“La persona responsable de parchar el software, no lo hizo”: Así hackearon a Equifax

por

1245 posts

El ex CEO de la compañía se sentó frente al Congreso de Estados Unidos para dar detalles de la falla de seguridad.

Poco a poco se esclarece el caso del gigantesco hackeo a Equifax que sucedió hace unos meses atrás. Como bien se sabía, la falla se debió a un bug del sistema informático que no fue parchado a tiempo y según el ahora renunciado CEO de Equifax, la responsabilidad recae sobre una sola persona.

En una audiencia frente al congreso de Estados Unidos (vía The Verge), Richard Smith explicó en detalle lo sucedido: el equipo de seguridad de Equifax supo de la falla de Apache Struts, pero por algún motivo no consideraron que fuera tan crucial como para aplicar el parche correspondiente.

Y por eso, el sistema quedó abierto y quedó a merced de los atacantes que se metieron y robaron información.

Hubo un error humano ya que la persona responsable de decirle a la organización que aplicara el parche al sistema informático, no lo hizo.

También admitió Smith que Equifax tiene un protocolo para actualizaciones de software. Ese protocolo “se siguió de forma correcta”, pero que por algún motivo tanto la parte automatizada de ese protocolo como la parte manual fallaron a la hora de aplicar el parche.

El 9 de marzo, Equifax recibió una notificación del U.S. Cert indicando que el personal responsable de Apache Struts debía actualizar el software. De acuerdo al protocolo de Equifax, el departamento de seguridad requiere que los parches se apliquen en un período de 48 horas luego de recibido el aviso. Pero ahora sabemos que la versión vulnerable de Apache Struts no fue identificada ni parchada en respuesta a esa notificación del 9 de marzo.

El 15 de marzo, el departamento de seguridad de Equifax ejecutó un análisis que debió haber identificado las vulnerabilidades de Apache Struts, en ese entonces ya conocidas. Lamentablemente, el análisis no las identificó y los esfuerzos realizados durante todo el mes de marzo de 2017 no detectó ninguna vulnerabilidad en nuestros sistemas, por lo que la falla permaneció en nuestra aplicación web más tiempo del que debería.

El testimonio escrito de Richard Smith se encuentra en un documento público que cualquiera puede leer y es bastante clarificador respecto a lo que pasó. Que no deja de ser “curioso” por tratarse de Equifax, una compañía gigante que cayó simplemente porque el responsable de una parte tan importante de su negocio no estuvo a la altura de su cargo.