Equifax, diario de un desastre

  • Reportajes

A primeros de septiembre se anunciaba una brecha de seguridad. No era una más, sino una que afectaba a más de 143 millones de usuarios. La empresa afectada, Equifax, una firma de solvencia crediticia, que en menos de un mes ha perdido a su CEO, su CIO y su CISO

Detectada una brecha de seguridad el pasado 29 de julio, Equifax informaba que desde mediados de mayo a julio los cibercriminales habían explotado una vulnerabilidad para tener acceso a la información de los clientes: nombres, números de la seguridad social, fechas de cumpleaños, direcciones e incluso los datos del carné de conducir. Además, también habían quedado expuestos los números de las tarjetas de crédito de cerca de 209.000 usuarios.

También puedes leer...

Informe global sobre Seguridad de la Información 2016-2017

Evolución de los ataques con exploits

GDPR: todas sus claves

Riesgos de IoT en las empresas

Desarrollo de estrategias de ciberseguridad nacional

Días después de que se detectara la brecha, el 1 de agosto, el responsable financiero de la compañía, John Gamble, vendió acciones de Equifax por valor de casi un millón de dólares, informaba Bloomberg, añadiendo que el presidente soluciones de información de USA, ejerció opciones para disponer de acciones por valor de 584.099 dólares y que Rodolfo Ploder, presidente de soluciones de fuerza de trabajo, vendió otro cuarto de millón de dólares en acciones el 2 de agosto. El escándalo estaba servido a pesar de que Equifax emitiera una declaración en la que se aseguraba que ninguno de estos funcionarios conocía la violación de datos en el momento de la venta de sus acciones, lo que en cada caso representaba sólo un pequeño porcentaje de sus participaciones.

Las primeras acciones legales no tardaron en llegar. El 11 de septiembre, tan sólo cuatro días después de anunciarse el incidente de seguridad, ya se habían interpuesto al menos 23 demandas colectivas contra Equifax. Los expertos advertían: el número de casos y la rapidez con la que se están presentando demuestran el afán de las firmas de abogados por poner demandas rápidas en nombre de consumidores en busca de una sentencia judicial contra Equifax o una liquidación por parte de la empresa. En esas demandas se acusa a Equifax de negligencia y de haber tardado demasiado en hacer pública la brecha de seguridad.

Entre las consecuencias directas de la brecha una cadena de dimisiones que se iniciaron el 15 de septiembre con el CIO y CISO de la compañía, y que ha culminado con la del CEO.

David Webb, CIO de Equifax, ha sido sustituido por Mark Rohrwasser, responsable de las operaciones de TI internacionales de la compañía, desde que se unió a la compañía en 2016. En cuanto a Susan Mauldin, responsable de seguridad, ha sido reemplazada por Russ Ayres, que ha sido VP de la organización IT de Equifax.

El mismo día que se conocían estas dimisiones, y alarmada por la cantidad de gente afectada, la Federal Trade Commission de Estados Unidos anunciaba que iba a realizar una investigación de la brecha de seguridad.

Apenas un par de días después de que la FTC anunciara una investigación, Equifax reconocía un segundo incidente de seguridad el pasado mes de marzo.

En cuanto a Richard Smith, CEO de Equifax, anunció su dimisión una semana después. Le ha sustituido CEO Paulino do Rego Barros Jr., quien lleva en la compañía siete años y ha estado supervisando el departamento de Asia Pacífico, mientras se busca una figura definitiva. Smith no recibirá su bonus anual.