Equifax Inc. es una agencia multinacional estadounidense de informes de crédito al consumidor con sede en Atlanta, Georgia , y es una de las tres agencias de informes de crédito al consumidor más grandes , junto con Experian y TransUnion (conocidas en conjunto como las "Tres Grandes"). [4] Equifax recopila y agrega información sobre más de 800 millones de consumidores individuales y más de 88 millones de empresas en todo el mundo. Además de datos crediticios y demográficos y servicios a empresas, [5] Equifax vende servicios de monitoreo de crédito y prevención de fraude directamente a los consumidores. [6]
Equifax opera o tiene inversiones en 24 países de América, Europa y Asia Pacífico . Con más de 14.000 empleados en todo el mundo, Equifax tiene casi 5.000 millones de dólares en ingresos anuales y cotiza en la Bolsa de Valores de Nueva York ( NYSE ) bajo el símbolo EFX. [7]
Equifax fue fundada como Retail Credit Company por Cator y Guy Woolford en Atlanta, Georgia , como Retail Credit Company en 1899. [8] Para 1920, la compañía tenía oficinas en todo Estados Unidos y Canadá. [9] Para la década de 1960, Retail Credit Company era una de las agencias de crédito más grandes del país, con archivos de millones de ciudadanos estadounidenses y canadienses. [10] [11] Aunque la compañía continuó haciendo informes crediticios, la mayor parte de su negocio era hacer informes a las compañías de seguros cuando las personas solicitaban nuevas pólizas de seguro, como seguro de vida, automóvil, incendio y médico. [11] RCC también investigaba reclamos de seguros y realizaba informes de empleo cuando las personas buscaban nuevos trabajos. La mayor parte del trabajo crediticio lo realizaba entonces una subsidiaria , Retailers Commercial Agency.
La información que poseía Retail Credit Company y su disposición a venderla suscitaron críticas en los años 1960 y 1970, entre ellas, que recopilaba "... hechos, estadísticas, inexactitudes y rumores... sobre prácticamente todas las fases de la vida de una persona: sus problemas matrimoniales, trabajos, historial escolar, infancia, vida sexual y actividades políticas". También se alegaba que la empresa recompensaba a sus empleados por recopilar información despectiva sobre los consumidores. [11] Esto condujo a la discriminación contra las personas queer y las personas de color . [12]
En 1970, después de que la empresa informatizara sus registros, lo que dio lugar a una mayor disponibilidad de la información personal que poseía, el Congreso de los Estados Unidos celebró audiencias que condujeron a la promulgación de la Ley de Informes Crediticios Justos . Esta legislación otorgó a los consumidores derechos con respecto a la información almacenada sobre ellos en los bancos de datos corporativos. [13] Se alega que las audiencias impulsaron a la Retail Credit Company a cambiar su nombre a Equifax en 1975 para mejorar su imagen. [11]
Equifax se expandió a informes de crédito comercial sobre empresas en los Estados Unidos, Canadá y el Reino Unido, donde entró en competencia con empresas como Dun & Bradstreet y Experian . [14] Los informes de seguros se eliminaron gradualmente. [ cita requerida ] La compañía también tenía una división que vendía información crediticia especializada a la industria de seguros, pero escindió este servicio, incluida la base de datos Comprehensive Loss Underwriting Exchange (CLUE) como ChoicePoint en 1997. [15] Equifax anteriormente ofrecía servicios de certificación digital, que vendió a GeoTrust en septiembre de 2001. [16] También en 2001, Equifax escindió su división de servicios de pago, formando la empresa que cotiza en bolsa Certegy , que posteriormente adquirió Fidelity National Information Services en 2006. [17] Certegy efectivamente se convirtió en una subsidiaria de Fidelity National Financial como resultado de esta fusión de adquisición inversa (ver Certegy y Fidelity National Information Services para obtener más información) . [17]
En octubre de 2010, Equifax anunció que iba a adquirir Anakam, una empresa de software de verificación de identidad con sede en San Diego, California , que inventó y fue pionera en la autenticación de dos factores basada en mensajes de texto ( SMS ) . Los términos del acuerdo no fueron revelados.
Equifax compró eThority, una empresa de inteligencia empresarial (BI) con sede en Charleston, Carolina del Sur , en octubre de 2011. eThority se asoció con TALX , una unidad de negocios de Equifax con sede en St. Louis , y permaneció en Charleston. [18]
En febrero de 2016, Equifax adquirió la empresa australiana Veda , la mayor agencia de referencia crediticia de Australia en ese momento. Veda había adquirido previamente la empresa australiana de investigación de mercado y encuestas de opinión ReachTEL en septiembre de 2015, que sigue produciendo encuestas de opinión en Australia. [19]
Equifax fue objeto de más de 57.000 quejas de consumidores ante la Oficina de Protección Financiera del Consumidor desde octubre de 2012 hasta el 17 de septiembre de 2017, y la mayoría de las quejas estaban relacionadas con información incompleta, inexacta, obsoleta o mal atribuida en poder de la empresa. [20]
En septiembre de 2017, Equifax anunció una violación de seguridad cibernética , que afirma haber ocurrido entre mediados de mayo y julio de 2017, [21] donde los cibercriminales accedieron a aproximadamente 145,5 millones de datos personales de consumidores estadounidenses de Equifax, incluidos sus nombres completos, números de Seguro Social , fechas de nacimiento, direcciones y números de licencia de conducir . Equifax también confirmó que al menos 209.000 credenciales de tarjetas de crédito de consumidores fueron tomadas en el ataque. El 1 de marzo de 2018, Equifax anunció que 2,4 millones de clientes estadounidenses adicionales se vieron afectados por la violación, [22] aumentando el número de afectados a 147,9 millones de estadounidenses. La compañía afirma haber descubierto evidencia del evento de ciberdelito el 29 de julio de 2017. Los residentes en el Reino Unido (15,2 millones) y Canadá (alrededor de 19.000) también se vieron afectados. La vulnerabilidad que aprovecharon los piratas informáticos chinos fue CVE - 2017-5638; [23] Los piratas informáticos lograron permanecer en los sistemas de Equifax sin ser detectados durante aproximadamente 134 días. [24]
En marzo de 2018, la Comisión de Bolsa y Valores acusó a Jun Ying, ex CIO de Equifax , de tráfico ilícito de información privilegiada, al vender acciones de la empresa antes de que se revelara públicamente la violación. [25] Después de una investigación del FBI , Ying se declaró culpable, fue sentenciado a cuatro meses de prisión más un año de libertad supervisada, y fue multado con $ 55,000.00 y se le ordenó pagar una restitución de $ 117,117.61 en junio de 2019. [26] [27] Un gerente de Equifax, Sudhakar Reddy Bonthu, también se declaró culpable de tráfico de información privilegiada y recibió una sentencia de 8 meses de arresto domiciliario. [28] [29]
En julio de 2019, The New York Times , el New York Post y otros medios informaron que Equifax había acordado pagar aproximadamente 650 millones de dólares para llegar a un acuerdo con la Comisión Federal de Comercio (FTC) para resolver las investigaciones de varios fiscales generales estatales, la Oficina de Protección Financiera del Consumidor , la FTC y una demanda colectiva de consumidores relacionada con la violación de datos. [30] [31] [32]
Sin embargo, en septiembre de 2019, Equifax había añadido calificaciones y "obstáculos" a su proceso de reclamaciones que ponían en duda si el acuerdo en efectivo previamente anunciado de $125 por consumidor afectado realmente se otorgaría. [33] [34] [35]
El 19 de diciembre de 2019, un juez federal de Atlanta otorgó a los abogados de demandas colectivas que representan a consumidores aproximadamente 77,5 millones de dólares, lo que sugiere que los consumidores individuales podrían esperar recibir alrededor de seis o siete dólares. [36]
En julio de 2020, Equifax informó que, después de comprar Ansonia Credit Data (Ansonia), una importante fuente de datos de crédito al consumo, pagos y facturas por cobrar (AR) utilizados por empresas financieras y otros prestatarios y empresas en los sectores de envío y logística, la empresa ha ampliado su posición en soluciones de tecnología de pagos comerciales. [37]
El 2 de agosto de 2022, una semana después de que su director ejecutivo, Mark Begor, fuera considerado "excepcionalmente calificado para dirigir la empresa" y el directorio de Equifax le otorgara un paquete de bonificación de 25 millones de dólares, el Wall Street Journal informó que Equifax había enviado millones de puntuaciones crediticias calculadas incorrectamente a los prestamistas. [38] [39] Equifax reconoció haber informado de puntuaciones crediticias inexactas, pero insistió en que los errores habían afectado solo a unas pocas personas. Al día siguiente, Nydia Jenkins, residente de Jacksonville (Florida), presentó una demanda colectiva contra Equifax alegando que había recibido un "préstamo para un automóvil sustancialmente más caro" (lo que resultó en un pago adicional del préstamo de 2.352 dólares más al año) debido a que Equifax informó que su puntuación crediticia tenía 130 puntos de diferencia con respecto a lo que debería haber sido. [40] [41]
En febrero de 2023, se anunció que Equifax había adquirido la agencia de crédito con sede en Barueri , Boa Vista Serviços por 596 millones de dólares, [42] comenzando a cotizar en la B3 de São Paulo , bajo el símbolo EFXB31.
Equifax opera principalmente en el sector de empresa a empresa , vendiendo informes de crédito y seguros al consumidor y análisis relacionados a empresas de una variedad de industrias. [ cita requerida ] Los clientes comerciales incluyen minoristas , compañías de seguros , proveedores de atención médica , servicios públicos, agencias gubernamentales, así como bancos , cooperativas de crédito , compañías de finanzas personales y especializadas y otras instituciones financieras. [ cita requerida ] Equifax vende informes de crédito a empresas, análisis, datos demográficos y software. [43] Los informes de crédito brindan información detallada sobre el historial de crédito y pago personal de las personas, indicando cómo han cumplido con las obligaciones financieras, como pagar facturas o reembolsar un préstamo . [43] Los otorgantes de crédito usan esta información para decidir qué tipo de productos o servicios ofrecer a sus clientes y en qué términos. [43] Equifax también proporciona informes de crédito comerciales que contienen datos financieros y no financieros sobre empresas de todos los tamaños. Equifax recopila y proporciona datos a través del National Consumer Telecom and Utilities Exchange (NCTUE), un intercambio de datos no crediticios que incluye el historial de pago del consumidor en cuentas de telecomunicaciones y servicios públicos. [43] [44] [45]
En 1999, Equifax comenzó a ofrecer servicios adicionales al sector de consumo de crédito, como productos de prevención de fraude crediticio y robo de identidad. [43] Equifax y otras agencias de monitoreo de crédito están obligadas por ley a proporcionar a los residentes de los EE. UU. una divulgación gratuita de su expediente de crédito cada 12 meses; el sitio web Annualcreditreport.com incorpora datos de los registros de crédito de Equifax en los EE. UU. [43]
Equifax también ofrece productos de prevención de fraude basados en la identificación de dispositivos, como "FraudIQ Authenticate Device". [43]
Equifax también ofrece un servicio de protección de crédito, llamado Equifax Protect. [46]
Según el senador Michael Crapo , "la cantidad de datos que la industria privada y el gobierno recopilan y almacenan es muy preocupante. La recopilación y el almacenamiento de información financiera personal conlleva una vulnerabilidad intrínseca, y debemos mantener un debate serio sobre cómo protegerla y limitar el acceso a ella". [47]
Según un informe de octubre de 2017 de Motherboard , alrededor de diciembre de 2016, un investigador de seguridad que examinó los servidores de Equifax descubrió que un portal en línea, creado solo para empleados de Equifax, era accesible a Internet abierto. [48]
"No tuve que hacer nada especial", dijo el investigador a Motherboard, explicando que el sitio era vulnerable a un error básico de "navegación forzada". El investigador pidió el anonimato por cuestiones profesionales. "Todo lo que había que hacer era introducir un término de búsqueda y obtener millones de resultados, al instante, en texto sin formato, a través de una aplicación web", dijo. En total, el investigador descargó los datos de cientos de miles de estadounidenses para mostrar a Equifax las vulnerabilidades de sus sistemas. Dijo que podría haber descargado los datos de todos los clientes de Equifax en 10 minutos: "He visto muchas cosas malas, pero no tan malas".
Según Motherboard, se expusieron los mismos tipos de información privada sensible de consumidores estadounidenses (nombres, fechas de nacimiento, números de seguridad social, etc.) que en la brecha de mayo-julio. [48] Además, los investigadores de seguridad dijeron que pudieron obtener acceso shell a los servidores de Equifax y descubrieron e informaron a Equifax vulnerabilidades adicionales. Según el informe, a pesar de recibir esta advertencia del investigador de seguridad, el portal afectado no se cerró hasta seis meses después, en junio, mucho después de que comenzaran las brechas de marzo y mayo-julio. [48] Además, se informó que el portal de empleados no era el mismo servidor que fue el objetivo de las brechas posteriores, lo que, según especula Motherboard, puede sugerir que pueden haber ocurrido múltiples brechas por parte de más de una parte. [48]
El 18 de septiembre de 2017, Bloomberg News informó que Equifax había sido víctima de una "vulneración importante de sus sistemas informáticos" en marzo de 2017, y que a principios de marzo había comenzado a "notificar a un pequeño número de personas externas y clientes bancarios" sobre este ataque. [49]
Según Bloomberg, una persona familiarizada con la filtración de datos cree que esta intrusión de principios de marzo puede haber sido llevada a cabo por la misma entidad que volvió a violar los sistemas informáticos de Equifax en mayo. Según Bloomberg, Equifax contrató a Mandiant (propiedad de FireEye, Inc. ) para que la ayudara a investigar el ataque de marzo. La misma empresa de ciberseguridad fue contratada después de la filtración de datos de mayo-julio. [49]
Entre mayo y julio de 2017, piratas informáticos no identificados hasta el momento pudieron utilizar un exploit conocido en uno de los servidores web de Equifax que aún no se había actualizado para acceder a los registros crediticios de más de 140 millones de estadounidenses, así como de algunos ciudadanos británicos y canadienses, antes de que se detectara y se cerrara la brecha. Equifax reveló la brecha el 7 de septiembre de 2017, después de determinar los medios y el alcance de la brecha. [50] El evento fue considerado "una de las mayores brechas de datos de la historia". [51]
Varios consumidores presentaron demandas en tribunales de reclamos menores contra Equifax debido a la violación, mientras que Equifax luego llegó a un acuerdo de $ 575 millones con la Comisión Federal de Comercio para ofrecer un pago en efectivo o monitoreo de crédito para aquellos afectados por la violación. [52] Los datos de la violación aún no han sido vistos en los mercados negros o la red oscura por expertos en seguridad, lo que dificulta identificar el origen de la violación. Sin embargo, en febrero de 2020, el Departamento de Justicia de los Estados Unidos acusó a cuatro miembros del Ejército Popular de Liberación de China por nueve cargos relacionados con la violación, que China ha negado. [53] [54]
En septiembre de 2017, Brian Krebs reveló que la filial argentina de Equifax había dejado datos privados de aproximadamente 14.000 consumidores y más de 100 miembros del personal disponibles para cualquiera que ingresara "admin" como nombre de usuario y contraseña para uno de sus sistemas en línea. [55] [56]
El 7 de septiembre de 2017, el mismo día en que Equifax anunció una gran violación de seguridad , Equifax eliminó sus aplicaciones móviles oficiales de la App Store de Apple y de Google Play . [57] Si bien, según se informó, estas aplicaciones en sí mismas no estaban conectadas con esa violación, tenían sus propias fallas de seguridad y eran vulnerables a ataques de intermediarios debido a que algunas partes usaban HTTP en lugar de HTTPS . [58]
El 8 de octubre de 2017, Krebs informó que The Work Number , un sitio web operado por la división TALX de Equifax , expuso los historiales salariales de los empleados de decenas de miles de empresas estadounidenses a cualquier persona que estuviera en posesión del número de seguro social y la fecha de nacimiento del empleado. [59] [60] Se sabe que aproximadamente la mitad de la población de EE. UU. posee estos dos últimos datos en posesión de delincuentes, luego de la violación de seguridad de Equifax de mayo a julio de 2017. [ 59] [60] En julio de 2019, Equifax llegó a un acuerdo con la Comisión Federal de Comercio por $700 millones. Este número contiene un fondo de restitución al consumidor de $380,500,000, parte de la demanda colectiva. [61]
El 12 de octubre de 2017, se informó que el sitio web de Equifax había estado ofreciendo malware a los visitantes a través de descargas automáticas . [62] [63] El malware estaba disfrazado como una actualización para Adobe Flash . [62] [63] [64] [65] En ese momento, solo 3 de los 65 principales productos antimalware brindaban protección contra el malware en particular, lo que significa que muchos visitantes corrían el riesgo de tener sus computadoras infectadas al visitar el sitio web de Equifax. [64]
El 13 de octubre de 2017, se reveló que el ataque se había realizado secuestrando JavaScript de análisis de terceros de la marca FireClick de Digital River . [66] [67]
También el 13 de octubre de 2017, se informó que el Servicio de Impuestos Internos de Estados Unidos había suspendido un contrato de 7,2 millones de dólares con Equifax como resultado del ataque. [68]
En 1982, la Retail Credit Company fue criticada por recopilar "...hechos, estadísticas, inexactitudes y rumores... sobre prácticamente todas las fases de la vida de una persona: sus problemas matrimoniales, trabajos, historial escolar, infancia, vida sexual y actividades políticas". [69]
La empresa fue acusada de recompensar a sus empleados por recopilar información negativa sobre los consumidores en la década de 1970. Hubo un decreto de consentimiento. En 1975, la empresa cambió su nombre a "Equifax", supuestamente para contrarrestar su reputación empañada. [70]
La Comisión Federal de Comercio ha multado a la empresa en dos ocasiones por violar la Ley de Informes Crediticios Justos ("FCRA"). En 2000, Equifax, junto con Experian y TransUnion, fue multada con 2,5 millones de dólares por bloquear y retrasar las llamadas telefónicas de los consumidores que intentaban obtener información sobre su crédito. En 2003, la FTC llevó a Equifax a los tribunales por la misma razón y resolvió su demanda con la empresa por una multa de 250.000 dólares. [71] [72]
En julio de 2013, un jurado federal en Oregon otorgó $18.6 millones a Julie Miller del condado de Marion contra Equifax por violaciones de la Ley de Informes Crediticios Justos. [73] En su demanda, Miller alegó que Equifax había fusionado sus informes crediticios con otra persona con un número de Seguro Social, fecha de nacimiento y dirección diferentes. Miller se comunicó con Equifax repetidamente por escrito y por teléfono, pero Equifax se negó a eliminar docenas de cuentas de cobro falsas del informe crediticio de Miller. [74] La adjudicación incluyó $18.4 millones en daños punitivos y $180,000 en daños compensatorios. El abogado de Miller, Justin Baxter, explicó que los informes falsos dañaron la reputación de Miller, se le negó el crédito y su información privada se entregó a empresas con las que Miller no tenía relación. [75] Se cree que el veredicto del jurado es la adjudicación más grande en un caso individual bajo la Ley de Informes Crediticios Justos. [76] Un portavoz de Equifax dijo que Equifax está considerando apelar el veredicto del jurado. [77] Un juez federal redujo la indemnización a 1,62 millones de dólares en 2014. [78]
En 2014, Kimberly Haman, del área de St. Louis, demandó a Equifax y Heartland Bank por informar que estaba muerta. [79] [80] Un portavoz de Heartland Bank dijo que el banco "investigó de inmediato y se puso en contacto con las agencias de informes crediticios después de que Haman informara" que todavía estaba viva. [79] Un portavoz de Equifax "le dijo al Post-Dispatch que Equifax bloqueó la información de la cuenta de Heartland para que no apareciera en el informe crediticio de Haman después de la consulta de un periodista". [73] [79]
En abril de 2014, Equifax fue demandado en un tribunal federal de Nueva York por God Gazarov, quien afirmó que la compañía lo informa erróneamente como persona sin historial crediticio debido a su inusual nombre de pila. [81] Gazarov resolvió su demanda en mayo de 2015, y Equifax aceptó ingresar su nombre en su base de datos. [82]
El 4 de noviembre de 2017, se informó que un grupo de cinco habitantes de Oklahoma había demandado a la empresa, alegando que Equifax "violó las leyes que requieren que las instituciones financieras protejan la seguridad de la información personal de sus clientes". [83] Equifax seleccionó al bufete de abogados DLA Piper para trabajar en el caso en DC. Había recurrido a Edelman para un control de crisis anterior después de la violación de privacidad de octubre de 2017. [84]
Las demandas de consumidores que reclaman daños y perjuicios en virtud de la FCRA han tenido éxito en los tribunales de reclamos menores. [85]
El ingeniero de software de Equifax, Sudhakar Reddy, fue acusado de tráfico de información privilegiada por comprar opciones antes de que se revelara la filtración de datos de 2017. [86] [87]
En enero de 2020, Equifax acordó un acuerdo global con la Comisión Federal de Comercio, la Oficina de Protección Financiera del Consumidor y 50 estados y territorios de EE. UU. Para aquellos que se vieron afectados por la filtración de datos, hubo sugerencias abiertas para presentar reclamos en su contra. El acuerdo incluye hasta $425 millones para ayudar a las personas afectadas por la filtración de datos. [88] [89] Equifax finalmente llegó a un acuerdo con los reguladores por hasta $700 millones. [90]
En octubre de 2023, la Autoridad de Conducta Financiera del Reino Unido multó a Equifax con más de £11 millones por no proteger los datos de los clientes del Reino Unido. [91]
En mayo de 2024, los prestamistas hipotecarios First Financial Lending y Greystone Mortgage presentaron una propuesta de demanda colectiva contra Equifax, acusando a la empresa de monopolizar el mercado de servicios electrónicos de verificación de ingresos y empleo, lo que supuestamente conduce a precios más altos. [92] [93]
{{cite news}}
: |author=
tiene nombre genérico ( ayuda )La SEC dice que Bonthu compró opciones antes de que se hiciera pública la filtración de datos de la empresa y las vendió con una ganancia de más de 75.000 dólares.
En una denuncia presentada hoy en un tribunal federal de Atlanta, la SEC acusó al gerente de ingeniería de software de Equifax, Sudhakar Reddy Bonthu, de negociar con información confidencial que recibió mientras creaba un sitio web para consumidores afectados por una filtración de datos.