La filtración de datos de Equifax se produjo entre mayo y julio de 2017 en la oficina de crédito estadounidense Equifax . Los registros privados de 147,9 millones de estadounidenses junto con 15,2 millones de ciudadanos británicos y alrededor de 19.000 ciudadanos canadienses se vieron comprometidos en la violación, lo que lo convierte en uno de los mayores delitos cibernéticos relacionados con el robo de identidad . En un acuerdo con la Comisión Federal de Comercio de los Estados Unidos , Equifax ofreció a los usuarios afectados fondos de liquidación y seguimiento crediticio gratuito.
En febrero de 2020, el gobierno de Estados Unidos acusó a miembros del Ejército Popular de Liberación de China por piratear Equifax y saquear datos confidenciales como parte de un atraco masivo que también incluyó el robo de secretos comerciales, aunque el Partido Comunista Chino negó estas afirmaciones. [1] [2]
El 7 de marzo de 2017 se lanzó un parche de seguridad clave para Apache Struts después de que se encontró una vulnerabilidad de seguridad y se instó a todos los usuarios del marco a actualizarlo de inmediato. [3] Los expertos en seguridad encontraron un grupo de piratas informáticos desconocido que intentaba encontrar sitios web que no habían actualizado Struts ya el 10 de marzo de 2017 para encontrar un sistema que explotar. [4]
Según se determinó mediante un análisis post mortem, la infracción en Equifax comenzó el 12 de mayo de 2017, cuando Equifax aún no había actualizado su sitio web de disputas crediticias con la nueva versión de Struts. [5] [6] Los piratas informáticos utilizaron el exploit para obtener acceso a los servidores internos de la red corporativa de Equifax. La información obtenida por primera vez por los piratas informáticos incluía credenciales internas de los empleados de Equifax, que luego les permitieron buscar en las bases de datos de monitoreo de crédito bajo la apariencia de un usuario autorizado. Utilizando el cifrado para enmascarar aún más sus búsquedas, los piratas informáticos realizaron más de 9000 escaneos de las bases de datos, extrajeron información en pequeños archivos temporales que luego fueron transferidos desde los servidores de Equifax para evitar la detección y eliminaron los archivos temporales una vez completados. [7] Las actividades continuaron durante 76 días hasta el 29 de julio de 2017, cuando Equifax descubrió la infracción [8] [9] [10] y posteriormente, el 30 de julio de 2017, cerró el exploit. [4] Al menos 34 servidores en veinte países diferentes fueron utilizados en diferentes puntos durante la violación, lo que dificultó el seguimiento de los perpetradores. [7] Si bien la falla en la actualización de Struts fue una falla clave, el análisis de la infracción encontró fallas adicionales en el sistema de Equifax que facilitaron que ocurriera la infracción, incluido el diseño de red inseguro que carecía de suficiente segmentación, [11] potencialmente inadecuado cifrado de información de identificación personal (PII), [12] y mecanismos de detección de violaciones ineficaces . [13]
La información a la que se accedió durante la violación incluyó nombres y apellidos, números de Seguro Social, fechas de nacimiento, direcciones y, en algunos casos, números de licencia de conducir de aproximadamente 143 millones de estadounidenses, según el análisis de Equifax. [9] También se vio comprometida la información sobre un rango estimado de entre 400.000 y 44 millones de residentes británicos, así como 8.000 residentes canadienses. [14] [15] [16] [17] [18] Otros 11.670 canadienses también se vieron afectados, según reveló más tarde Equifax. [19] También se accedió a números de tarjetas de crédito de aproximadamente 209.000 consumidores estadounidenses y a ciertos documentos de disputa con información de identificación personal de aproximadamente 182.000 consumidores estadounidenses. [20] [10]
Desde la divulgación inicial en septiembre de 2017, Equifax amplió la cantidad de registros que descubrieron a los que se accedió. Tanto en octubre de 2017 como en marzo de 2018, Equifax informó que se accedió a 2,5 y 2,4 millones adicionales de registros de consumidores estadounidenses, respectivamente, lo que eleva el total a 147,9 millones. [21] [22] Equifax redujo su estimación de consumidores del Reino Unido afectados por la violación a 15,2 millones en octubre de 2017, [23] [24] de los cuales 693.665 tenían datos personales confidenciales revelados. [25] [26] [23] [27] [24] Equifax también estimó que el número de licencias de conducir violadas en el ataque fue de 10 a 11 millones. [28] [29] [30]
Los expertos en seguridad esperaban que los lucrativos datos privados resultantes de la violación se revertieran y se vendieran en los mercados negros y en la web oscura , aunque hasta mayo de 2021 no ha habido señales de venta de estos datos. [1] Debido a que los datos no aparecieron inmediatamente en los primeros 17 meses posteriores a la violación, los expertos en seguridad teorizaron que los piratas informáticos detrás de la violación estaban esperando una cantidad significativa de tiempo antes de vender la información, ya que sería demasiado "caliente". vender tan cerca de la violación, o que un estado-nación estaba detrás de la violación y planeaba usar los datos de una manera no financiera, como por ejemplo para espionaje. [31]
El 7 de septiembre de 2017, Equifax reveló la infracción y su alcance: afecta a más de 140 millones de estadounidenses. [32] VentureBeat calificó la exposición de datos de más de 140 millones de clientes como "una de las mayores violaciones de datos de la historia". [33] Las acciones de Equifax cayeron un 13% en las primeras operaciones del día después de que se hiciera pública la infracción. [34] Numerosos medios de comunicación aconsejaron a los consumidores que solicitaran una congelación de crédito para reducir el impacto de la infracción. [35] [36] [37] [38]
El 10 de septiembre de 2017, tres días después de que Equifax revelara la violación, el congresista Barry Loudermilk (R-GA), a quien Equifax le había dado dos mil dólares en fondos de campaña, [39] [40] presentó un proyecto de ley a la Cámara de Representantes de los Estados Unidos. Representantes que reducirían las protecciones al consumidor en relación con las agencias de crédito del país, incluyendo limitar los daños potenciales en una demanda colectiva a $500,000 independientemente del tamaño de la clase o el monto de la pérdida. [41] El proyecto de ley también eliminaría todos los daños punitivos . [41] [42] Tras las críticas de los defensores de los consumidores, Loudermilk acordó retrasar la consideración del proyecto de ley "en espera de una investigación completa y completa sobre la violación de Equifax". [41]
El 15 de septiembre, Equifax emitió un comunicado anunciando las salidas y reemplazos inmediatos de su director de información y director de seguridad. [10] [43] La declaración incluía detalles detallados de la intrusión, sus posibles consecuencias para los consumidores y la respuesta de la empresa. La compañía dijo que había contratado a la firma de ciberseguridad Mandiant el 2 de agosto para investigar la intrusión internamente. El comunicado no especifica cuándo se notificó la violación a las autoridades del gobierno estadounidense, aunque sí afirma que "la compañía continúa trabajando estrechamente con el FBI en su investigación". [10]
El 28 de septiembre, el nuevo CEO de Equifax, Paulino do Rego Barros Jr., respondió a las críticas a Equifax prometiendo que la compañía, desde principios de 2018, permitiría a "todos los consumidores la opción de controlar el acceso a sus datos crediticios personales", y que este servicio ser "ofrecido gratis, de por vida". [44]
El 26 de octubre, Equifax nombró al ejecutivo de tecnología Scott A. McGregor como miembro de su junta directiva. Al anunciar el cambio, el presidente de la junta destacó la "amplia experiencia en seguridad de datos, ciberseguridad, tecnología de la información y gestión de riesgos" de McGregor. [45] [46] El Wall Street Journal informó que se unió al comité de tecnología de la junta, que tiene deberes que incluyen la supervisión de la ciberseguridad. [47]
Se presentaron numerosas demandas contra Equifax en los días posteriores a la revelación del incumplimiento. [48] [49] En una demanda, el bufete de abogados Geragos & Geragos ha indicado que pedirían hasta 70 mil millones de dólares en daños y perjuicios, lo que la convertiría en la demanda colectiva más grande en la historia de Estados Unidos. [48] Desde octubre de 2017, cientos de consumidores han demandado a Equifax por la violación de datos, y algunos ganaron casos de reclamos menores por más de $9,000, incluidos daños reales, daños futuros, ansiedad, tarifas de monitoreo y daños punitivos. [50]
En septiembre de 2017, Richard Cordray , entonces director de la Oficina de Protección Financiera del Consumidor (CFPB), autorizó una investigación sobre la violación de datos en nombre de los consumidores afectados. Sin embargo, en noviembre de 2017, Reuters informó que Mick Mulvaney , jefe de presupuesto del presidente Donald Trump, quien fue designado por Trump para reemplazar a Cordray, había "retirado" la investigación, además de haber archivado los planes de Cordray para pruebas sobre el terreno. de cómo Equifax protege los datos. La CFPB también rechazó a los reguladores bancarios del Banco de la Reserva Federal , la Corporación Federal de Seguros de Depósitos y la Oficina del Contralor de la Moneda , que se ofrecieron a ayudar con los exámenes in situ de las agencias de crédito. [51] La senadora Elizabeth Warren , que publicó un informe sobre la violación de Equifax en febrero de 2018, criticó las acciones de Mulvaney y afirmó: "Estamos revelando este informe mientras Mick Mulvaney está acabando con la investigación de la agencia del consumidor sobre la violación de Equifax. Mick Mulvaney dispara a otro el dedo medio hacia los consumidores". [52]
El 22 de julio de 2019, Equifax acordó un acuerdo con la Comisión Federal de Comercio (FTC), la CFPB, 48 estados de EE. UU., Washington, DC y Puerto Rico para aliviar los daños a las personas afectadas y realizar cambios organizativos para evitar violaciones similares en el futuro. . El costo total del acuerdo incluyó $300 millones para un fondo de compensación a las víctimas, $175 millones para los estados y territorios en el acuerdo y $100 millones para la CFPB en multas. [53] En julio de 2019, la FTC publicó información sobre cómo las personas afectadas podrían presentar un reclamo contra el fondo de compensación a las víctimas utilizando el sitio web EquifaxBreachSettlement.com. [54]
El Departamento de Justicia de Estados Unidos anunció el 10 de febrero de 2020 que había acusado a cuatro miembros del ejército de China de nueve cargos relacionados con el hack, aunque no ha habido pruebas adicionales de que China haya utilizado desde entonces los datos del hack. [55] [56] [57] El gobierno chino negó que los cuatro acusados tuvieran alguna implicación con el hackeo. [1]
Tras el anuncio de la infracción de mayo-julio de 2017, las acciones de Equifax recibieron críticas generalizadas. Equifax no reveló de inmediato si los PIN y otra información confidencial se vieron comprometidos, ni explicó la demora entre el descubrimiento de la violación en julio y su anuncio público a principios de septiembre. [58] Equifax afirmó que el retraso se debió al tiempo necesario para determinar el alcance de la intrusión y la gran cantidad de datos personales involucrados. [59]
También se reveló que tres ejecutivos de Equifax vendieron casi 1,8 millones de dólares de sus tenencias personales de acciones de la empresa días después de que Equifax descubriera la infracción, pero más de un mes antes de que se hiciera pública. [60] La compañía dijo que los ejecutivos, incluido el director financiero John Gamble, [61] [34] "no tenían conocimiento de que se había producido una intrusión en el momento en que vendieron sus acciones". [62] El 18 de septiembre, Bloomberg informó que el Departamento de Justicia de Estados Unidos había abierto una investigación para determinar si se habían violado o no las leyes sobre uso de información privilegiada. [63] "Como señala Bloomberg, estas transacciones no fueron operaciones preprogramadas y tuvieron lugar el 2 de agosto, tres días después de que la empresa se enterara del hackeo".
Al revelar públicamente la intrusión en sus sistemas, Equifax ofreció un sitio web (https://www.equifaxsecurity2017.com [64] ) para que los consumidores supieran si fueron víctimas de la infracción. Los expertos en seguridad notaron rápidamente que el sitio web tenía muchos rasgos en común con un sitio web de phishing : no estaba alojado en un dominio registrado en Equifax, tenía una implementación TLS defectuosa y se ejecutaba en WordPress , que generalmente no se considera adecuado para alta seguridad. aplicaciones. Estos problemas llevaron a Open DNS a clasificarlo como un sitio de phishing y bloquear el acceso. [65] Además, los miembros del público que deseaban utilizar el sitio web de Equifax para saber si sus datos habían sido comprometidos tenían que proporcionar un apellido y seis dígitos de su número de seguro social. [66]
Expertos en seguridad y otros determinaron que el sitio web creado para comprobar si los datos personales de una persona habían sido violados (trustedidpremier.com) arrojaba resultados aparentemente aleatorios en lugar de información precisa. [66] Al igual que https://www.equifaxsecurity2017.com, este sitio web también se registró y construyó como un sitio web de phishing, y varios navegadores web lo marcaron como tal. [67]
El sitio web Trusted ID Premier contenía términos de uso , con fecha del 6 de septiembre de 2017 (el día antes de que Equifax anunciara la violación de seguridad) que incluía una cláusula de arbitraje con una renuncia a la demanda colectiva. [68] [69] Los abogados dijeron que la cláusula de arbitraje era ambigua y que podría requerir que los consumidores que la aceptaran arbitraran reclamos relacionados con el incidente de seguridad cibernética. [69] Según Polly Mosendz y Shahien Nasiripour, "algunos temían que el simple hecho de utilizar un sitio web de Equifax para comprobar si su información estaba comprometida los obligara a someterse a un arbitraje". [70] El sitio web equifax.com tiene términos de uso separados con una cláusula de arbitraje y una renuncia a demandas colectivas, pero, según Brian Fung de The Washington Post , "no está claro si eso se aplica al programa de monitoreo de crédito". [71] El Fiscal General de Nueva York, Eric Schneiderman, exigió que Equifax eliminara la cláusula de arbitraje. [72] En respuesta a inquietudes relacionadas con el arbitraje, el 8 de septiembre, Equifax emitió una declaración afirmando que "en respuesta a las consultas de los consumidores, hemos dejado claro que la cláusula de arbitraje y la renuncia a demandas colectivas incluidas en los términos de uso de Equifax y TrustedID Premier no se aplica a este incidente de ciberseguridad". [72] Joel Winston, un abogado de protección de datos, argumentó que el anuncio que rechaza la cláusula de arbitraje "no significa nada" porque los términos de uso establecen que son el "acuerdo completo" entre las partes. [72] La cláusula de arbitraje se eliminó posteriormente de equifaxsecurity2017.com, [72] y los términos de uso de equifax.com se modificaron el 12 de septiembre para indicar que no se aplican a www.equifaxsecurity2017.com, www.trustedidpremier.com, o www.trustedid.com y excluir del arbitraje las reclamaciones que surjan de esos sitios o la violación de seguridad. [73] [74]
En respuesta a la continua indignación pública, [75] Equifax anunció el 12 de septiembre de 2017 que "renunciarán a todas las tarifas de congelación de seguridad durante los próximos 30 días". [76] [77]
Equifax ha sido criticado por expertos en seguridad por registrar un nuevo nombre de dominio para el nombre del sitio en lugar de utilizar un subdominio de equifax.com
. El 20 de septiembre de 2017, se informó que Equifax había estado vinculando por error a un sitio web "falso" no oficial en lugar de su propio sitio de notificación de violaciones en al menos ocho tweets separados , lo que sin saberlo ayudó a dirigir 200.000 visitas al sitio de imitación. Un ingeniero de software llamado Nick Sweeting creó el sitio web no autorizado de Equifax para demostrar cómo el sitio oficial podría confundirse fácilmente con un sitio de phishing . Sin embargo, el sitio de Sweeting fue sincero con los visitantes diciendo que no era oficial y les dijo a los visitantes que habían ingresado información confidencial que "¡simplemente te engañaron! ¡Este no es [ sic ] un sitio seguro! Envía un tweet a @equifax para que lo cambien a equifax. com antes de que miles de personas pierdan [ sic ] su información en sitios de phishing". Equifax se disculpó por la "confusión" y eliminó los tweets que enlazaban a este sitio. [78] [79] [80]
Los piratas informáticos atacaron nombres, números de Seguro Social, fechas de nacimiento, direcciones y números de licencia de conducir, dijo Equifax en un comunicado.
También se accedió a "información personal limitada" de residentes en Canadá y el Reino Unido, dijo.
¿Cuándo se actualizaron los Términos de uso de TrustedID Premier?
... Actualizamos los Términos de uso del producto Equifax en www.equifax.com el 12 de septiembre de 2017 para indicar que esos términos no se aplican al producto TrustedID Premier ni al incidente de ciberseguridad.