Equifax pagará hasta $ 700 millones en el acuerdo de violación de datos de 2017

Violación de datos de Equifax

Equifax, una de las tres firmas de informes de crédito más grandes de los Estados Unidos, tiene que pagar hasta $ 700 millones en multas para resolver una serie de investigaciones estatales y federales sobre la violación masiva de datos de 2017 que expuso los datos personales y financieros de casi 150 millones de estadounidenses, eso es casi la mitad del país.

Según un anuncio oficial de la Comisión Federal de Comercio (FTC) de EE. UU. hoy, Equifax acordó pagar al menos $ 575 millones en multas, pero esta sanción podría aumentar hasta $ 700 millones dependiendo de la cantidad de compensación que la gente reclame.

Hasta $ 425 millones de las multas se destinarán a un fondo que brindará servicios de monitoreo de crédito a los clientes afectados y compensará a cualquiera que haya comprado dichos servicios a la empresa y haya pagado otros gastos relacionados como resultado del incumplimiento.

El resto $ 175 millones y $ 100 millones se destinarán a sanciones civiles en 50 estados y a la Oficina de Protección Financiera del Consumidor (CFPB), respectivamente.

Además de la sanción, también se ordenó a la compañía que proporcione a todos los consumidores estadounidenses seis informes crediticios gratuitos cada año durante siete años, junto con un informe crediticio anual gratuito, a partir de enero de 2020.

En septiembre de 2017, Equifax sufrió una violación masiva de datos que permitió a los piratas informáticos robar información personal, incluidos nombres, fechas de nacimiento, direcciones, números de seguro social y, en algunos casos, números de licencia de conducir, de hasta 147 millones de personas.

La brecha, que ha sido calificada como una de las peores en la historia de los Estados Unidos, ocurrió debido a que la empresa no pudo parchear una vulnerabilidad de seguridad crítica en sus sistemas de la que se tuvo conocimiento en marzo de ese año.

«Equifax no pudo parchear su red después de ser alertado en marzo de 2017 sobre una vulnerabilidad de seguridad crítica que afectaba su base de datos ACIS, que maneja las consultas de los consumidores sobre sus datos de crédito personal», alega la FTC.

«Aunque el equipo de seguridad de Equifax ordenó que cada uno de los sistemas vulnerables de la empresa se parcheara dentro de las 48 horas posteriores a la recepción de la alerta, Equifax no hizo un seguimiento para garantizar que los empleados responsables cumplieran la orden».

De hecho, Equifax no se dio cuenta de su base de datos sin parchear hasta julio de 2017, cuando su equipo de seguridad detectó tráfico sospechoso en su red, una investigación sobre el asunto reveló que varios piratas informáticos lograron explotar la vulnerabilidad para ingresar a la red de Equifax.

Obtener acceso a la red de Equifax permitió a los piratas informáticos acceder a un archivo no seguro que incluía credenciales administrativas almacenadas en texto sin formato, lo que finalmente les permitió obtener acceso a los datos personales de los consumidores y operar sin ser detectados en la red de la empresa durante meses.

«Equifax no tomó las medidas básicas que podrían haber evitado la violación que afectó a aproximadamente 147 millones de consumidores», dijo el presidente de la FTC, Joe Simons.

«Este acuerdo requiere que la empresa tome medidas para mejorar la seguridad de sus datos en el futuro y garantizará que los consumidores perjudicados por esta violación puedan recibir ayuda para protegerse contra el robo de identidad y el fraude».

La FTC ha creado una página dedicada en su sitio para brindar información a los clientes que desean presentar un reclamo contra Equifax.

La comisión incluso ha creado un correo electrónico dedicado (equifax@ftc.gov), alentando a los empleados de Equifax a enviar correos de la FTC si «creen que la empresa no está cumpliendo con sus promesas de seguridad de datos».

El año pasado, la Oficina del Comisionado de Información (ICO, por sus siglas en inglés) del Reino Unido también multó a Equifax con £ 500,000 (más de $ 622,000), que es la multa máxima permitida por la Ley de Protección de Datos del Reino Unido de 1998, por la violación de datos de 2017.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática