Equifax Inc. es una agencia multinacional estadounidense de informes de crédito al consumo con sede en Atlanta, Georgia y es una de las tres agencias de informes de crédito al consumo más grandes , junto con Experian y TransUnion (conocidas juntas como las "Tres Grandes"). [4] Equifax recopila y agrega información sobre más de 800 millones de consumidores individuales y más de 88 millones de empresas en todo el mundo. Además de datos y servicios crediticios y demográficos para empresas, [5] Equifax vende servicios de supervisión crediticia y prevención de fraude directamente a los consumidores. [6]
Equifax opera o tiene inversiones en 24 países de América, Europa y Asia Pacífico . Con más de 14.000 empleados en todo el mundo, Equifax tiene casi 5.000 millones de dólares de ingresos anuales y cotiza en la Bolsa de Valores de Nueva York ( NYSE ) bajo el símbolo EFX. [7]
Equifax fue fundada por Cator y Guy Woolford en Atlanta, Georgia , como Retail Credit Company en 1899. [8] En 1920, la empresa tenía oficinas en todo Estados Unidos y Canadá. [9] En la década de 1960, Retail Credit Company era una de las agencias de crédito más grandes del país y conservaba archivos de millones de ciudadanos estadounidenses y canadienses. [10] [11] Aunque la empresa continuó realizando informes crediticios, la mayor parte de su negocio consistía en realizar informes a las compañías de seguros cuando las personas solicitaban nuevas pólizas de seguro, como seguros de vida, de automóvil, contra incendios y médicos. [11] RCC también investigó reclamaciones de seguros y realizó informes de empleo cuando las personas buscaban nuevos empleos. La mayor parte del trabajo crediticio lo realizaba entonces una filial , Retailers Commercial Agency.
Las tenencias de información de Retail Credit Company y su disposición a vender su información atrajeron críticas en las décadas de 1960 y 1970. Estos incluían que recopilaba "... hechos, estadísticas, inexactitudes y rumores... sobre prácticamente todas las fases de la vida de una persona; sus problemas matrimoniales, trabajos, antecedentes escolares, infancia, vida sexual y actividades políticas". También se alega que la empresa recompensaba a sus empleados por recopilar información despectiva sobre los consumidores. [11] Esto llevó a la discriminación contra homosexuales, queers y personas de color. [12]
En 1970, después de que la empresa computarizó sus registros, lo que condujo a una mayor disponibilidad de la información personal que poseía, el Congreso de los Estados Unidos celebró audiencias que llevaron a la promulgación de la Ley de Informes Crediticios Justos . Esta legislación otorgó a los consumidores derechos con respecto a la información almacenada sobre ellos en bancos de datos corporativos. [13] Se alega que las audiencias llevaron a Retail Credit Company a cambiar su nombre a Equifax en 1975 para mejorar su imagen. [11]
Equifax se expandió a los informes crediticios comerciales de empresas de Estados Unidos, Canadá y el Reino Unido, donde entró en competencia con empresas como Dun & Bradstreet y Experian . [14] La presentación de informes sobre seguros se eliminó progresivamente. [ cita necesaria ] La compañía también tenía una división que vendía información crediticia especializada a la industria de seguros, pero escindió este servicio, incluida la base de datos Comprehensive Loss Underwriting Exchange (CLUE) como ChoicePoint en 1997. [15] Equifax anteriormente ofrecía servicios de certificación digital, que se vendió a GeoTrust en septiembre de 2001. [16] También en 2001, Equifax escindió su división de servicios de pago, formando la empresa que cotiza en bolsa Certegy , que posteriormente adquirió Fidelity National Information Services en 2006. [17] Certegy se convirtió efectivamente en una subsidiaria de Fidelity National Financial como resultado de esta fusión de adquisición inversa (consulte Certegy y Fidelity National Information Services para obtener más información) . [17]
En octubre de 2010, Equifax anunció que adquiriría Anakam, una empresa de software de verificación de identidad con sede en San Diego, California , que inventó y fue pionera en la autenticación de dos factores SMS (basada en mensajes de texto) . Los términos del acuerdo no fueron revelados.
Equifax compró eThority, una empresa de inteligencia empresarial (BI) con sede en Charleston, Carolina del Sur , en octubre de 2011. eThority se está asociando con TALX , una unidad de negocios de Equifax con sede en St. Louis , y permaneció en Charleston. [18]
En febrero de 2016, Equifax adquirió la empresa australiana Veda , la agencia de referencia crediticia más grande de Australia en ese momento. Veda había adquirido previamente en septiembre de 2015 la empresa australiana de investigación de mercado y encuestas de opinión ReachTEL , que sigue produciendo encuestas de opinión en Australia. [19]
Equifax fue objeto de más de 57,000 quejas de consumidores ante la Oficina de Protección Financiera del Consumidor desde octubre de 2012 hasta el 17 de septiembre de 2017, y la mayoría de las quejas se relacionaron con información incompleta, inexacta, desactualizada o mal atribuida en poder de la empresa. [20]
En septiembre de 2017, Equifax anunció una violación de la seguridad cibernética , que afirma haber ocurrido entre mediados de mayo y julio de 2017, [21] donde los ciberdelincuentes accedieron a aproximadamente 145,5 millones de datos personales de los consumidores de Equifax en EE. UU., incluidos sus nombres completos y números de seguridad social. , fechas de nacimiento, direcciones y números de licencia de conducir . Equifax también confirmó que en el ataque se robaron al menos 209.000 credenciales de tarjetas de crédito de consumidores. El 1 de marzo de 2018, Equifax anunció que 2,4 millones de clientes estadounidenses adicionales se vieron afectados por la infracción, [22] aumentando el número de afectados a 147,9 millones de estadounidenses. La empresa afirma haber descubierto pruebas del ciberdelito el 29 de julio de 2017. Los residentes en el Reino Unido (15,2 millones) y Canadá (alrededor de 19.000) también se vieron afectados. La vulnerabilidad que aprovecharon los piratas informáticos chinos fue CVE - 2017-5638; [23] los piratas informáticos lograron permanecer en los sistemas de Equifax sin ser detectados durante aproximadamente 134 días. [24]
En marzo de 2018, la Comisión de Bolsa y Seguridad acusó a Jun Ying, ex CIO de Equifax , de uso ilícito de información privilegiada, al vender acciones de la empresa antes de que se revelara públicamente la infracción. [25] Después de una investigación del FBI , Ying se declaró culpable, fue sentenciado a cuatro meses de prisión más un año de libertad supervisada, y se le impuso una multa de 55.000,00 dólares y se le ordenó pagar una restitución de 117.117,61 dólares en junio de 2019. [26] [27] El gerente de Equifax, Sudhakar Reddy Bonthu, también se declaró culpable de uso de información privilegiada y recibió una sentencia de 8 meses de prisión domiciliaria. [28] [29]
En julio de 2019, The New York Times , el New York Post y otros medios informaron que Equifax había acordado pagar aproximadamente 650 millones de dólares para llegar a un acuerdo con la Comisión Federal de Comercio (FTC) para resolver las investigaciones de varios fiscales generales estatales, la Oficina de Protección Financiera del Consumidor , la FTC y una demanda colectiva de consumidores relacionada con la violación de datos. [30] [31] [32]
Sin embargo, en septiembre de 2019, Equifax había agregado calificaciones y "obstáculos" a su proceso de reclamos que pusieron en duda si realmente se otorgaría el acuerdo en efectivo previamente anunciado de $125 por consumidor afectado. [33] [34] [35]
El 19 de diciembre de 2019, un juez federal de Atlanta otorgó a los abogados de demandas colectivas que representan a los consumidores aproximadamente 77,5 millones de dólares, lo que sugiere que los consumidores individuales podrían esperar recibir alrededor de seis o siete dólares. [36]
En julio de 2020, Equifax informó que, después de comprar Ansonia Credit Data (Ansonia), una importante fuente de datos de crédito al consumo, pagos y facturas por cobrar (AR) utilizados por compañías financieras y otros prestatarios y empresas en los sectores de envío y logística, el La firma ha ampliado su posición en soluciones de tecnología de pagos comerciales. [37]
El 2 de agosto de 2022, una semana después de que su director ejecutivo, Mark Begor, fuera considerado "exclusivamente calificado para dirigir la empresa" y la junta directiva de Equifax le concediera un paquete de bonificación de 25 millones de dólares, el Wall Street Journal informó que Equifax había enviado millones de puntuaciones de crédito calculadas incorrectamente a prestamistas. [38] [39] Equifax reconoció haber informado puntajes crediticios inexactos, pero insistió en que los errores habían afectado solo a unas pocas personas. Al día siguiente, Nydia Jenkins, residente de Jacksonville, Florida, presentó una demanda colectiva contra Equifax alegando que había recibido un "préstamo de automóvil sustancialmente más caro" (lo que resultó en un pago adicional del préstamo de $ 2,352 más por año) debido a que Equifax informó su crédito. anotó 130 puntos menos de lo que debería haber sido. [40] [41]
En febrero de 2023, se anunció que Equifax había adquirido la oficina de crédito con sede en Barueri , Boa Vista Serviços por 596 millones de dólares, [42] comenzando a cotizar en la B3 de São Paulo , bajo el símbolo EFXB31.
Equifax opera principalmente en el sector de empresa a empresa , vendiendo informes de seguros y crédito al consumo y análisis relacionados a empresas de una variedad de industrias. [ cita necesaria ] Los clientes comerciales incluyen minoristas , empresas de seguros , proveedores de atención médica , servicios públicos, agencias gubernamentales, así como bancos , cooperativas de crédito , compañías de finanzas personales y especializadas y otras instituciones financieras. [ cita necesaria ] Equifax vende informes crediticios, análisis, datos demográficos y software para empresas. [43] Los informes crediticios proporcionan información detallada sobre el crédito personal y el historial de pagos de las personas, indicando cómo han cumplido con sus obligaciones financieras, como el pago de facturas o el reembolso de un préstamo . [43] Los otorgantes de crédito utilizan esta información para decidir qué tipo de productos o servicios ofrecer a sus clientes y en qué condiciones. [43] Equifax también proporciona informes crediticios comerciales que contienen datos financieros y no financieros sobre empresas de todos los tamaños. Equifax recopila y proporciona datos a través del National Consumer Telecom and Utilities Exchange (NCTUE), un intercambio de datos no crediticios que incluye el historial de pagos de los consumidores en telecomunicaciones y cuentas de servicios públicos. [43] [44] [45]
En 1999, Equifax comenzó a ofrecer además servicios al sector de consumo de crédito, como productos de prevención de fraude crediticio y robo de identidad. [43] Equifax y otras agencias de seguimiento crediticio están obligadas por ley a proporcionar a los residentes de EE. UU. una divulgación gratuita de su expediente crediticio cada 12 meses; El sitio web Annualcreditreport.com incorpora datos de los registros crediticios de Equifax de EE. UU. [43]
Equifax también ofrece productos de prevención de fraude basados en la toma de huellas dactilares del dispositivo , como "FraudIQ Authenticate Device". [43]
Equifax también ofrece un servicio de protección crediticia, llamado Equifax Protect. [46]
Según el senador Michael Crapo , "La cantidad de datos que la industria privada y el gobierno recopilan y almacenan es muy preocupante. Existe una vulnerabilidad intrínseca en la recopilación y el almacenamiento de información financiera personal, y necesitamos tener un debate significativo sobre cómo proteger y limitar acceder a él." [47]
Según un informe de octubre de 2017 de Placa base , alrededor de diciembre de 2016, un investigador de seguridad que examinó los servidores de Equifax descubrió que se podía acceder a un portal en línea, creado únicamente para los empleados de Equifax, en Internet abierto. [48]
"No tuve que hacer nada sofisticado", dijo el investigador a placa base, explicando que el sitio era vulnerable a un error básico de "navegación forzada". El investigador solicitó el anonimato por motivos profesionales. "Todo lo que había que hacer era introducir un término de búsqueda y obtener millones de resultados, al instante, en texto sin cifrar, a través de una aplicación web", dijeron. En total, el investigador descargó los datos de cientos de miles de estadounidenses para mostrar a Equifax las vulnerabilidades de sus sistemas. Dijeron que podrían haber descargado los datos de todos los clientes de Equifax en 10 minutos: "He visto muchas cosas malas, pero no tan malas".
Según placa base, los mismos tipos de información privada confidencial de consumidores estadounidenses (nombres, fechas de nacimiento, números de seguridad social, etc.) quedaron expuestos como en la violación de mayo-julio. [48] Además, los investigadores de seguridad dijeron que pudieron obtener acceso shell en los servidores de Equifax y descubrieron e informaron a Equifax vulnerabilidades adicionales. Según el informe, a pesar de recibir esta advertencia del investigador de seguridad, el portal afectado no se cerró hasta seis meses después, en junio, mucho después de que comenzaran las infracciones de marzo y mayo-julio. [48] Además, se informó que el portal de empleados no era el mismo servidor objetivo de las infracciones posteriores, lo que, según especula Placa base, puede sugerir que pueden haber ocurrido múltiples infracciones por parte de más de una parte. [48]
El 18 de septiembre de 2017, Bloomberg News informó que Equifax había sido víctima de una "gran violación de sus sistemas informáticos" en marzo de 2017, y que a principios de marzo había comenzado a "notificar a un pequeño número de personas externas y clientes bancarios" sobre esto. ataque. [49]
Según Bloomberg, una persona familiarizada con la vulneración creía que esta intrusión de principios de marzo podría haber sido llevada a cabo por la misma parte que vulneró los sistemas informáticos de Equifax nuevamente en mayo. Según Bloomberg, Equifax reclutó a Mandiant (propiedad de FireEye, Inc. ) para ayudar en la investigación del ataque de marzo. Se contrató a la misma empresa de ciberseguridad tras la infracción de mayo-julio. [49]
Entre mayo y julio de 2017, piratas informáticos actualmente no identificados pudieron utilizar un exploit conocido en uno de los servidores web de Equifax que aún no se había actualizado para acceder a los registros crediticios de más de 140 millones de estadounidenses, así como de algunos ciudadanos británicos y canadienses, antes de la Se detectó una infracción y se cerró. Equifax reveló el incumplimiento el 7 de septiembre de 2017, luego de determinar los medios y el alcance del incumplimiento. [50] El evento fue considerado "una de las mayores violaciones de datos de la historia". [51]
Varios consumidores presentaron demandas en tribunales de reclamos menores contra Equifax debido a la infracción, mientras que Equifax llegó más tarde a un acuerdo de 575 millones de dólares con la Comisión Federal de Comercio para ofrecer un pago en efectivo o monitoreo de crédito para los afectados por la infracción. [52] Los expertos en seguridad aún no han visto los datos de la violación en los mercados negros o en la web oscura, lo que dificulta identificar el origen de la violación. Sin embargo, en febrero de 2020, el Departamento de Justicia de Estados Unidos acusó a cuatro miembros del Ejército Popular de Liberación de China de nueve cargos relacionados con la infracción, que China ha negado. [53] [54]
En septiembre de 2017, Brian Krebs reveló que la rama argentina de Equifax había dejado datos privados de aproximadamente 14.000 consumidores y más de 100 miembros del personal, disponibles para cualquiera que ingresara "admin" como nombre de usuario y contraseña para uno de sus sistemas en línea. [55] [56]
El 7 de septiembre de 2017, el mismo día en que Equifax anunció una gran violación de seguridad , Equifax eliminó sus aplicaciones móviles oficiales de Apple App Store y de Google Play . [57] Si bien estas aplicaciones en sí mismas no estaban supuestamente conectadas a esa violación, tenían sus propios fallos de seguridad, siendo vulnerables a ataques de intermediario debido a que algunas partes usaban HTTP en lugar de HTTPS . [58]
El 8 de octubre de 2017, Krebs informó que The Work Number , un sitio web operado por la división TALX de Equifax, expuso los historiales salariales de los empleados de decenas de miles de empresas estadounidenses a cualquier persona en posesión del número de seguro social y la fecha de nacimiento del empleado . [59] [60] Se sabe que aproximadamente la mitad de la población de EE. UU., estos dos últimos datos están en posesión de delincuentes, luego de la violación de seguridad de Equifax entre mayo y julio de 2017 . [59] [60] En julio de 2019, Equifax llegó a un acuerdo con la Comisión Federal de Comercio por 700 millones de dólares. Este número contiene un fondo de restitución al consumidor de 380.500.000 dólares, parte de la demanda colectiva. [61]
El 12 de octubre de 2017, se informó que el sitio web de Equifax ofrecía a los visitantes malware mediante descarga no autorizada . [62] [63] El malware estaba disfrazado de una actualización para Adobe Flash . [62] [63] [64] [65] En ese momento, solo 3 de los 65 principales productos antimalware proporcionaban protección contra el malware en particular, lo que significa que muchos visitantes corrían el riesgo de que sus computadoras se infectaran cuando visitaban el sitio web de Equifax. . [64]
El 13 de octubre de 2017, se reveló que el ataque se había realizado mediante el secuestro de JavaScript analítico de terceros de la marca FireClick de Digital River . [66] [67]
También el 13 de octubre de 2017, se informó que el Servicio de Impuestos Internos de EE. UU. había suspendido un contrato de 7,2 millones de dólares con Equifax como resultado del ataque. [68]
En 1982, Retail Credit Company fue criticada por recopilar "...hechos, estadísticas, inexactitudes y rumores... sobre prácticamente todas las fases de la vida de una persona; sus problemas matrimoniales, trabajos, antecedentes escolares, infancia, vida sexual y actividades políticas". ". [69]
La empresa fue acusada de recompensar a sus empleados por recopilar información negativa sobre los consumidores en los años 1970. Hubo un decreto de consentimiento. En 1975, la empresa cambió su nombre a "Equifax", supuestamente para contrarrestar su reputación empañada. [70]
La empresa ha sido multada por la Comisión Federal de Comercio en dos ocasiones por violar la Ley de Informes Crediticios Justos ("FCRA"). En 2000, Equifax, junto con Experian y TransUnion, fueron multadas con 2,5 millones de dólares por bloquear y retrasar llamadas telefónicas de consumidores que intentaban obtener información sobre su crédito. En 2003, la FTC llevó a Equifax a los tribunales por el mismo motivo y resolvió su demanda con la empresa con una multa de 250.000 dólares. [71] [72]
En julio de 2013, un jurado federal de Oregón otorgó 18,6 millones de dólares a Julie Miller del condado de Marion contra Equifax por violaciones de la Ley de Informes Crediticios Justos. [73] En su demanda, Miller alegó que Equifax había fusionado sus informes de crédito con otra persona con un número de Seguro Social, fecha de nacimiento y dirección diferentes. Miller se comunicó con Equifax repetidamente por escrito y por teléfono, pero Equifax se negó a eliminar docenas de cuentas de cobro falsas del informe crediticio de Miller. [74] La indemnización incluyó 18,4 millones de dólares en daños punitivos y 180.000 dólares en daños compensatorios. El abogado de Miller, Justin Baxter, explicó que los informes falsos dañaron la reputación de Miller, se le negó el crédito y su información privada se entregó a empresas con las que Miller no tenía relación. [75] Se cree que el veredicto del jurado es el premio más grande en un caso individual bajo la Ley de Informe Justo de Crédito. [76] Un portavoz de Equifax dijo que Equifax está considerando apelar el veredicto del jurado. [77] Un juez federal redujo la indemnización a 1,62 millones de dólares en 2014. [78]
En 2014, Equifax y Heartland Bank fueron demandados por Kimberly Haman del área de St. Louis por informar que estaba muerta. [79] [80] Un portavoz de Heartland Bank dijo que el banco "investigó inmediatamente y se puso en contacto con las agencias de informes crediticios después de que Haman informara" que todavía estaba viva. [79] Un portavoz de Equifax "le dijo al Post-Dispatch que Equifax bloqueó la información de la cuenta Heartland para que no apareciera en el informe crediticio de Haman después de la investigación de un periodista". [73] [79]
En abril de 2014, God Gazarov demandó a Equifax en un tribunal federal de Nueva York, quien afirmó que la compañía informó erróneamente que no tenía historial crediticio debido a su nombre inusual. [81] Gazarov resolvió su demanda en mayo de 2015, y Equifax acordó ingresar su nombre en su base de datos. [82]
El 4 de noviembre de 2017, se informó que un grupo de cinco habitantes de Oklahoma había demandado a la empresa, alegando que Equifax "violó las leyes que exigen a las instituciones financieras proteger la seguridad de la información personal de sus clientes". [83] Equifax seleccionó a la firma de abogados DLA Piper para trabajar en el caso en DC. Había recurrido a Edelman para un control de crisis anterior después de la violación de la privacidad de octubre de 2017. [84]
Las demandas de consumidores que reclaman daños y perjuicios en virtud de la FCRA han tenido éxito en los tribunales de reclamos menores. [85]
El ingeniero de software de Equifax, Sudhakar Reddy, fue acusado de uso de información privilegiada para comprar opciones antes de la divulgación de la violación de datos de 2017. [86] [87]
En enero de 2020, Equifax acordó un acuerdo global con la Comisión Federal de Comercio, la Oficina de Protección Financiera del Consumidor y 50 estados y territorios de EE. UU. Para aquellos que se vieron afectados por la violación de datos, hubo sugerencias abiertas para presentar reclamaciones en su contra. El acuerdo incluye hasta 425 millones de dólares para ayudar a las personas afectadas por la violación de datos. [88] [89] Equifax finalmente llegó a un acuerdo con los reguladores por hasta 700 millones de dólares. [90]
En octubre de 2023, la Autoridad de Conducta Financiera del Reino Unido multó a Equifax con más de £11 millones por no proteger los datos de los clientes del Reino Unido. [91]
{{cite news}}
: |author=
tiene nombre genérico ( ayuda )La SEC dice que Bonthu compró opciones antes de que la violación de datos de la compañía se hiciera pública y las vendió con una ganancia de más de 75.000 dólares.
En una denuncia presentada hoy ante un tribunal federal de Atlanta, la SEC acusó a Sudhakar Reddy Bonthu, gerente de ingeniería de software de Equifax, de comerciar con información confidencial que recibió mientras creaba un sitio web para consumidores afectados por una violación de datos.