La seguridad de congelación de crédito de Experian sigue siendo una broma: Krebs on Security


En 2017, KrebsOnSecurity mostró lo fácil que es para los ladrones de identidad deshacer la solicitud de un consumidor de congelar su archivo de crédito en Experian, uno de los tres grandes burós de crédito al consumo de Estados Unidos. La semana pasada, KrebsOnSecurity escuchó a un lector al que se le descongeló la congelación sin autorización a través del sitio website de Experian, y me recordó lo verdaderamente quebrantada que queda la autenticación y la seguridad en el espacio de la oficina de crédito.

La página de Experian para recuperar el PIN de congelación de crédito de alguien requiere poca más información de la que ya ha sido filtrada por las tres grandes oficinas Equifax y una miríada de otras infracciones.

Dune Thomas es un ingeniero de software package de Sacramento, California, que congeló sus archivos de crédito el año pasado en Experian, Equifax y TransUnion después de que los ladrones intentaron abrir varias cuentas de pago nuevas a su nombre usando una dirección en el estado de Washington que estaba vinculada a una casa vacía en venta.

Pero los ladrones fueron persistentes: a principios de este mes, alguien descongeló la cuenta de Thomas en Experian y solicitó rápidamente nuevas líneas de crédito a su nombre, nuevamente usando la misma dirección de Washington. Thomas dijo que solo se enteró de la actividad porque aprovechó un servicio gratuito de monitoreo de crédito ofrecido por la compañía de su tarjeta de crédito.

Thomas dijo que después de varios días en el teléfono con Experian, un representante de la compañía reconoció que alguien había usado el Función «solicitar su PIN» en el sitio de Experian para obtener su PIN y luego descongelar su archivo.

Thomas dijo que él y un amigo atravesaron el proceso de recuperación de su PIN congelado en Experian y se sorprendieron al descubrir que solo una de las cinco preguntas de conjeturas múltiples que se les hicieron después de ingresar su dirección, número de seguro social y fecha de nacimiento había cualquier cosa que tenga que ver con información que solo el buró de crédito pueda conocer.

KrebsOnSecurity pasó por el mismo proceso y encontró resultados similares. La primera pregunta fue sobre una nueva hipoteca que supuestamente saqué en 2019 (no lo hice), y la respuesta no fue ninguna de las anteriores. La respuesta a la segunda pregunta tampoco fue ninguna de las anteriores.

Las siguientes dos preguntas fueron inútiles para fines de autenticación porque ya se habían formulado y respondido uno period «cuál de los siguientes son los últimos cuatro dígitos de su SSN» y el otro era «Nací dentro de un año o en el año de la fecha a continuación». Solo una pregunta importaba y era relevante para mi historial crediticio (se refería a los últimos cuatro dígitos de un número de cuenta corriente).

La mejor parte de este proceso de autenticación laxo es que uno puede ingresar cualquier dirección de correo electrónico para recuperar el PIN – no necesita estar vinculado a una cuenta existente en Equifax. Además, cuando se recupera el PIN, Equifax no se molesta en notificar otras direcciones de correo electrónico que ya estén registradas para ese consumidor.

Finalmente, su cuenta de consumidor básica (léase: gratuita) en Experian no les da a los usuarios la opción de habilitar ningún tipo de autenticación multifactor que pueda ayudar a bloquear algunos de estos ataques de recuperación de PIN en congelaciones de crédito.

A menos que, es decir, se suscriba al programa «CreditLock«, Que cobra entre $ 14,99 y $ 24,99 al mes por la capacidad de» bloquear y desbloquear su archivo de forma fácil y rápida, sin retrasar el proceso de solicitud «. Los usuarios de CreditLock pueden habilitar la autenticación multifactor y recibir alertas cuando alguien intenta acceder a su cuenta.

Thomas dijo que está furioso porque Experian solo brinda seguridad adicional a las cuentas para los consumidores que pagan planes mensuales.

“Experian tenía la capacidad de brindar a las personas una mejor protección mediante la autenticación adicional de algún tipo, pero en cambio no lo hacen porque pueden cobrar $ 25 al mes por ello”, dijo Thomas. “Están permitiendo esta enorme brecha de seguridad para poder obtener ganancias. Y esto ha estado sucediendo durante al menos cuatro años «.

Experian aún no ha respondido a las solicitudes de comentarios.

Cuando un consumidor con una congelación inicia sesión en el sitio de Experian, se le dirige inmediatamente a un mensaje para uno de los servicios de pago de Experian, como su servicio CreditLock. El mensaje que vi al iniciar sesión confirmó que, si bien tenía un congelamiento con Experian, mi «nivel de protección» true period «bajo» porque mi archivo de crédito estaba desbloqueado.

«Cuando su archivo está desbloqueado, es más susceptible al robo de identidad y al fraude», advierte Experian, sin ser sincero. «No verá alertas si alguien intenta acceder a su archivo. Los bancos pueden verificar su expediente si solicita crédito o préstamos. Los proveedores de servicios y servicios públicos pueden ver su archivo de crédito «.

Experian dice que mi seguridad es baja porque, si bien tengo un congelamiento, no he comprado su cuestionable «servicio de bloqueo».

Suena aterrador, ¿verdad? La cuestión es que, excepto por la parte sobre no ver las alertas, ninguna de las afirmaciones anteriores es cierta si ya ha congelado su archivo. Un congelamiento de seguridad esencialmente bloquea a cualquier acreedor potencial para que no pueda ver su archivo de crédito, a menos que usted descongele o descongele su archivo de antemano.

Con una congelación en su archivo de crédito, los ladrones de identidad pueden solicitar crédito a su nombre todo lo que quieran, pero no lograrán obtener nuevas líneas de crédito a su nombre porque pocos o ningún acreedor extenderán ese crédito sin antes poder para medir qué tan riesgoso es otorgarle un préstamo (es decir, ver su archivo de crédito). Ahora es gratis congelar su crédito en todos los estados y territorios de EE. UU.

Experian, al igual que las otras agencias de crédito al consumidor, utiliza su terminología de «bloqueo» intencionalmente confusa para asustar a los consumidores y hacer que paguen por servicios de suscripción mensual. Un punto de venta clave para estos servicios de bloqueo es que pueden ser una forma más rápida de permitir que los acreedores echen un vistazo a su expediente cuando desee solicitar un nuevo crédito. Eso puede ser cierto o no en la práctica, pero considere por qué es tan importante para Experian lograr que los consumidores se registren en sus programas de bloqueo.

La verdadera razón es que Experian gana dinero cada vez que alguien realiza una consulta de crédito en su nombre y no quiere hacer nada para obstaculizar esas consultas. Registrarse en un servicio de bloqueo le permite a Experian continuar vendiendo información de informes crediticios a una variedad de terceros. De acuerdo con las preguntas frecuentes de Experian, cuando está bloqueado, su archivo de crédito de Experian permanece accesible para una gran cantidad de empresas, que incluyen:

-Potenciales empleadores o compañías de seguros

-Agencias de cobranza que actúan en nombre de las empresas a las que puede deber

-Empresas que ofrecen ofertas de tarjetas de crédito preseleccionadas

-Empresas que tienen una relación crediticia existente con usted (esto también se aplica a los archivos congelados)

-Ofertas personalizadas de Experian, si eliges recibirlas

Es molesto que Experian pueda salirse con la suya ofreciendo seguridad adicional en la cuenta solo a las personas que pagan a la empresa una suma appreciable cada mes para vender su información. También es sorprendente que esta seguridad descuidada sobre la que escribí en 2017 siga siendo tan frecuente en 2021.

Pero Experian no está solo. En 2019, escribí sobre cómo el nuevo sitio MyEquifax de Equifax facilitó a los ladrones levantar un congelamiento de crédito existente en Equifax y omitir el PIN si solo tenían su nombre, número de seguro social y fecha de nacimiento.

También en 2019, los ladrones de identidad pudieron obtener una copia de mi informe de crédito de TransUnion después de adivinar con éxito las respuestas a preguntas de conjeturas múltiples como las que hace Experian. Solo me enteré después de escuchar a un detective en el estado de Washington, quien me informó que se encontró una copia del informe en un disco extraíble incautado a un hombre local que fue arrestado bajo sospecha de ser parte de una pandilla de robo de identidad.

TransUnion investigó y descubrió que, de hecho, tenía la culpa de dar mi informe de crédito a los ladrones de identidad, pero que, en el lado positivo, sus sistemas bloquearon otro intento fraudulento de obtener mi informe en 2020.

«En nuestra investigación, determinamos que un intento similar de obtener su informe de manera fraudulenta ocurrió en abril de 2020 y fue bloqueado con éxito por controles mejorados. TransUnion ha implementado desde el año pasado ”, dijo la empresa. «TransUnion implementa un programa de seguridad de varias capas para combatir la amenaza constante y creciente de fraude, ciberataques y actividad maliciosa. En el entorno dinámico de amenazas true, TransUnion está constantemente mejorando y refinando nuestros controles para abordar las últimas amenazas de seguridad, al mismo tiempo que permite a los consumidores acceder a su información ”.

Para obtener más información sobre congelamientos de crédito (también llamados “congelamientos de seguridad”), cómo solicitar uno y otros consejos para prevenir el fraude de identidad, consulte esta historia.

Si no lo ha hecho últimamente, podría ser un buen momento para solicitar una copia gratuita de su informe de crédito a annualcreditreport.com. Este servicio otorga a cada consumidor una copia gratuita de su informe crediticio anualmente de cada una de las tres agencias de informes crediticios, ya sea de una vez o distribuidas a lo largo del año.



Enlace a la noticia first