren asistencia externa: la primera en marzo y otra en julio .
Las empresas bien administradas tienen altos ejecutivos que saben la importancia de contar con equipos de ciberseguridad listos para trabajar a toda hora cuando surjan vulnerabilidades. Y los líderes necesitan entender los riesgos de colocar información confidencial en línea, en lugar de la práctica de almacenarla en computadoras desconectadas – o “air-gapped” – de Internet. Desafortunadamente, cuando los altos ejecutivos de las empresas no son expertos en tecnología, a menudo carecen de comprensión de lo que está en juego y cómo proteger rápidamente la información valiosa.
Un largo camino por delante
Parece que los problemas de Equifax no están cerca de terminar. Después de que se revelara el incumplimiento mayor, las víctimas no tardaron en descubrir que incluso sus intentos de congelar su crédito serían frustrados por otro ejemplo de mala higiene cibernética de Equifax: El PIN creado por la empresa que un cliente utilizaría para descongelar el crédito estaba basado en la fecha y hora de la solicitud de congelación, y por lo tanto potencialmente adivinable por un atacante.
Más recientemente, la cuenta oficial de Twitter de la compañía repetidamente dirigió al público no a su propio sitio de seguridad, sino a un sitio de phishing que buscaba engañar a la gente para que divulgue su información personal.
Todos estos problemas, además de la lentitud de Equifax en la reparación de las principales vulnerabilidades de software, apuntan a la gestión corporativa como un elemento crucial para prevenir y recuperarse de las brechas de seguridad, o empeorándolas.
Compartir esto: