Los datos personales de 143 millones de consumidores estadounidenses expuestos por ciberataque masivo al servidor de Equifax

Kevin Reed
18 septiembre 2017

En el posible robo de datos más grande y más perjudicial jamás, la compañía de informes de crédito Equifax anunció el 7 de septiembre que la información personal de 143 millones de consumidores estadounidenses —incluyendo sus nombres, números de identidad del seguro social, direcciones y fechas de nacimiento— había sido accedida y robada en un ciberataque entre mediados de mayo y julio de este año.

Según un comunicado de prensa de la compañía, los ejecutivos de Equifax descubrieron el 29 de julio que los ciberdelincuentes "explotaron una vulnerabilidad de la aplicación del sitio web estadounidense para acceder a ciertos archivos". Sin embargo, la compañía no hizo nada para notificar inmediatamente al público. En lugar de eso, Equifax "contrató a una empresa líder en seguridad cibernética independiente que ha estado llevando a cabo una revisión forense exhaustiva" durante seis semanas antes de reportar el robo de datos.

En otras palabras, la corporación de $18 000 millones, cuya responsabilidad principal es almacenar y proteger la información personal más sensible de más de la mitad de todos los adultos estadounidenses, sufrió una filtración en sus servidores y por dos meses y medio la encubrió y todavía insiste que no sabe qué sucedió.

En un comunicado en un video preparado apresuradamente el jueves en YouTube, el presidente ejecutivo de Equifax, Richard F. Smith, hizo la desvergonzada afirmación de que su firma “se enfoca en la protección al consumidor" y ha "desarrollado un amplio portafolio de servicios para apoyar a todos los consumidores estadounidenses", incluyendo informes de crédito gratis y protección contra el fraude de identidad, un servicio que normalmente cuesta $19,95 al mes.

Sin embargo, la oferta de Smith desde entonces ha sido expuesta como una trampa para conseguir que las personas que firman para aceptar términos de servicio renuncien efectivamente a su derecho de buscar cualquier acción legal futura contra la corporación. En Oregon, se anunció una demanda colectiva por un valor de $70 000 millones. Más allá, el valor de las acciones de Equifax cayó casi un 14 por ciento en Wall Street el viernes.

La extraordinaria incompetencia en el ámbito de seguridad y la estafa legal de Equifax ahora se ha combinado con un informe que salió pocos días después de que se descubriera la filtración el 29 de julio de que tres ejecutivos de la compañía vendieron $1,8 millones de sus acciones de la compañía.

Bloomberg reportó el jueves que el director financiero de Equifax, John Gamble, el presidente de la firma estadounidense Information Solutions, Joseph Loughran, y el presidente de Workforce Solutions, Rodolfo Ploder, vendieron acciones respectivamente de $946 374, $584 099 y $250 458 (13 por ciento, 9 por ciento y 4 por ciento de sus tenencias) para el 2 de agosto. Desde entonces, la compañía ha declarado que los ejecutivos no habían sido informados sobre el ciberataque.

Equifax es una de las tres principales agencias de informes de crédito al consumidor de Estados Unidos (las otras dos son TransUnion y Experian) que rastrean, evalúan y califican el historial de endeudamiento y pago de personas en el país e internacionalmente. Las instituciones financieras, tales como bancos, compañías hipotecarias, automotrices y otras organizaciones de préstamos de consumo utilizan la información proporcionada por estas agencias —resumidas en la puntuación FICO (Fair Isaac Corporation), cuyo rango es de 350 a 800 puntos— para tomar decisiones sobre límites de crédito, intereses y tarifas de seguros.

El robo de datos de Equifax sigue una serie de episodios de ciberataques que han impactado información sensible de los consumidores: 500 millones de cuentas de Yahoo, 145 millones de cuentas de eBay y 76 millones de cuentas de Chase, entre las más notables.

Además de la información personal primaria, Equifax informó que la filtración de datos comprometió 209 000 números de tarjetas de crédito y los números de licencia de conducir de hasta 182 000 consumidores. Otra información robada también podría incluir preguntas y respuestas de seguridad de cuentas de crédito.

Este no es el primer fallo de seguridad en Equifax. Según el experto en seguridad Brian Krebs, los ciberatacantes pudieron acceder a los datos fiscales de los empleados de las compañías que utilizan la filial de servicios de nómina de Equifax TALX en mayo pasado. Según Krebs, las agencias de crédito han "demostrado ser terribles administradoras de datos muy sensibles" debido a la falta de supervisión y regulación gubernamental.

Como un brazo de la industria de servicios de inversión, las agencias de informes de crédito de consumidores existen para servir los intereses de los bancos gigantes y la oligarquía financiera y ver al público como un objetivo de explotación y fuente de beneficios. Equifax, TransUnion y Experian se han utilizado cada vez más desde la Gran Recesión del 2008 como un instrumento para intensificar la desigualdad económica y transferir cada vez más riqueza de los bolsillos de la clase obrera a las arcas de los superricos.

El robo de identidad es una seria amenaza para millones de personas cuya información está ahora en circulación y puede ser utilizada para validar fraudulentamente su identidad y abrir cuentas bancarias o tomar préstamos en su nombre. Esta información también puede ser utilizada por los ciberdelincuentes para cambiar las contraseñas y otros ajustes en las cuentas bancarias y de crédito existentes.

Las consecuencias para los trabajadores de tener sus datos de crédito comprometidos son devastadoras. Por ejemplo, con millones de personas que dependen de crédito para llegar a fin de mes —el saldo promedio de los hogares que tiene deudas en sus tarjetas de crédito en Estados Unidos es de $16 000— una transacción fraudulenta o un cambio en la puntuación de crédito puede conducir a una drástica reducción en su nivel de vida o a una bancarrota.