Hackeada autenticación de IRS basada en conocimiento
01 June, 2015
category: Seguridad en Internet, Seguridad lógica
Por: Zack Martin
En octubre pasado el presidente Obama firmó una orden ejecutiva que demanda la implantación de autenticación multifactor para las agencias federales que manejan información personal de los ciudadanos. Un plan para implementar ese sistema debía presentarse al Presidente en enero, y la implantación de dichos sistemas debe concluir en marzo de 2016. Esto será beneficioso cuando se implemente, pero resulta algo tardía para unos 100,000 ciudadanos cuya información ha sido robada a través de la función “Obtenga una transcripción” del IRS.
Este fue un ataque sofisticado en que los hackers tenían mucha información sobre los contribuyentes. Los estafadores despejaron un proceso de autenticación de pasos múltiples que requería conocimiento personal previo, incluyendo información de seguridad social, fecha de nacimiento, estado de declaración y dirección física, antes de acceder a los sistemas del IRS. El proceso también demanda un paso adicional en que los solicitantes deben responder correctamente varias preguntas de autenticación basadas en conocimiento, que normalmente solo posee el contribuyente.
El IRS cree que como resultado de la violación se procesaron menos de 15,000 devoluciones fraudulentas, de lo que resultaron posiblemente reembolsos en menos de $50 millones, de acuerdo a un artículo de Reuters.
En mi opinión, pueden sacarse dos conclusiones de esta violación que la hacen diferente de las anteriores. En primer lugar, los hackers utilizaron datos robados en otras violaciones para obtener más información sobre los individuos. Con millones de registros disponibles en línea, esto no es sorprendente, pero muestra que los individuos hacen más cosas con la información que está dando vueltas por la web oscura.
Presentar falsas declaraciones de impuestos es solo una de las cosas que puede hacerse, pero los estafadores pueden utilizar esos reembolsos para solicitar hipotecas y otros préstamos. Tener las devoluciones de impuestos abre toda una nueva dimensión para las posibilidades de fraude.
La segunda conclusión es que muestra que existen debilidades con la autenticación basada en conocimiento. Los hackers trataron de acceder a 200,000 registros y tuvieron éxito el 50% del tiempo.
Se ha escrito mucho sobre la debilidad de esos identificadores estáticos y esto acentúa el hecho de que estos sistemas no son infalibles. Aún así, la autenticación basada en conocimiento realmente evitó que los otros 100,000 pudieran ser violados. Y quién sabe, si la autenticación basada en conocimiento no hubiera estado instrumentada, puede que la violación hubiera sido de millones. Lo más probable es que los atacantes comenzaran con millones de registros, pero no pudieron obtener la información personal de algunos de esos usuarios y ni siquiera intentaron violar esas cuentas.
Hace falta hacer más, incluyendo mejores opciones para identificar a los individuos cuando se crean las cuentas. ¿Existe una tecnología que hubiera protegido a los individuos que no habían configurado previamente una cuenta IRS?
Sería pues muy conveniente una actualización sobre lo que va a hacer el gobierno federal respecto a la orden ejecutiva de ciberseguridad del Presidente que fue emitida el pasado otoño. En enero debió producirse un informe, pero según las fuentes esto no ha sucedido.
¿Es esta la primera salva de los hackers que supuestamente tienen millones de registros?¿Qué ocurrirá a continuación y cómo las personas podrán bloquear su identidad para evitar que se viole más información? Aunque el pasado año fue un año atareado en cuanto a violaciones, puede que estemos solo al comienzo de un 2015 también complicado, a menos que se haga algo al respecto.