En 2012, Experian, una agencia de informes crediticios, adquirió una empresa llamada Court Ventures, dedicada a la recopilación y agregación de información de registros públicos. Al hacerlo, Experian heredó sin saberlo un cliente de Court Ventures que había vendido datos de otros clientes en la web oscura. Este blog repasa los antecedentes de la violación, los métodos utilizados por el atacante, lo que ocurrió con los datos y el impacto de la violación en Experian. También ofrece lecciones a los profesionales de la gestión de riesgos de terceros para obtener visibilidad sobre los controles y prácticas de seguridad de terceros.
Antecedentes de la violación de datos
En marzo de 2012, Experian adquirió Court Ventures, una empresa que recopila información disponible públicamente de 1400 bases de datos locales y regionales y la revende con fines comerciales. Tras la adquisición, el Servicio Secreto de los Estados Unidos se puso en contacto con Experian y les informó de que el Gobierno estadounidense estaba investigando a uno de los clientes de Court Ventures por encubrir una red de robo de identidad.
Métodos utilizados
Hieu Minh Ngo, un hacker vietnamita, fue el responsable de la filtración. Se hizo pasar por detective privado en Singapur y creó una empresa ficticia, US Info Search. A continuación, Ngo creó una cuenta en Court Ventures, buscó registros de clientes en su base de datos a 12 céntimos por búsqueda y recopiló los datos encontrados.
¿Qué pasó con los datos?
Ngo vendió los datos robados a hackers en sus sitios web oscuros que facilitaban el robo de identidad. Como resultado, se robó la identidad de 1300 personas. Ngo ganó más de 2 millones de dólares con la venta de los datos robados. En 2015, Ngo fue extraditado a los Estados Unidos y condenado a 13 años de prisión.
Cómo afectó la violación a Experian
Aunque los datos de Experian no se vieron comprometidos y la empresa negó toda responsabilidad en la violación, esta se enfrentó a consecuencias adversas. En 2013, las víctimas del robo de identidad como resultado de las acciones de Ngo presentaron una demanda colectiva contra Experian por violaciones legales relacionadas con la Ley de Informes Crediticios Justos y otras regulaciones. Una de las reclamaciones era que Experian no había notificado a los clientes que su información se había visto comprometida. El caso se cerró en octubre de 2015.
Además, la filtración se produjo menos de un año después de que la Comisión de Comercio, Ciencia y Transporte del Senado de los Estados Unidos iniciara una investigación sobre cómo gestionaba la industria de los corredores de datos la información de los clientes. Este mal momento agravó el daño a la reputación que sufrió Experian a causa de la filtración. En octubre de 2013, el comité amplió su investigación e interrogó a los ejecutivos de Experian sobre las prácticas de verificación de clientes de la empresa y el servicio de robo de identidad de Ngo. El vicepresidente senior de asuntos gubernamentales de Experian admitió públicamente que no habían llevado a cabo la diligencia debida necesaria que, de otro modo, habría detectado las actividades de Ngo.
Lo que los profesionales de la gestión de riesgos de terceros pueden aprender de la filtración de datos de Experian
Hay muchas lecciones que los profesionales de la gestión de riesgos pueden aprender de la violación de Experian. Lo más importante es que, como parte del proceso de fusión y adquisición, Experian debería haber llevado a cabo una diligencia debida sobre los controles internos y las políticas de seguridad de Court Ventures para determinar cómo permitían el acceso de terceros a los datos de sus clientes y cómo eso expondría a Experian a riesgos comerciales. Sin embargo, esto puede resultar difícil, ya que, por lo general, la visibilidad es limitada y se carece de información centralizada sobre la salud comercial de un objetivo de adquisición.
Prevalent ofrece una vista única en un panel de control de la inteligencia empresarial actual e histórica de proveedores, distribuidores y otros terceros. Esta inteligencia incluye datos financieros, de marca, normativos y de liderazgo, así como información sobre acciones legales, demandas y mucho más. En este caso de uso, Prevalent puede proporcionar una vista centralizada de la actividad pública de los objetivos de fusiones y adquisiciones. Esto, combinado con el escaneo cibernético en la web oscura y otras herramientas de ciberseguridad, podría haber levantado sospechas sobre posibles actividades delictivas a través de Court Ventures.
Nuestra solución de supervisión de riesgos empresariales forma parte de la plataforma integral de gestión de riesgos de terceros de Prevalent, que integra análisis de amenazas externos con evaluaciones internas de los controles internos para ofrecer una visión completa y de 360 grados de los riesgos de terceros.
Con el aumento de la actividad reguladora relacionada con la seguridad de la información, la indignación de los consumidores por las violaciones de datos y la creciente complejidad del panorama de riesgos empresariales, las repercusiones legales y financieras derivadas de las violaciones de terceros seguirán aumentando. Con las medidas adecuadas, los profesionales de la gestión de riesgos de terceros pueden ayudar a que sus empresas no aparezcan en los titulares.
Para obtener más información sobre cómo Prevalent puede ayudar a abordar los riesgos complejos de terceros, solicite una demostración de nuestra plataforma TPRM.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
