El Departamento de Justicia de los Estados Unidos anunció la acusación de cuatro miembros del Ejército Popular de Liberación de China (PLA, por su acrónimo en inglés) por su presunta participación en el masivo pirateo de la base de datos de la gigantesca agencia de calificación crediticia estadounidense Equifax en 2017.
“Esta fue una de las mayores violaciones de datos de la historia”, dijo el Fiscal General William Barr en ocasión del anuncio.
Según indicó el titular del Departamento de Justicia, los hackers robaron “la información personal sensible de casi la mitad de los ciudadanos americanos”. Equifax, una de las tres agencias crediticias más importantes en Estados Unidos, sufrió la brecha de seguridad en cuestión en 2017, cuando los datos de 147 millones de personas fueron expuestos. Prácticamente todos eran estadounidenses, pero también se contaron 1 millón de ciudadanos del Reino Unido y Canadá.
Según los cargos presentados por el FBI, los hackers obtuvieron los nombres, fechas de nacimiento y números de seguridad social de los afectados. También se hicieron de las licencias de conducir de al menos otros 10 millones de personas, y la información de tarjetas de crédito de 200.000 personas más.
Los cuatro imputados -Wang Qian, Xu Ke, Liu Lei y We Zhiyong- también están acusados de robar los secretos comerciales de la empresa. El hecho se produce en un marco donde la administración Trump ha estado advirtiendo contra lo que considera la creciente influencia política y económica de China, y los esfuerzos de Beijing por recopilar datos sobre los estadounidenses y robar la investigación científica y la innovación de otros países.
“Hoy, hacemos responsables a los hackers del Ejército por sus acciones criminales, y le recordamos al gobierno chino que tenemos la capacidad de eliminar el manto de anonimato de Internet y encontrar a los hackers que la nación despliega repetidamente contra nosotros”, añadió el fiscal general.
El caso es uno de los varios que el Departamento de Justicia ha presentado a lo largo de los años contra miembros del Ejército Popular de Liberación. En 2014, la administración de Barack Obama acusó a cinco hackers militares chinos de irrumpir en las redes de las principales corporaciones estadounidenses para desviar secretos comerciales.
Los cargos criminales fueron presentados en la corte federal de Atlanta, donde la compañía tiene su base. La acusación detalla los esfuerzos que los hackers hicieron para cubrir sus huellas, incluyendo el borrado diario de los archivos de registro y el enrutamiento del tráfico a través de docenas de servidores en casi 20 países. En concreto, los cargos presentaron son: conspiración para cometer fraude informático, conspiración para cometer espionaje económico y conspiración para cometer fraude electrónico.
Equifax no se percató de los intrusos que apuntaban a sus bases de datos durante más de seis semanas. Para lograr su objetivo, los hackers explotaron una conocida vulnerabilidad de seguridad que Equifax no había solucionado para entonces. Una vez dentro de la red, los funcionarios dijeron que los hackers pudieron descargar y exfiltrar datos de Equifax a computadoras fuera de los Estados Unidos.
Según la Oficina de Responsabilidad del Gobierno, el brazo investigador del Congreso, un servidor que albergaba el portal de disputas en línea de Equifax estaba ejecutando un software con un punto débil conocido. Los piratas informáticos se valieron de el para llegar a las bases de datos que contenían información personal de los consumidores.
Los funcionarios de Equifax dijeron a la GAO que la empresa cometió muchos errores, entre ellos tener una lista anticuada de administradores de sistemas informáticos. Cuando la empresa hizo circular un aviso para instalar un parche para la vulnerabilidad del software, los empleados responsables de la instalación del parche nunca lo recibieron.
El acuerdo de Equifax de 700 millones de dólares con el gobierno de EEUU ofrece a los consumidores afectados servicios gratuitos de control de crédito y de restauración de identidad, además de dinero por su tiempo o el reembolso de ciertos servicios. Sin embargo, debido a que tantas personas hicieron reclamos, los funcionarios dijeron que algunos consumidores obtendrían mucho menos que los montos elegibles debido a los topes en el fondo común del acuerdo.