La seguridad de congelación de crédito de Experian sigue siendo una broma – Krebs on Security

En 2017, KrebsOnSecurity mostró lo fácil que es para los ladrones de identidad deshacer la solicitud de un consumidor de congelar su archivo de crédito en Experian, una de las tres grandes agencias de crédito al consumidor en los Estados Unidos. La semana pasada, KrebsOnSecurity se enteró de un lector al que se le descongeló la congelación sin autorización a través del sitio web de Experian, y me recordó lo verdaderamente rotas que permanecen la autenticación y la seguridad en el espacio de la oficina de crédito.

La seguridad de congelacion de credito de Experian sigue siendo

La página de Experian para recuperar el PIN de congelación de crédito de alguien requiere poca información más de la que ya ha sido filtrada por la oficina de tres grandes Equifax y una miríada de otras infracciones.

duna thomas es un ingeniero de software de Sacramento, California, que congeló sus archivos de crédito el año pasado en Experian, equifax y transunion después de que los ladrones intentaron abrir varias cuentas de pago nuevas a su nombre utilizando una dirección en el estado de Washington que estaba vinculada a una casa vacante en venta.

Pero los ladrones fueron persistentes: a principios de este mes, alguien descongeló la cuenta de Thomas en Experian y solicitó rápidamente nuevas líneas de crédito a su nombre, nuevamente usando la misma dirección de Washington. Thomas dijo que solo se enteró de la actividad porque aprovechó un servicio gratuito de monitoreo de crédito ofrecido por su compañía de tarjetas de crédito.

Thomas dijo que después de varios días hablando por teléfono con Experian, un representante de la compañía reconoció que alguien había usado el función «solicita tu PIN» en el sitio de Experian para obtener su PIN y luego descongelar su archivo.

Thomas dijo que él y un amigo atravesaron el proceso de recuperación de su PIN congelado en Experian y se sorprendieron al descubrir que solo una de las cinco preguntas múltiples que se les hizo después de ingresar su dirección, número de seguro social y fecha de nacimiento tenía cualquier cosa que tenga que ver con información que solo la oficina de crédito pueda conocer.

KrebsOnSecurity pasó por el mismo proceso y encontró resultados similares. La primera pregunta fue sobre una nueva hipoteca que supuestamente saqué en 2019 (no lo hice), y la respuesta fue ninguna de las anteriores. La respuesta a la segunda pregunta tampoco fue ninguna de las anteriores.

Las siguientes dos preguntas fueron inútiles para fines de autenticación porque ya habían sido formuladas y respondidas; uno era «cuál de los siguientes son los últimos cuatro dígitos de su SSN» y el otro era «nací dentro de un año o en el año de la fecha a continuación». Solo una pregunta importaba y era relevante para mi historial crediticio (se refería a los últimos cuatro dígitos de un número de cuenta corriente).

La mejor parte de este proceso de autenticación laxo es que uno puede ingresar cualquier dirección de correo electrónico para recuperar el PIN — no necesita estar vinculado a una cuenta existente en Experian. Además, cuando se recupera el PIN, Experian no se molesta en notificar a ninguna otra dirección de correo electrónico que ya esté registrada para ese consumidor.

Por último, su cuenta de consumidor básica (léase: gratuita) en Experian no ofrece a los usuarios la opción de habilitar ningún tipo de autenticación multifactor que pueda ayudar a bloquear algunos de estos ataques de recuperación de PIN en congelaciones de crédito.

A menos que, es decir, se suscriba a Experian’s fuertemente comercializado y redactado confusamente «Bloqueo de crédito”, que cobra entre $ 14.99 y $ 24.99 por mes por la capacidad de “bloquear y desbloquear su archivo de manera fácil y rápida, sin demorar el proceso de solicitud”. Los usuarios de CreditLock pueden habilitar la autenticación multifactor y recibir alertas cuando alguien intenta acceder a su cuenta.

Thomas dijo que está furioso porque Experian solo proporciona seguridad de cuenta adicional para los consumidores que pagan planes mensuales.

“Experian tenía la capacidad de brindar a las personas una protección mucho mejor a través de autenticación adicional de algún tipo, pero no lo hacen porque pueden cobrar $25 al mes por ello”, dijo Thomas. “Están permitiendo esta enorme brecha de seguridad para poder obtener ganancias. Y esto ha estado sucediendo durante al menos cuatro años”.

Experian aún no ha respondido a las solicitudes de comentarios.

Cuando un consumidor con una congelación inicia sesión en el sitio de Experian, se lo dirige inmediatamente a un mensaje para uno de los servicios pagos de Experian, como su servicio CreditLock. El mensaje que vi al iniciar sesión confirmó que, si bien tenía un bloqueo con Experian, mi «nivel de protección» actual era «bajo» porque mi archivo de crédito estaba desbloqueado.

“Cuando su archivo está desbloqueado, es más vulnerable al robo de identidad y al fraude”, advierte Experian, sin ser veraz. “No verá alertas si alguien intenta acceder a su archivo. Los bancos pueden consultar tu expediente si solicitas créditos o préstamos. Los proveedores de servicios y servicios públicos pueden ver su archivo de crédito”.

1677667302 578 La seguridad de congelacion de credito de Experian sigue siendo

Experian dice que mi seguridad es baja porque, aunque tengo un congelamiento, no he comprado su cuestionable «servicio de bloqueo».

Suena aterrador, ¿verdad? La cuestión es que, a excepción de la parte sobre no ver alertas, ninguna de las afirmaciones anteriores es cierta si ya tiene un archivo congelado. Un congelamiento de seguridad esencialmente impide que los acreedores potenciales puedan ver su archivo de crédito, a menos que lo descongele o descongele afirmativamente de antemano.

Con un congelamiento en su archivo de crédito, los ladrones de identidad pueden solicitar crédito a su nombre todo lo que quieran, pero no lograrán obtener nuevas líneas de crédito a su nombre porque pocos o ningún acreedor extenderá ese crédito sin poder primero para medir qué tan riesgoso es prestarle (es decir, ver su archivo de crédito). Ahora es gratis congelar su crédito en todos los estados y territorios de EE. UU.

Experian, al igual que las otras agencias de crédito al consumidor, utiliza su terminología de «bloqueo» intencionalmente confusa para asustar a los consumidores para que paguen por los servicios de suscripción mensual. Un punto de venta clave para estos servicios de bloqueo es que pueden ser una forma más rápida de permitir que los acreedores echen un vistazo a su archivo cuando desee solicitar un nuevo crédito. Eso puede o no ser cierto en la práctica, pero considere por qué es tan importante para Experian lograr que los consumidores se registren en sus programas de bloqueo.

La verdadera razón es que Experian gana dinero cada vez que alguien hace una consulta de crédito en su nombre y no quiere hacer nada para obstaculizar esas consultas. Registrarse en un servicio de bloqueo le permite a Experian continuar vendiendo información de informes de crédito a una variedad de terceros. De acuerdo con las preguntas frecuentes de Experian, cuando está bloqueado, su archivo de crédito de Experian permanece accesible para una gran cantidad de empresas, que incluyen:

-Empleadores potenciales o compañías de seguros

-Agencias de cobro que actúan en nombre de las empresas a las que usted puede adeudar

-Empresas que ofrecen ofertas de tarjetas de crédito preseleccionadas

-Empresas que tienen una relación crediticia existente con usted (esto también se aplica a los archivos congelados)

-Ofertas personalizadas de Experian, si elige recibirlas

Es molesto que Experian pueda salirse con la suya ofreciendo seguridad de cuenta adicional solo a las personas que pagan a la compañía una suma considerable cada mes para vender su información. También es sorprendente que esta seguridad descuidada sobre la que escribí en 2017 siga siendo tan frecuente en 2021.

Pero Experian no está solo. En 2019, escribí sobre cómo el nuevo sitio MyEquifax de Equifax facilitó que los ladrones levantaran un congelamiento de crédito existente en Equifax y eludieran el PIN si solo tenían su nombre, número de Seguro Social y fecha de nacimiento.

También en 2019, los ladrones de identidad pudieron obtener una copia de mi informe de crédito de TransUnion después de adivinar con éxito las respuestas a varias preguntas como las que hace Experian. Solo me enteré después de escuchar a un detective en el estado de Washington, quien me informó que se encontró una copia del informe en un disco extraíble incautado a un hombre local que fue arrestado bajo sospecha de ser parte de una pandilla de robo de identidad.

TransUnion investigó y descubrió que efectivamente tuvo la culpa de dar mi informe de crédito a los ladrones de identidad, pero que, en el lado positivo, sus sistemas bloquearon otro intento fraudulento de obtener mi informe en 2020.

“En nuestra investigación, determinamos que ocurrió un intento similar de obtener su informe de manera fraudulenta en abril de 2020 y fue bloqueado con éxito por controles mejorados. transunion ha implementado desde el año pasado”, dijo la compañía. “transunion implementa un programa de seguridad de varias capas para combatir la amenaza continua y creciente de fraude, ataques cibernéticos y actividad maliciosa. En el entorno dinámico de amenazas actual, transunion está constantemente mejorando y refinando nuestros controles para hacer frente a las últimas amenazas de seguridad, al mismo tiempo que permite a los consumidores acceder a su información”.

Para obtener más información sobre congelamientos de crédito (también llamados «congelamientos de seguridad»), cómo solicitar uno y otros consejos para prevenir el fraude de identidad, consulte esta historia.

Si no lo ha hecho últimamente, podría ser un buen momento para solicitar una copia gratuita de su informe de crédito de informedecreditoanual.com. Este servicio le da derecho a cada consumidor a una copia gratuita de su informe de crédito anualmente de cada una de las tres agencias de crédito, ya sea todas a la vez o distribuidas a lo largo del año.

Deja un comentario