Estados Unidos dice que el ejército chino estuvo detrás del ataque de datos Equifax 2017


WASHINGTON (AP) – Cuatro miembros del ejército chino han sido acusados ​​de irrumpir en las redes de la agencia de informes de crédito Equifax y robar la información personal de decenas de millones de estadounidenses, dijo el Departamento de Justicia el lunes, culpando a Beijing de uno de los más grandes. hacks en la historia para apuntar a los datos del consumidor.

La violación de 2017 afectó a más de 145 millones de personas, y los piratas informáticos robaron con éxito nombres, direcciones, números de la Seguridad Social y de la licencia de conducir y otra información personal almacenada en las bases de datos de la compañía.

Los cuatro, miembros del Ejército Popular de Liberación, un brazo del ejército chino, también están acusados ​​de robar los secretos comerciales de la compañía, incluidos los diseños de bases de datos, dijeron funcionarios encargados de hacer cumplir la ley.

Los piratas informáticos acusados ​​explotaron una vulnerabilidad de software para obtener acceso a las computadoras de Equifax, obteniendo credenciales de inicio de sesión que utilizaron para navegar por las bases de datos y revisar los registros. La acusación también detalla los esfuerzos que los piratas informáticos realizaron para cubrir sus huellas, incluida la limpieza diaria de los archivos de registro y el enrutamiento del tráfico a través de docenas de servidores en casi 20 países.

“La magnitud del robo fue asombrosa”, dijo el lunes el fiscal general William Barr. “Este robo no solo causó daños financieros significativos a Equifax, sino que invadió la privacidad de muchos millones de estadounidenses e impuso costos y cargas sustanciales sobre ellos, ya que tuvieron que tomar medidas para protegerse contra el robo de identidad”.

Equifax, con sede en Atlanta, mantiene un depósito masivo de información del consumidor que vende a las empresas que buscan verificar identidades o evaluar la calidad crediticia. En total, dice la acusación, la compañía tiene información sobre cientos de millones de estadounidenses en los Estados Unidos y en el extranjero,

El caso es la última acusación del Departamento de Justicia contra hackers chinos sospechosos de violar redes de corporaciones estadounidenses. Se produce cuando la administración Trump advirtió contra lo que ve como la creciente influencia política y económica de China, y los esfuerzos de Beijing para recopilar datos sobre los estadounidenses y robar la investigación científica y la innovación.

La administración también ha estado presionando a los aliados para que no permitan que el gigante tecnológico chino Huawei forme parte de sus redes inalámbricas 5G debido a la preocupación de que el equipo pueda usarse para recopilar datos y para vigilancia.

Los hackers acusados ​​tienen su sede en China y ninguno está bajo custodia. Sin embargo, los funcionarios estadounidenses consideran que los cargos penales como los presentados en este caso son un poderoso elemento disuasorio para los piratas informáticos extranjeros y una advertencia a otros países de que la policía estadounidense tiene la capacidad de identificar a los culpables individuales detrás de los piratas informáticos.

Un portavoz de la embajada china no respondió de inmediato un correo electrónico en busca de comentarios el lunes.

El caso se asemeja a una acusación de 2014 del Departamento de Justicia de la administración Obama que acusó a cinco miembros del EPL de piratear a grandes corporaciones estadounidenses para robar sus secretos comerciales. Las autoridades estadounidenses también sospechan de China en la violación masiva en 2015 de la Oficina de Administración de Personal y de intrusiones en la cadena de hoteles Marriott y la compañía de seguros de salud Anthem.

“Este tipo de ataque a la industria estadounidense es parte de otras adquisiciones ilegales chinas de datos personales sensibles”, dijo Barr sobre el anuncio del lunes, y agregó que “durante años hemos sido testigos del apetito voraz de China por los datos personales de los estadounidenses”.

Los cargos penales, que incluyen conspiración para cometer fraude informático y conspiración para cometer espionaje económico, se presentaron en un tribunal federal en Atlanta.

Equifax el año pasado llegó a un acuerdo de $ 700 millones por la violación de datos, con la mayor parte de los fondos destinados a los consumidores afectados por ella.

Equifax no notó a los intrusos apuntando a sus bases de datos durante más de seis semanas. Los hackers explotaron una vulnerabilidad de seguridad conocida que Equifax no había solucionado.

Una vez dentro de la red, dijeron las autoridades, los piratas informáticos pasaron semanas realizando reconocimientos. Robaron credenciales de inicio de sesión y finalmente descargaron y extrajeron datos de Equifax a computadoras fuera de los Estados Unidos.

La acusación dice que los piratas informáticos obtuvieron nombres, fechas de nacimiento y números de Seguro Social de aproximadamente 145 millones de víctimas estadounidenses, junto con números de tarjetas de crédito y otra información personal de aproximadamente 200,000.

Según la Oficina de Rendición de Cuentas del Gobierno, el brazo de investigación del Congreso, un servidor que aloja el portal de disputas en línea de Equifax estaba ejecutando software con un punto débil conocido. Los piratas informáticos saltaron por la apertura para llegar a bases de datos que contienen información personal de los consumidores.

Los funcionarios de Equifax le dijeron a GAO que la compañía cometió muchos errores, incluido tener una lista desactualizada de administradores de sistemas informáticos. Cuando la compañía hizo circular un aviso para instalar un parche para la vulnerabilidad del software, los empleados responsables de instalar el parche nunca lo obtuvieron.

El acuerdo de Equifax de $ 700 millones con el gobierno de EE. UU. Brinda a los consumidores afectados servicios gratuitos de monitoreo de crédito y restauración de identidad, además de dinero por su tiempo o reembolso por ciertos servicios. Sin embargo, debido a que muchas personas hicieron reclamos, los funcionarios dijeron que algunos consumidores obtendrían mucho menos que las cantidades elegibles debido a los límites en el grupo de liquidación.