Son unas semanas complicadas para Equifax, la compañía dedicada al riesgo crediticio. Después de que fueran víctimas de lo que muchos llaman "el robo de datos más grande de la historia financiera" en los Estados Unidos, ahora la lupa se volvió a posar sobre ellos. Y, a contramano de lo que sucedió aquella vez --en la que los usuarios argentinos no fueron afectados-- esta vez la falla de seguridad incluye, sí, a una marca local: Veraz.

Según reportó ayer Brian Krebs, un conocido experto en ciberseguridad, la falla en seguridad expuso los datos de aproximadamente 14.000 registros, incluidos los de empleados de Veraz en el país y de todos aquellos que hayan hecho un reclamo ante la entidad. "Lo que se filtró fueron los reclamos, que incluían usuarios, clave, DNI y nombre completo", explica Iván Arce, especialista en seguridad informática y CTA de Quarkslab. Si estás en ese grupo, es posible que tus datos hayan sido vulnerados.

Una screencap tomada del sitio de Veraz, que expone datos de empleados y clientes.

La falla fue verificada por la compañía Hold Security que cuenta entre sus empleados a dos argentinos que, curiosos después del breach que había sufrido Equifax en Estados Unidos, se pusieron a investigar qué otras fallas de seguridad podían estar teniendo. Ahí encontraron rápidamente que un portal interno de Equifax, diseñado para ser usado por empleados, tenía bajas medidas de seguridad --usaba un password por default, el famoso admin/admin-- y que exponía 750 páginas de datos. "Las contraseñas flojas eran solo uno de los problemas. Las medidas de seguridad que tenía el sitio eran pésimas. Guardaban las claves sin cifrar entonces si tenían un problema de seguridad las claves quedaban todas expuestas", dice Arce.

Según reportó Krebs, Veraz fue alertado de esta falla y bajó ese portal ayer por la tarde. Infotechnology se comunicó con Equifax, que envío este comunicado. "Se ha descubierto una potencial vulnerabilidad en un portal interno de Equifax Argentina que no afecta de modo alguno a los consumidores ni a la información comercial y crediticia contenida en nuestra Base de Datos. Esta alcanzó a una cantidad limitada de información referida a consumidores que se contactaron con nuestro Centro de Atención al Público para verificar el estado de su trámite de actualización de informe, y empleados que los atendieron. La Base de Datos de Equifax no fue vulnerada ni víctima de ningún cyberataque, este hecho no guarda relación alguna con el ataque de cyberseguridad que ocurrió en Estados Unidos la semana pasada. Actuamos inmediatamente para corregir la situación y vamos a continuar comprobando y mejorando nuestras medidas de seguridad tanto en la Argentina como en la región".

