Equifax reconoce que se robaron más datos privados en la violación de 2017

15/02/2018

La agencia de calificación crediticia dijo que originalmente no anunció el robo de datos de información importantes, como números de identificación fiscal, a los cuales "los ciberatacantes pudieron haber accedido".

Los ciberatacantes robaron más datos de Equifax de lo que inicialmente se pensaba en un incidente el año pasado.

En septiembre, el gigante de crédito con sede en Atlanta GA reveló una gran brecha de seguridad, incluidos nombres, números de seguridad social, fechas de nacimiento, domicilios particulares y, en algunos casos, números de licencia de conducir. Más tarde se confirmó que más de 145 millones de personas fueron afectadas, principalmente estadounidenses, pero también algunos canadienses y británicos.

El ataque se convirtió en la mayor violación de datos reportada en 2017.

Pero documentos vistos por miembros del Comité Bancario del Senado sugieren que el rango de los  tipos de datos robados era más amplio de lo que la compañía informó por primera vez.

Una carta publicada el viernes por la miembro del senado Elizabeth Warren (D-MA) al ejecutivo interino de Equifax Paulino do Rego Barros resumió la investigación de cinco meses de la senadora sobre la violación Equifax, que dijo que la exposición de números de identificación fiscal (TIN), direcciones de correo electrónico, e información adicional de la licencia, como las fechas de emisión y el estado, no se divulgó originalmente.

La noticia de los documentos fue reportada por primera vez por The Wall Street Journal.

Los números de identificación fiscal generalmente son emitidos por el Servicio de Rentas Internas a los trabajadores que no son elegibles para un número de Seguridad Social, como los ciudadanos extranjeros, con el fin de informar el ingreso y presentar declaraciones de impuestos.

Los números de identificación fiscal probablemente se expusieron porque se encontraron en la misma porción de la base de datos donde se almacenaron otros números de impuestos, como los números de la Seguridad Social.

Comentando en varios tweets, Warren dijo: "En octubre, cuando le pregunté al CEO sobre el alcance exacto de la violación, no pudo darme una respuesta directa, así que durante cinco meses investigué yo misma”.

"Mi investigación reveló la profundidad de la brecha y el encubrimiento en Equifax", agregó. "Y desde que publiqué el informe, Equifax ha confirmado que es incluso peor de lo que nos dijeron".

Cuando llegó el momento, un portavoz de Equifax llamó al título del periódico "extremadamente engañoso", pero confirmó que algunos datos adicionales se vieron afectados por la infracción.

"Somos plenamente conscientes, y lo hemos estado en el pasado, de los datos que fueron robados", dijo la portavoz Meredith Griffanti en un correo electrónico a ZDNet.

La compañía dijo que siempre ha estado al tanto de los principales datos "incluidos" en la violación, pero recientemente le dio al Comité de Banca del Senado los datos "a los que se pudo haber accedido que categorizamos y analizamos en la investigación forense".

"Algunos de estos se vieron afectados, y algunos, como pasaportes o [números de verificación de tarjetas], por ejemplo, no", dijo Griffanti.

"Enviamos avisos por correo directo a aquellos consumidores cuyos números de tarjetas de crédito o documentos [con datos personales] se vieron afectados", confirmó el vocero.

En la respuesta de la compañía a los legisladores, Equifax dijo que la lista de tipos de datos robados "no es exhaustiva", pero representa un tipo común de datos personales que los ciberatacantes buscan.

La compañía dijo que la cantidad de consumidores impactados no ha cambiado.

Desde el incidente, la compañía ha sido acusada de fracasar persistentemente en su respuesta. Equifax no solo demoró cuatro meses en revelar el ataque, sino que la violación se atribuyó posteriormente a un servidor vulnerable que la compañía no había parchado a principios de año. Después de que finalmente se revelara el ataque, Equifax batalló para informar a sus usuarios (muchos de los cuales no tenían idea de que la compañía estaba recopilando datos sobre ellos en primer lugar) si eran vulnerables.

Los legisladores también han expresado su frustración por el manejo del incidente por parte de la compañía.

Richard Smith, quien se retiró como director ejecutivo de la compañía después de la violación, fue reprendido más tarde por los legisladores en una audiencia en noviembre por no responder preguntas básicas sobre el ataque.

Aunque los legisladores se comprometieron a investigar, el organismo gubernamental encargado de las protecciones al consumidor, el Buró de Protección Financiera del Consumidor, detuvo su investigación tras un cambio en el liderazgo.

Varios senadores han exigido saber por qué se detuvo la investigación.

Mientras tanto, Warren, junto con el senador Mark Warner (D-VA), presentaron el Acta de Prevención y Compensación de Violación de Datos, que según los senadores, en sus comentarios hará que grandes agencias de informes crediticios rindan cuentas por violaciones de datos que involucren datos de consumidores.

El proyecto de ley, si se aprueba, castigaría a los gigantes de la calificación crediticia con $100 USD por cada consumidor al que se le robaron datos personales, y $50 USD por cada conjunto adicional de datos personales comprometidos.

Según la legislación, Equifax tendría que pagar miles de millones de dólares en concepto de daños y perjuicios por su incumplimiento del 2017.

Artículos relacionados: