Caso Equifax

SINOPSIS

Equifax es una empresa la cual se dedica a brindar soluciones de negocio de score crediticio, ellos contaban con una infraestructura obsoleta y sufrieron un hackeo o ataque cibernético en septiembre de 2017.

El 31 de julio de 2017, David Webb, el CIO (Director de Información) de Equifax informó a Richard Smith, el CEO de de Equifax sobre actividad sospechosa en sus sistemas, pero Webb no especificó que la PII (Información de Identificación Personal) había sido robada ese momento por hackers informáticos que habían incursionado en sus sistemas desde IPs de China.

Recién el 15 de agosto Smith recibe la información por parte de Equifax y Madiant (empresa de ciberseguridad contratada por Equifax) que las PII del consumidor habían sido robadas, y el 22 de agosto Smith comunica al director de la junta de directivos, Mark Feidler sobre la violación para que finalmente la junta completa se entere el 24 de ese mismo mes.

Los piratas informáticos obtuvieron nombres, números de Seguro Social, fechas de nacimiento y direcciones de 143 millones de personas y para un número menor obtuvieron emails, números de licencia de conducir, de pasaporte, de tarjetas de crédito, entre otros datos.

Finalmente, el 7 de septiembre, Equifax anunció públicamente que había sufrido una violación de datos al exponer información personal de 143 millones de estadounidenses.

El problema según el Congreso (por el Comité del Senado sobre Banca, Vivienda y Asuntos Urbanos, el Comité del Senado sobre Asuntos Gubernamentales y el Comité de Supervisión y Reforma del Gobierno de la Cámara de Representantes) es causado por la carencia de tres características de seguridad de la infraestructura tecnológica de Equifax que se resume en:

• Falta de procesos de monitoreo de integridad de archivos del sistema ACIS (Sistema Automatizado de Entrevistas al Consumidor) que fue la puerta de entrada de los hackers informáticos, los cuales podían detectar la infiltración antes del robo de datos
• Falla en los servidores web en primer lugar, por la falta de aplicación de parches del servicio web que estaba bajo Apache Struts, el cual alojaba a la aplicación ACIS y en segundo lugar los servidores web solo retuvieron la información de los archivos de registro por 30 días previos, cuando el estándar es de mínimo 90 días e incluso de hasta 1 año
• Falta de actualización de certificados SSL ya que muchos de ellos estaban caducos y no habían sido renovados en la empresa de manera oportuna lo que no permitía la visibilidad de los ataques en la web, de hecho 324 certificados caducados fueron contabilizados a mediados del 2017 en Equifax

Los consumidores se encontraban frustrados por la falta de respuesta de la compañía, de hecho;  Equifax tuvo que contratar a 2000 nuevos representantes de servicio al cliente. Mandiant indicó a los clientes de Equifax a mediados de septiembre, que no tenía información suficiente para encontrar responsables de esta grave situación.

Como consecuencia de todo esto, hubo varias renuncias de altos mandos como el CEO, CSO, CIO, entre otros. Equifax también recibió docenas de demandas y consultas gubernamentales, sus acciones cayeron al 35%, un grupo de senadores presentó la Ley de Explotación Freedom de Equifax y originó que el estado aplique nuevas regulaciones en la industria de informes crediticios y compensaciones ejecutivas.

...