Equifax es una empresa americana que recaba información sobre los hábitos de pagos de deudas y facturas de individuos, elaborando un perfil que permite conocer el comportamiento crediticio de los mismos, lo que en EEUU se llama credit score - calificación crediticia -. Las entidades que prestan dinero utilizan esta calificación para saber la probabilidad que tiene una persona de pagar sus deudas y, por tanto, para saber si le conceden un crédito.
Estados Unidos es un país donde las redes de seguridad que tiene el Estado para sus ciudadanos no se encuentran tan desarrolladas como en Europa. Esto hace, según algunos economistas, como Raghuram Rajan, el crédito en Estados Unidos viene a jugar el papel de parte del Estado de Bienestar europeo. Estas calificaciones de crédito algo básico en el sistema financierop americano, dada la importancia que tiene el crédito.
La semana pasada se publíco la noticia que Equifax había sufrido un robo de datos que afecta a unos 143 millones de ciudanos americanos. Entre los datos que robaron de la compañía están números de la seguridad social, fechas de nacimiento, nombres de las personas, direcciones e incluso números de permisos de conducir, información que es extremadamente sensible en un sistema como el americano.
El uso de estos datos por parte de criminales de todo tipo puede dar lugar a fraudes o suplantación de identidades, siendo esto último lo más grave, ya que estos datos pueden usarse para obtener receta médicas, abrir cuentas corrientes, usar los números del carnet de conducir para saltarse las normas de tráfico y cargar a otro las multas, etc.
¿Y dónde se ha producido el fallo de seguridad?. Parece ser que uno de los servicios web de Equifax usaba Apache Struts, un framework usado para crear aplicaciones web usando java. Parece ser que el ataque se realizó el pasado mes de julio aprovechando un problema de seguridad desconocido por los desarrolladors - zero day -. Este software es usado en multitud de productos, lo cual ha obligado a diversos fabricantes de software a repasar sus programas. Por ejemplo Cisco ha publicado un boletín de seguridad de los productos afectados por este fallo. Los desarrolladores de Struts han publicado una carta hablando del este robo de datos.
Por otra parte si es posible hacer software más seguro contra fallos. Se ve todos los días funcionando programas en sistemas de misión crítica como aviónica o sistemas que tienen que estar certificados por diversar autoridades para poder usarse en el entorno crítico para el cual han sido diseñados. Ahora, se puede imaginar el dinero y tiempo que costaría hacer un simple servidor web siguiendo los criterios que se utilizan en otras industrias y teniendo en cuenta que el mundo de internet, muchas veces no importa llegar con un producto completo y pulido, sino con un producto que de una funcionalidad atractiva al usuario y poder alcanzar la suficiente masa crítica que permita a la empresa sobrevivir: La seguridad, muchas veces, puede pasar a un segundo plano, a pesar que cada vez hay más normativa que obliga a cumplir una serie de estándares.
El caso de Equifax con Apache Strut tiene otro punto de vista que hay que estudiar: Cuando en un producto se integra software de terceros, siempre hay que estar atentos al desarrollo y mantenimiento del mismo, especialmente en todo lo relacionado con la seguridad y si ese software manipulará directamente contenido que llegue de los usuarios, que por definición, no se puede confiar en él. Han existido multitud de problemas en programas que usaban librerías desactualizas o mal mantenidas.
No hay comentarios:
Publicar un comentario