1 puntos por GN⁺ 2023-11-12 | 1 comentarios | Compartir por WhatsApp
  • Una cuenta de Experian podía volver a registrarse y ser secuestrada usando la misma información personal y una dirección de correo distinta, y el problema de autenticación revelado en 2022 seguía presente 16 meses después
  • El nuevo registro se hacía con el número de Social Security, fecha de nacimiento, nombre, dirección, correo electrónico, contraseña y preguntas de seguridad basadas en conocimiento; la verificación del teléfono celular podía evadirse con “Continue another way”
  • Una vez creada la nueva cuenta, era posible ver el expediente crediticio completo y activar o quitar el congelamiento de crédito, mientras que al correo anterior solo se le enviaba una notificación de cambio, no una solicitud de aprobación
  • Equifax y TransUnion exigen confirmar con un código enviado al correo o teléfono ya registrados cuando se modifica una cuenta existente, pero Experian no ofrecía a los usuarios actuales ni aprobación de cambios ni medios de recuperación
  • Si un atacante puede recrear la cuenta con un nuevo número de teléfono y correo, la autenticación multifactor en el momento del inicio de sesión por sí sola difícilmente puede impedir el secuestro de la cuenta

Experian permitía volver a crear una cuenta con otro correo

  • En el verano de 2022, se confirmó un caso en el que una cuenta de Experian fue secuestrada al volver a registrarla con otra dirección de correo
  • El mismo problema seguía existiendo 16 meses después, y recientemente también había sido secuestrada la propia cuenta de Experian de Krebs
  • Solicitó una copia de su expediente crediticio de Experian a través de annualcreditreport.com, pero Experian dijo que no podía verificar su identidad y no se la entregó
  • También falló el inicio de sesión directo en Experian.com, y el sitio mostraba que no reconocía el nombre de usuario o la contraseña
  • En el proceso para solicitar el nombre de usuario se requerían el número completo de Social Security y la fecha de nacimiento, y luego se mostró parte de una dirección de correo que Krebs no aprobó ni conocía

Debilidades de autenticación expuestas en el proceso de nuevo registro

  • La página principal de Experian solicita el número de Social Security y un número de teléfono celular, e indica que enviará un enlace de verificación de identidad
  • Al parecer, el sitio no bloqueaba aunque se ingresara cualquier número telefónico de Estados Unidos, y este paso podía saltarse eligiendo “Continue another way”
  • Después, para recrear la cuenta se pedía la siguiente información
    • Nombre completo
    • Dirección
    • Fecha de nacimiento
    • Número de Social Security
    • Dirección de correo electrónico
    • Contraseña elegida
  • En el siguiente paso había que responder entre 3 y 5 preguntas de seguridad de opción múltiple, cuyas respuestas a menudo se basaban en registros públicos
  • Cuando Krebs volvió a crear la cuenta, solo 2 de las 5 preguntas estaban relacionadas con información real, y ambas trataban sobre direcciones de residencias anteriores
  • Si se superaban las preguntas de opción múltiple, luego se configuraban un PIN de 4 dígitos y una respuesta nueva para una de las preguntas predefinidas
  • Tras crear la nueva cuenta, era posible entrar al panel de Experian, donde se podía ver el expediente crediticio completo y activar o desactivar el congelamiento de crédito

A los usuarios existentes solo les queda una notificación de cambio

  • Cuando cambian los datos de la cuenta, Experian envía al correo anterior un mensaje informando que parte del perfil del usuario fue modificada
  • Ese mensaje no es una solicitud de verificación, sino una simple notificación de cambio, y la única acción ofrecida al usuario existente es hacer clic en un enlace para iniciar sesión en Experian.com
  • El usuario original que recibe la notificación ya no puede iniciar sesión con las credenciales anteriores de su cuenta de Experian
  • Como el PIN y la pregunta de recuperación de la cuenta ya fueron cambiados, el usuario original tiene que volver a crear la cuenta en Experian para recuperarla
  • Equifax y TransUnion permiten cambios en cuentas existentes solo después de ingresar un código enviado a la dirección de correo o número de teléfono ya registrados

La respuesta de Experian y los casos verificados por lectores

  • Experian se negó a compartir la dirección de correo completa agregada sin autorización al expediente crediticio de Krebs
  • El vocero de Experian, Scott Anderson, dijo que la empresa ha implementado y sigue evolucionando un enfoque de seguridad multicapa, con medidas manuales y proactivas, para proteger la identidad y la información de los consumidores
  • Según Anderson, esas medidas incluyen preguntas y respuestas basadas en conocimiento, así como procedimientos para verificar la propiedad y posesión del dispositivo
  • Todos los consumidores pueden activar la autenticación multifactor, que se solicita en cada inicio de sesión de la cuenta, pero su efectividad es limitada si la cuenta puede recrearse con un nuevo teléfono y correo
  • Lectores que vieron publicaciones sobre Experian en Mastodon también confirmaron el mismo problema
    • @Jackerbee dijo que ingresó un segundo número de teléfono y un correo nuevo, y que al correo existente solo llegó un mensaje diciendo que la información había sido actualizada, sin verificación del correo previo
    • Tampoco llegó ninguna alerta por SMS al número de teléfono anterior, y después el 2FA funcionó con el nuevo número
    • PeteMayo recreó su cuenta de Experian dos veces en la misma semana, y la segunda vez ingresó un número aleatorio de teléfono fijo
    • En el caso de PeteMayo, tras aparecer 5 preguntas sobre su historial personal, obtuvo acceso completo junto con el mensaje “Welcome back, Pete!”

Incidentes de seguridad repetidos en Experian

  • Quien secuestró la cuenta de Krebs no quitó el congelamiento de crédito o, si lo hizo, volvió a activarlo después
  • Si Experian no cambia su proceso de autenticación, la cuenta de Experian de Krebs podría volver a ser secuestrada
  • En el pasado, Experian ya ha repetido incidentes relacionados con debilidades básicas de autenticación
    • En diciembre de 2022 se descubrió un método alterno para acceder al reporte crediticio completo de un consumidor usando solo nombre, dirección, fecha de nacimiento y número de Social Security, y Experian reconoció que la falla persistió casi 7 semanas, del 9 de noviembre al 26 de diciembre de 2022
    • En abril de 2021, la autenticación de la página de búsqueda de PIN de Experian era débil, lo que permitía a ladrones de identidad quitar el congelamiento del expediente crediticio de los consumidores
    • Ese mismo mes también se reveló un caso en el que una API de Experian expuso los puntajes crediticios de la mayoría de los estadounidenses
  • Entre los casos anteriores relacionados se incluyen una demanda colectiva por seguridad de cuentas en 2022, la exposición de PIN de congelamiento de crédito en 2017, una brecha que afectó a 15 millones de clientes en 2015, un acceso permitido a 200 millones de registros de consumidores en 2014 y un caso de 2013 en el que se vendieron datos de consumidores a un servicio de robo de identidad

1 comentarios

 
GN⁺ 2023-11-12
Opiniones en Hacker News
  • El problema de fondo aquí es que mantener la seguridad cuesta mucho, y a veces sale más barato ocuparse del asunto después de que te hackean.
    La única solución es hacer que la empresa hackeada pague un costo enorme, mediante multas y demandas de las víctimas de robo de identidad.

    • El costo no es tan alto.
      Por unos centavos por consulta de reporte crediticio se puede usar autenticación basada en conocimiento, por ejemplo “dónde viviste” o “si esta cuenta comercial es tuya”.
      La verificación de identidad basada en credenciales gubernamentales, como ID.me o Stripe Identity, también anda por los 1.50 a 2.00 dólares por intento.
      El problema es que la carga del fraude se traslada al consumidor, así que no hay incentivos para aumentar un poco el costo y reducir el fraude, y las agencias de crédito tampoco quieren que se erosione su foso competitivo ni sus fuentes de ingresos.
      En resumen, con un mejor sistema nacional de identidad digital, este problema desaparecería.
      En fintech estoy a cargo del IAM de clientes, incluida la verificación de identidad, y como activista ciudadano también he trabajado algo en temas relacionados con Login.gov.
    • Puede que “mantener la seguridad es caro” sea cierto hasta cierto punto, pero si todo tu negocio consiste en dar garantías basadas en la identidad de las personas, deberías esforzarte mucho más por hacer que el servicio sea más seguro.
      Si operar de forma segura es demasiado caro, habría que empezar por cuestionar si un servicio así debería existir y si tiene derecho a almacenar tanta información personal y privada.
    • Llama la atención que este problema de verificar identidades con el SSN no caiga dentro del ámbito de aplicación del GDPR.
      El GDPR puede imponer multas de hasta el 4% de los ingresos globales.
  • Por supuesto, nosotros no somos clientes de estas empresas de vigilancia.
    Aun así, sorprende que la seguridad esté prácticamente ausente y que eso no sea motivo para que sus clientes reales dejen de hacer negocios con ellas.
    Si con este servicio básicamente cualquiera puede hacerse pasar por quien sea, no entiendo para qué usarlo.

    • Estas cuentas no son para las personas que le pagan a Experian.
      Las empresas le pagan a Experian para acceder a información sobre individuos, y la única razón por la que Experian permite cuentas personales es porque por ley debe ofrecer cosas como congelamientos de crédito o reportes crediticios anuales.
      Si no fuera obligatorio, no lo harían en absoluto, y no tienen ningún incentivo para mejorar la experiencia ni la seguridad.
    • El objetivo es tener negación plausible y trasladar lo más posible al consumidor, y no a la empresa, el grave riesgo del robo de identidad.
    • Si el robo de identidad se vuelve tan común que los datos dejan de ser estadísticamente confiables, para entonces ya habrá pasado por mucho el momento en que incluso el Congreso sienta que tiene que hacer algo.
    • ¿Es que hay opción? Donde vivo no puedo darme de baja de Experian ni de otros servicios de calificación crediticia.
    • Para los datos personales hace falta una ley tipo HIPAA.
  • Si damos un paso atrás y vemos el panorama completo, el verdadero problema es la ausencia de leyes de privacidad.
    A los bancos, empresas y empleadores se les debería prohibir compartir información personal con terceros.
    En Suiza, donde vivo, eso efectivamente es así, y ni siquiera el gobierno puede obtener esa información.
    Si el gobierno sospecha evasión fiscal, debe conseguir una orden judicial y seguir el mismo procedimiento que con cualquier otro delito.
    Los únicos registros financieros accesibles son los de “Betreibungen”, que son registros de procesos legales de cobranza de deudas.
    Antes de darle crédito a alguien, se puede verificar si otra persona tuvo que llegar a demandarlo para cobrar.
    Y aun sin agencias de crédito, todo funciona bien con tan poca información.
    Sin embargo, por presiones internacionales como FATCA, la ley suiza cambió para que los bancos reporten sobre clientes internacionales.

    • Eso de que “todo funciona bien” seguramente les habrá venido muy bien a dictadores, evasores fiscales y gente por el estilo.
      Suiza muestra muy bien por qué la privacidad financiera total no es justa para el contribuyente común: permite que los ultrarricos oculten los impuestos que deberían pagar.
    • Este problema parece resolverse si dejamos de tratar el número de Seguro Social como si fuera un sustituto serio de una identificación nacional segura.
    • Me da curiosidad saber en qué difieren las leyes suizas de privacidad financiera y reportes crediticios de las de los países de la UE.
      Hay un dato que dice que “aproximadamente el 36% de los suizos posee una casa o departamento, una de las tasas más bajas del mundo occidental y muy por debajo del promedio de la Unión Europea, que es 70%, y de Estados Unidos, con 67%”.
      Seguramente hay muchos factores, pero si hay menos información sobre la solvencia crediticia, imagino que habrá menos disposición a financiar compras grandes de alguien.
      [1] https://www.nytimes.com/2023/11/06/realestate/zurich-switzer...
    • Es totalmente cierto.
      La empresa en la que trabajo, cuyo nombre no diré, es una FAANG, y cuando compra estos datos y recibe cookies de Experian, los usa para mejorar el rastreo y la construcción de grafos.
      Estados Unidos sigue diciendo que le importa la privacidad de sus ciudadanos, pero en realidad no le importa.
      Si las leyes de privacidad se aplicaran con fuerza, creo que también afectaría áreas como las cuentas bancarias, porque Big Tech está arriba entre las 500 principales acciones.
  • Hay una petición en Resistbot para que los legisladores vean este problema.
    https://resist.bot/petitions/PONADR

    • No soy estadounidense y es la primera vez que lo veo, pero su alcance parece limitado.
      https://resist.bot/petitions
      En Alemania, por ejemplo, existe Campact, y normalmente cada petición supera las 200 mil firmas.
      Si en Estados Unidos no hay algo así, creo que alguien con dinero debería crearlo, o bien promover una solución existente como OpenPetition entre suficientes firmantes recurrentes.
      https://en.wikipedia.org/wiki/Campact
  • Si hay 3 agencias de crédito, ¿hay alguna forma de evitar tener puntaje crediticio en una de ellas?
    Pienso que podría ser una forma de aumentar la competencia en este sector como consumidor.
    Busqué, pero no parecía haber opciones fáciles.

    • No hay forma de salirte de los reportes de crédito.
      Como los prestamistas normalmente reportan información a las tres principales agencias de crédito, para que no se reporte nada tendrías que cerrar todas tus tarjetas de crédito y préstamos, y congelar tu reporte crediticio.
      No creo que aquí funcione eso de “aumentar la competencia”.
      No somos clientes de las agencias de crédito, somos el producto, y sus clientes son los prestamistas y otras personas que necesitan nuestra información.
      Desde la perspectiva de los prestamistas, esta estructura funciona bien, porque la responsabilidad de verificar correctamente la identidad de un solicitante antes de otorgar crédito no recae en el prestamista, sino que se traslada al público en general como la carga del “robo de identidad”.
      La expresión “robo de identidad” en sí misma es casi un nombre engañoso creado para trasladar la responsabilidad al individuo.
      Idealmente, la responsabilidad de impedir que un delincuente abuse de mi información, y de corregir la situación cuando un delincuente intenta usarla de forma fraudulenta, debería recaer en el prestamista.
      Una mejor solución es elevar los criterios de verificación de identidad de los prestamistas.
      Así, la carga de verificar realmente la identidad antes de otorgar crédito pasaría a los prestamistas.
      Algunos prestamistas sí verifican bastante bien, pero otros parecen aceptar sin cuestionar la información que reciben.
      Estándares altos en toda la industria, ya sean voluntarios u obligatorios por ley, ayudarían a resolver este problema.
    • Siento que este cambio tiene que ocurrir sí o sí.
      Las agencias de crédito operan casi como empresas privadas de bien público con muy pocas alternativas.
      Si fuera algo como una app de gestor de contraseñas, podrías evaluar varias empresas, elegir la que quieras y migrar cuando hubiera problemas.
    • El problema es que nosotros no somos los consumidores.
      Ellos reciben nuestros datos de todas las empresas con las que hacemos transacciones.
      Habría que identificar, caso por caso, todos los vínculos relacionados con las agencias de crédito.
      Probablemente, si no sacaste una tarjeta de crédito ni pediste préstamos, puedas estar algo protegido de su “investigación”.
    • Las empresas les reportan datos.
      Por lo tanto, tendrías que evitar a las empresas que reportan a una de ellas, pero normalmente reportan a varias agencias a la vez.
    • Como consumidor, es imposible.
      Como empresa, puedes reportar a la agencia que quieras.
  • Hace unos días intenté crear mi perfil e iniciar sesión para ver qué estaba pasando en mi cuenta, pero el sitio estaba tan roto que ni siquiera pude iniciar sesión.
    Si ni siquiera puedo ser yo mismo, no entiendo cómo alguien podría hacerse pasar por mí.

    • Para hacerse pasar por ti, basta con pasar por los canales que usan los clientes de Experian.
      Lo que tú usaste no es el canal para clientes de Experian, sino el canal que usan las personas que son una carga para Experian.
  • En las últimas semanas he recibido innumerables correos de confirmación de compra de grandes minoristas como Casas Bahia, Americanas y Magazine Luiza.
    Varias facturas de smartphones y laptops tienen mi nombre y CPF.
    Contacté a todos los minoristas, pero solo Magazine Luiza parece haber reconocido el fraude y emitido una alerta, aunque sigo recibiendo facturas.
    Contacté a la policía local y obtuve un boletim de ocorrência; no sé cómo traducirlo, pero es un documento que explica el problema y la situación en la que no pude tomar medidas correctivas.
    Estoy muy ansioso por las consecuencias que pueda traer esto y siento que soy completamente impotente para proteger mi identidad.

    • Pasé por una situación parecida y creo que vas en la dirección correcta.
      Contacta al ombudsman de cada empresa, es decir, la ouvidoria, y explícales la situación.
      Aunque no logren resolver realmente el problema, queda registro de que intentaste resolverlo de buena fe.
      En el peor de los casos, el minorista puede pasar las facturas fraudulentas a una agencia de cobranza y reportarlas a las agencias de crédito.
      No debes pagar ni un centavo de esa deuda fraudulenta, y tampoco negociar.
      Como es fraude, la única opción es que la deuda desaparezca.
      El dinero en juego es de ellos, y si pagas, la responsabilidad pasa a ser tuya.
      Como ya tienes el Boletim de Ocorrência y pruebas de contacto con la empresa, como números de caso y fechas, si aparece en una agencia de crédito, demándalos y exige indemnización por daños.
      Es una demanda simple y común que tanto la agencia de crédito como el minorista querrán conciliar.
      Te hicieron perder tiempo, así que deben pagar por ello.
      Ellos no tienen pruebas de que tú hayas hecho esa transacción.
      Y si los minoristas, bancos y emisores de tarjetas realmente quisieran evitar el fraude, todas las compras y altas requerirían protecciones del nivel de una transacción inmobiliaria.
      Harían falta firmas, reuniones presenciales, pagos anticipados, bancos, abogados, notarios, incluso firmas criptográficas; existe el e-CPF, pero nadie lo usa.
      Pero prevenir el fraude al 100% implica fricción, y a los minoristas normales no les gusta la fricción.
      Al final es una decisión de negocio de ellos: aceptan el riesgo para recibir dinero más fácilmente.
    • ¿Cómo funciona este fraude? ¿Compran cosas y le dan al vendedor los datos de una persona cualquiera, es decir, tu información de identidad?
  • En la mayoría de los contextos, proporcionar información falsa de una forma que perjudica a alguien es calumnia o difamación.
    Habría que revisar si los reportes crediticios merecen ser una excepción a esa responsabilidad, y bajo qué condiciones deberían serlo.

    • Exacto.
      Si una agencia de crédito transmite a un prestamista información falsa sobre nosotros y por eso no podemos obtener un préstamo, o terminamos pagando una tasa de interés más alta de la justa, deberíamos poder ganar una demanda por daños económicos.
      No debería importar si sabían que era falso.
      Sea por negligencia o por mala fe, el daño ocurre de todos modos.
    • En realidad, la forma en que operan se parece más a “la empresa X me dijo que una persona llamada Y tiene una cuenta”.
      Si no eres una celebridad, para que sea difamación tiene que haber al menos negligencia en la verificación de los hechos.
      Es decir, la negligencia solo existe cuando hay conocimiento razonable para creer que la información es falsa.
      Si reportas a la agencia de crédito que la cuenta es fraudulenta, básicamente les estás notificando que esa cuenta en realidad no es tuya, y si la eliminan del reporte, se liberan de la responsabilidad de seguir difundiendo esa información difamatoria en el futuro.
  • La semana pasada recibí dos notificaciones de filtración de datos.
    Una vino de mi proveedor de servicios médicos y la otra del banco que tiene mi hipoteca.
    Ambas me dijeron que bloqueara mi crédito y me ofrecieron un año gratis de monitoreo crediticio.
    Eso es ridículamente insuficiente, y creo que hace falta mucha más regulación en este ámbito.
    Deberían ofrecer monitoreo crediticio de por vida, seguro completo contra todo fraude financiero que ocurra a mi nombre e indemnización inmediata por daños estimados.
    La causa de fondo es que el sistema de identidad de EE. UU. es un desastre.
    No distingue entre un identificador único, es decir, el SSN, y un valor secreto, que también es el SSN.
    Todas las demás preguntas de seguridad, al final, no son más que variantes del mismo factor de autenticación de “algo que sabes”, que los estafadores pueden conseguir fácilmente.
    Literalmente no existe una forma acordada de demostrar que tú eres tú.
    Los DMV deberían empezar a emitir identificaciones físicas con funciones digitales, como las tarjetas de crédito.
    Necesitamos algo como Apple Pay o Android Pay para la verificación de identidad en línea, y debería ser obligatorio que los bancos admitan identificaciones digitales.
    Además, se debería aplicar la ley con firmeza contra quienes hagan mal uso de las identificaciones digitales.
    Creo que, como consecuencia de ignorar este problema, cada año desaparecen al menos decenas de miles de millones de dólares del PIB por fraude.
    Más importante aún, se erosiona poco a poco nuestra condición de Estado de derecho.

    • El problema con eso de que el DMV deba emitir identificaciones físicas con funciones digitales es que hay un grupo muy ruidoso que ve algo así como exceso de intervención del gobierno, o literalmente como la marca del diablo.
      Emitirlas ya de por sí es difícil, y los estados que suelen cerrar centros de votación en zonas de clase trabajadora y recortar el presupuesto del DMV van a pelear hasta el final contra cualquier forma en que tenga que implementarse gratis para todos.
    • ¿Cómo se supone que todo esto funcione mágicamente en línea?
      La respuesta es que tendrías que proporcionar algún valor secreto digital que otorgue acceso, igual que ahora proporcionas el SSN.
      Entonces ese valor secreto digital terminaría en los mismos lugares en línea donde ahora está el SSN, y sería vulnerable al mismo tipo de hackeos.
      No veo qué se supone que arregla esto.
  • Seguí el consejo del artículo y creé una cuenta para que nadie más pudiera registrarla, y al parecer quedé inscrito automáticamente en una cuenta corriente digital.
    No quería nada de eso.