Equifax Inc. (EFX) anunció el 7 de septiembre de 2017 que 143 millones de sus clientes fueron afectados por un hack que ocurrió entre mediados de mayo y julio. Esa cifra se incrementó a 145.5 millones en las siguientes semanas, luego a 147.9 millones el 1 de marzo de 2018, cuando la compañía dijo que había identificado 2.4 millones de víctimas adicionales.
Después del cierre del mercado el mismo día, la compañía reportó resultados financieros del cuarto trimestre y del año completo. Los ingresos del cuarto trimestre de la compañía aumentaron 5% año tras año a $ 838.5 millones. El ingreso neto en el trimestre aumentó 40% año tras año a $ 172.3 millones. Los ingresos y las ganancias de todo el año también aumentaron en comparación con 2016: los ingresos aumentaron un 7% a $ 3.4 mil millones, mientras que los ingresos netos aumentaron un 20% a $ 587.3 millones. La compañía dijo que el pirateo le había costado $ 26.5 millones en el cuarto trimestre y $ 114.0 millones en el año completo, neto de pagos de seguros. La acción, que cerró con una caída del 1.3% en línea con el S&P 500, subió un 0.6% en las operaciones fuera de horario al momento de la escritura.
Según Equifax, se expusieron hasta 209, 000 números de tarjetas de crédito de clientes, y los documentos de disputas relacionados con 182, 000 consumidores de EE. UU., Que incluyen información personal, se vieron comprometidos. Los consumidores británicos también fueron afectados por la violación; Es posible que algunos canadienses se hayan visto comprometidos. Según el Wall Street Journal, citando una fuente no identificada, se robaron 10, 9 millones de datos de licencias de conducir estadounidenses en la violación.
La compañía había sabido sobre el ataque desde el 29 de julio, pero esperó más de un mes para alertar al público. El 20 de septiembre se informó que Mandiant, la subsidiaria de FireEye Inc. (FEYE) contratada por Equifax, estima que la violación se remonta al menos al 10 de marzo.
Hay poca información sobre la fuente del ataque, que está siendo investigado por el FBI, pero según Bloomberg, las similitudes con ataques anteriores contra la Oficina de Administración de Personal y Anthem Inc. sugieren que el atacante podría ser patrocinado por el estado, quizás chino. Que la información de los clientes de Equifax no haya aparecido en el mercado negro también sugiere que los piratas informáticos no eran simplemente delincuentes. Bloomberg también informa que los atacantes atacaron a individuos específicos, quizás debido a su riqueza o valor de inteligencia.
Dado que la población adulta de los EE. UU. Es de alrededor de 250 millones, es muy probable que usted haya sido afectado por la violación. También es posible que ya haya sido víctima de fraude, ya que el ataque comenzó hace casi seis meses.
Equifax, con sede en Atlanta, una de las tres grandes agencias de informes de crédito al consumo, las otras dos son Experian PLC (Londres: EXPN) y TransUnion (TRU), recopila datos que incluyen números de Seguro Social, números de tarjetas de crédito, números de licencia de conducir, alquiler y servicios públicos. información de pago y datos demográficos. Debido a que el modelo de Equifax es principalmente de empresa a empresa, muchos de sus clientes desconocen que sus datos son almacenados por la empresa. Además de evitar por completo el sistema financiero y crediticio, no existe una forma directa de optar por que Equifax no almacene datos personales. (Ver también, 5 Hacks de datos de tarjetas de crédito más grandes en la historia ) .
Cómo verificar si fue afectado
Equifax ha creado un sitio donde puede verificar si su información se vio comprometida al dar su apellido y los últimos seis dígitos de su número de Seguro Social. Este sitio ha sido objeto de intensas críticas, y hemos eliminado el enlace debido a preguntas sobre su seguridad. Se configuró con WordPress, una plataforma de blogs estándar. Está alojado en un dominio separado del sitio principal de Equifax. La compañía descuidó el registro de URL similares, que podrían usarse para ataques de phishing; un hacker de sombrero blanco creó un sitio así para probar un punto, y una cuenta oficial de Equifax tuiteó el enlace al sitio falso. Mas de una vez.
Equifax ofreció a los clientes, afectados o no, los siguientes servicios, que llama TrustedID Premier: copias de un informe de crédito de Equifax, monitoreo de crédito y alertas automáticas para las tres principales agencias de crédito, la capacidad de bloquear el acceso de terceros a su informe de crédito de Equifax (con excepciones), monitoreo del número de Seguro Social y $ 1 millón en seguro de robo de identidad. La fecha límite para presentar la solicitud fue el 21 de noviembre de 2017.
La compañía dice que todos estos servicios son complementarios, pero colocar una congelación de seguridad en un archivo de crédito no fue gratis inicialmente, al menos no para todos. Cuando intenté congelar un archivo de crédito de Equifax el 8 de septiembre, el sitio de la compañía dijo que el servicio costaría $ 3.00 y solicitó información de la tarjeta de crédito para procesar el pago.
Como residente de Nueva York, pude congelar mi archivo Experian de forma gratuita. El sitio de TransUnion no pudo procesar la solicitud inicialmente, probablemente un síntoma de un aumento del tráfico, pero luego me permitió colocar una congelación de forma gratuita.
En un comunicado enviado por correo electrónico, un portavoz de Equifax le dijo a Investopedia el 14 de septiembre que la empresa renuncia a todos los cargos para congelar los archivos de crédito y reembolsa automáticamente a los clientes que pagaron por hacerlo después de que el hack se hizo público. Ahora ha surgido una nueva preocupación, y un claro lapso en la seguridad, en torno a los PIN que la compañía emitió a los clientes que habían congelado sus informes de crédito. Estos PIN, que permiten a los clientes descongelar informes de crédito, siguen un patrón fácilmente identificable. El portavoz dijo que los clientes con estos PIN defectuosos deben llamar al 866-349-5191 para hablar con un agente en vivo.
Los servicios de TrustedID Premier que Equifax enumera como gratuitos solo son gratuitos durante un año. Un portavoz de Equifax le dijo a Investopedia que la compañía no solicita información de la tarjeta de crédito cuando los clientes se suscriben al servicio y que la compañía no la renovará automáticamente ni cobrará una tarifa. La tarifa estándar de Equifax para el monitoreo de crédito es de $ 17 por mes.
Qué hacer si fue afectado
Liz Weston, escritora de finanzas personales en NerdWallet, tiene los siguientes consejos para aquellos afectados por la violación de Equifax, que compartió con Investopedia en un correo electrónico: "Equifax se comunicará con las víctimas y les ofrecerá monitoreo de crédito. Las víctimas deben asegurarse de que aceptar el monitoreo no les impide unirse a demandas u otras acciones en el futuro ".
Inicialmente, la página de términos de servicio de TrustedID Premier (versión archivada) de hecho requería que los usuarios renunciaran a su derecho de unirse a una demanda colectiva contra Equifax: "Al consentir en presentar sus Reclamaciones a arbitraje, perderá su derecho a presentar o participar en cualquier acción de clase (ya sea como demandante designado o miembro de la clase) o para compartir en los premios de acción de clase, incluidas las reclamaciones de clase donde una clase aún no ha sido certificada, incluso si los hechos y circunstancias en los que se basan las Reclamaciones ya ocurrieron o existió ". Después de una reacción violenta, la página de preguntas frecuentes de la compañía se actualizó para decir que la cláusula se aplicaba al servicio TrustedID Premier, no al pirateo. A partir de la mañana del 12 de septiembre, los términos del servicio ya no incluyen una cláusula de arbitraje.
Weston dice que los clientes afectados deberían considerar congelar sus informes de crédito en las tres oficinas principales. Como se mencionó anteriormente, las agencias de crédito pueden cobrar tarifas por iniciar esa congelación. También se le puede cobrar por descongelar cuentas cuando necesita una verificación de crédito (para solicitar el servicio de teléfono celular, por ejemplo). Estas tarifas generalmente son menos de $ 10, pero pueden sumar. Weston señala que otra opción es colocar una alerta de fraude en sus informes de crédito en las tres oficinas de crédito. (Para obtener más información, consulte Cómo recuperarse del robo de identidad ).
Otros servicios de monitoreo de crédito, no patrocinados por Equifax, también están disponibles. Servicios de protección contra el robo de identidad: ¿vale la pena tenerlo? enumera varios de ellos para que los investigue.
Respuesta de equifax
El entonces presidente y CEO de Equifax, Richard Smith, dijo después del ataque que "fue claramente un incidente decepcionante para nuestra compañía, y uno que golpea en el corazón de quiénes somos y qué hacemos". Renunció el 26 de septiembre y no recibirá una bonificación por 2017. Su partida siguió a las de la directora de seguridad Susan Mauldin y el director de información David Webb el 14 de septiembre.
Pocos días después de que la compañía descubriera el ataque internamente, y antes de que se revelara la violación al público, el director financiero de Equifax, John Gamble, su presidente de soluciones de la fuerza laboral, Rodolfo Ploder, y su presidente de soluciones de información de Estados Unidos, Joseph Loughran, vendieron sus acciones de Equifax. Equifax dijo en un comunicado que los ejecutivos no sabían sobre la violación cuando vendieron sus acciones. Gamble, Ploder y Loughran colectivamente ganaron casi $ 1.8 millones de las ventas.
A partir del 28 de febrero, las acciones de Equifax cayeron un 20.1% desde su cierre el 7 de septiembre (antes de que se anunciara el hack) a $ 113.00. Después de varios retrasos, Equifax dice que informará las ganancias del cuarto trimestre después del cierre el 1 de marzo.
Que comiencen las demandas
Reuters informó el 11 de septiembre que más de 30 demandas, muchas de ellas en busca de acciones colectivas, se han presentado contra Equifax en los tribunales estadounidenses. Varios alegan violaciones de la ley de valores; otros acusan a TrustedID de ofrecer servicios costosos a clientes afectados por la violación de datos. Cinco residentes de Utah han demandado a la empresa en el Tribunal de Distrito de los Estados Unidos por no proteger los datos confidenciales de los clientes. La demanda busca daños monetarios de $ 5 mil millones y la imposición de estándares más estrictos de la industria.
Algunos clientes afectados están tomando una ruta menos tradicional en busca de recursos de Equifax. El chatbot de DoNotPay brinda asistencia para presentar una queja en los tribunales estatales de reclamos menores, donde las sanciones máximas oscilan entre $ 2, 500 y $ 25, 000. Según el Verge, el bot solo puede generar documentos para una demanda, no presentarlo o comparecer ante el tribunal.
El FBI y el fiscal federal con sede en Atlanta, John Horn, anunciaron una investigación penal sobre la violación el 18 de septiembre. El Buró de Protección Financiera del Consumidor y 34 fiscales generales del estado están llevando a cabo investigaciones.
El señor Smith va a Washington
El 3 de octubre, el ex CEO Richard Smith testificó ante el subcomité de Comercio Digital y Protección al Consumidor de la Cámara. Se disculpó varias veces por la falla de Equifax para proteger los datos del consumidor y se enfrentó a preguntas sobre una variedad de problemas relacionados con la violación y la respuesta de Equifax. Las acciones de la compañía subieron tras el testimonio, pero se mantuvieron muy por debajo de los niveles en los que cotizaban antes de que se revelara el hack.
En respuesta a las preguntas sobre la controvertida cláusula de arbitraje que se incluyó inicialmente en los términos de servicio de TrustedID Premier, Smith dijo que la cláusula "repetitiva" nunca tuvo la intención de aplicarse a la violación y calificó su inclusión como un "error". No diría lo mismo de cláusulas similares que rigen otros servicios de Equifax, que llamó "estándar".
Las ventas de acciones ejecutivas sospechosamente cronometradas también fueron objeto de escrutinio: el representante Jan Schakowsky, un demócrata de Illinois, dijo que la venta "no pasa la prueba del olor", pero Smith afirmó, "que yo sepa, ellos no sabían" acerca de La brecha en el momento.
Smith describió la violación como resultado de un error humano y una falla tecnológica: la persona a cargo de asegurarse de parchear el software Apache Struts, que tenía una vulnerabilidad conocida públicamente que los atacantes explotaron, no lo hizo, y un escáner que habría alertó a la compañía de que ese error también falló.
La flagrante respuesta de la compañía a la crisis también fue criticada: configurar un sitio de WordPress con una URL sospechosa, no asegurar dominios similares (e incluso dirigir a los clientes a uno de esos dominios), fallar en el personal adecuado de los centros de llamadas y, en general, crear la impresión de que la empresa, que existe para recopilar, proteger y vender datos confidenciales, no estaba preparada para un ataque cibernético en sus bases de datos. El representante Markwayne Mullin, republicano de Oklahoma, le dijo a Smith que su respuesta debería haber sido como hacer sonar una alarma de incendio: "inmediatamente se pone en su lugar". Smith respondió que su equipo "siguió el protocolo". Varios representantes mencionaron que Smith pronunció un discurso describiendo el fraude como una "gran oportunidad" y un "negocio masivo y en crecimiento" en agosto, después de que se enteró de la violación.
Smith se negó a responder preguntas sobre la fuente del ataque, incluido si podría ser un actor estatal. Dijo simplemente que el FBI está llevando a cabo una investigación. Defendió las inversiones de Equifax en ciberseguridad durante su mandato, diciendo que cuando llegó hace doce años, prácticamente no había inversión en protección de datos. La compañía gastó un cuarto de billón de dólares y contrató a un equipo de 225 personas para asegurar los datos de la compañía, dijo Smith, invirtiendo el 10-14% estándar de la industria del presupuesto de TI de la compañía en ciberseguridad.
Algunos representantes indicaron que la violación ha abierto preguntas fundamentales sobre el papel de la industria de monitoreo de crédito y los derechos de los consumidores. "¿Qué pasa si quiero optar por nuestro Equifax?" Preguntó Schakowski. Smith respondió: "eso requiere una discusión mucho más amplia sobre el papel de las agencias de informes de crédito". El representante Tonko, un demócrata de Nueva York, se hizo eco del sentimiento y señaló que en realidad no es un "cliente", ya que nunca eligió hacer negocios con Equifax. "¿Por qué se le permite a esta compañía continuar existiendo?" preguntó. En varios puntos, Smith cuestionó el valor de los números de la Seguridad Social como una forma de demostrar su identidad e hizo vagas referencias a devolver el "poder al consumidor".
La mayor pregunta del día vino de la demócrata de California Doris Matsui: "¿Tengo mis datos?" Smith no pudo responder. (Consulte también, Blockchain podría convertirlo, no Equifax, en el propietario de sus datos ) .