Equifax, una de las tres compañías de información crediticia más grandes de Estados Unidos, tiene que pagar multas por hasta 700 millones de dólares para resolver una serie de investigaciones estatales y federales acerca de la violación masiva de datos de 2017 que expuso los datos personales y financieros de casi 150 millones de ciudadanos.
Según el anuncio oficial realizado ayer por la Comisión Federal de Comercio de Estados Unidos (FTC), Equifax acordó el pago de 575 millones de dólares en multas, pero dicha cantidad podría aumentar hasta 700 millones dependiendo de la cantidad de compensación que reclamen las personas.
Hasta 425 millones de dólares de las multas se destinarán a un fondo que brindará servicios de monitoreo crediticio a los clientes afectados y compensará a cualquiera que haya comprado dichos servicios a la empresa y haya pagado otros gastos relacionados como resultado del incumplimiento.
El resto de las multas se destinarán a multas civiles en 50 estados y a la Oficina de Protección Financiera del Consumidor (CFPB).
Además de la multa, a la compañía también se le ordenó que proporcione a todos los consumidores estadounidenses seis informes de crédito gratuitos cada año por siete años, junto con un informe de crédito anual gratuito, que comienza en enero de 2020.
En septiembre de 2017, Equifax sufrió una violación masiva de datos que permitió a los hackers robar información personal, incluyendo nombres, fechas de nacimiento, direcciones, números de seguro social, y en algunos casos, números de licencias de conducir de hasta 147 millones de personas.
Esta violación de datos se ha calificado como una de las peores en la historia de Estados Unidos, se produjo debido a que la empresa no logró solucionar una vulnerabilidad de seguridad crítica en sus sistemas, de la que se informó en marzo de ese año.
«Equifax no pudo parchar su red luego de recibir una alerta en marzo de 2017 sobre una vulnerabilidad de seguridad crítica que afecta a su base de datos ACIS, que maneja las consultas de los consumidores sobre sus datos crediticios personales», dijo la FTC.
«A pesar de que el equipo de seguridad de Equifax ordenó que cada uno de los sistemas vulnerables de la compañía se reparara dentro de las 48 horas posteriores a la recepción de la alerta, Equifax no realizó un seguimiento para garantizar que los empleados responsables realicen el pedido».
De hecho, Equifax no se percató que su base de datos no tenía parches hasta julio de 2017, cuando su equipo de seguridad detectó tráfico sospechoso en su red. Una investigación relacionada reveló que varios piratas informáticos lograron explotar la vulnerabilidad para acceder a la red de Equifax.
El acceso a la red de Equifax permitió a los hackers acceder a un archivo no seguro que incluía credenciales administrativas almacenadas en texto sin formato, lo que finalmente les permitió acceder a los datos personales de los consumidores y operar sin ser detectados en la red de la compañía por varios meses.
«Equifax no tomó las medidas básicas que pueden haber evitado la violación que afectó aproximadamente a 147 millones de consumidores. Este acuerdo requiere que la compañía tome medidas para mejorar la seguridad de sus datos en el futuro y garantizará que los consumidores perjudicados por esta violación puedan recibir ayuda para protegerse contra el robo de identidad y el fraude», dijo Joe Simons, presidente de la FTC.
La FTC creó una página dedicada en su sitio para proporcionar información a los clientes que desean presentar una reclamación contra Equifax.
La comisión ha establecido un correo electrónico dedicado (equifax@ftc.gov), alentando a los empleados de Equifax a enviar un correo electrónico a FTC «si creen que la compañía no cumple con sus promesas de seguridad de datos».
El año pasado, la Oficina del Comisionado de Información (ICO) del Reino Unido también impuso una multa a Equifax por 500,000 Libras (más de 622 mil dólares), que es la multa máxima permitida por la Ley de Protección de Datos del Reino Unido de 1998.
