27/9

Equifax y Deloitte: Cómo evitarlo

Recientemente, las empresas Equifax y Deloitte sufrieron ataques informáticos que resultaron en severos perjuicios.

Equifax es considerada la empresa con mayor control crediticio del mundo, y Deloitte pertenece al grupo determinado “Big Four” (“Los 4 grandes”), por su amplia cobertura de servicios y disponibilidad mundial. Ambas están consolidadas como grandes entidades en sus correspondientes industrias.

La reputación de ambas empresas fue dañada por los recientes hechos, dada la rápida distribución de la noticia en los medios, en la bolsa, en el ámbito judicial y en las redes sociales, aunque los detalles de los incidentes no fueron publicados por las víctimas, por temor a la mala publicidad, a la pérdida de reputación, a los daños económicos, etcétera.

Lo sucedido en ambos casos puede resumirse de la siguiente manera:

Equifax:
El 17 de septiembre de 2017, la empresa notificó públicamente un acceso no autorizado a su infraestructura, realizado el día 29 de julio. La información descargada por los atacantes incluye, entre otros datos, los números de seguridad social, registros crediticios y números de tarjeta de crédito de 143 millones de ciudadanos norteamericanos, al igual que muchos de otros países. Dicha información fue puesta en venta de inmediato en el mercado negro.

Deloitte:
El 25 de septiembre de 2017, se hizo público el ataque que recibió la empresa, dejando expuestos emails de clientes y secretos comerciales. El incidente fue descubierto en marzo, sin embargo se estima que fue realizado durante octubre y noviembre de 2016.

Más allá de la preocupación, hay una pregunta escondida que merece ser realizada: ¿cómo pudo haber transcurrido tanto tiempo desde la fecha de estos incidentes hasta su descubrimiento?

La respuesta es cruda: los procesos de seguridad fallan.

¿Cómo evitarlo?

Ya se trate de una pequeña empresa o de una gran corporación multinacional, los procesos de protección, detección y corrección nunca son un 100 % efectivos.

Además, no se debe tener confianza absoluta en las medidas de seguridad implementadas, ni pasar por alto las auditorías y revisiones regulares.

La correcta combinación de procesos de defensa, junto a la ejecución de pruebas constantes y de mecanismos de detección pueden generar una diferencia significativa en el nivel de exposición de cualquier tipo de organización.