15 de septiembre, 2017

Equifax revela detalles sobre el incidente de seguridad informática y anuncia cambios de personal

ATLANTA — Como parte de la revisión en curso del incidente de seguridad informática anunciado el 7 de septiembre de 2017, Equifax Inc. (NYSE: EFX) hoy hizo cambios de personal y divulgó información adicional con respecto a las conclusiones preliminares sobre el incidente.

La compañía anunció que el Director de Información y el Director de Seguridad se retiran. Mark Rohrwasser fue nombrado Director de Información interino. El Sr. Rohrwasser se unió a Equifax en 2016 y ha dirigido las operaciones de TI Internacional de Equifax desde entonces. Russ Ayres fue nombrado Director de Seguridad interino. El Sr. Ayres se desempeñó recientemente como Vicepresidente en la organización de TI de Equifax. Él estará bajo la supervisión directa del Director de Información. Los cambios de personal cambios entrarán en vigencia de inmediato.

La investigación interna de Equifax con respecto a este incidente sigue en curso y la compañía continúa trabajando en estrecha colaboración con el FBI en su investigación.

Detalles específicos del incidente

  • El 29 de julio de 2017, el equipo de Seguridad de Equifax observó un tráfico de red sospechoso asociado con la aplicación web del portal de conflictos en línea de EE. UU. En respuesta, el equipo de Seguridad investigó y bloqueó el tráfico sospechoso identificado.
  • El equipo de Seguridad siguió monitoreando el tráfico de red y observó otra actividad sospechosa el 30 de julio de 2017. En respuesta, la compañía desconectó la aplicación web afectada ese día.
  • La revisión interna de la compañía del incidente prosiguió. Al descubrir una vulnerabilidad en el marco de la aplicación web Apache Struts como el vector del ataque inicial, Equifax corrigió la aplicación web afectada antes de volver a ponerla en línea.
  • El 2 de agosto de 2017, Equifax contactó a Mandiant, una empresa de seguridad informática a líder e independiente, para llevar a cabo una revisión forense integral y privilegiada con el objetivo de determinar el alcance de la intrusión, incluyendo los datos específicos afectados.
  • Durante varias semanas, Mandiant analizó los datos forenses disponibles para identificar la actividad no autorizada en la red.
  • El incidente puede tener impacto sobre la información personal referente a 143 millones de consumidores estadounidenses, principalmente nombres, números de Seguridad Social, fechas de nacimiento, direcciones y, en algunos casos, números de licencia de conducción.
    • Además, lograron acceder a números de tarjetas de crédito de aproximadamente 209.000 consumidores estadounidenses y ciertos documentos de litigio con información de identificación personal de aproximadamente 182.000 consumidores estadounidenses.
    • Equifax también identificó un acceso no autorizado a información personal para determinados residentes del Reino Unido y Canadá y está trabajando con reguladores en esos países.
  • Con respecto a la la postura en materia de seguridad de la compañía, Equifax ha tomado medidas correctivas a corto plazo, y Equifax sigue implementando y acelerando las mejoras de seguridad a largo plazo.

Preguntas con respecto a Apache Struts

  • El vector de ataque utilizado en este incidente se produjo a través de una vulnerabilidad en Apache Struts (CVE-2017-5638), un marco de aplicaciones de código abierto que soporta la aplicación web del portal de conflictos en línea de Equifax.
  • Con base en la investigación de la compañía, Equifax considera que los accesos no autorizados a determinados archivos que contenían información personal ocurrieron del 13 de mayo al 30 de julio de 2017.
  • U.S. CERT identificó y divulgó la vulnerabilidad particular en Apache Struts a principios de marzo de 2017.
  • La organización de Seguridad de Equifax tuvo conocimiento de esta vulnerabilidad en ese momento, e hizo grandes esfuerzos para identificar y parchar todos los sistemas vulnerables en la infraestructura de tecnología de la compañía.
  • Equifax entiende perfectamente la intensa atención dedicada a los esfuerzos de parche, la revisión de los hechos por parte de la compañía sigue en curso. La compañía divulgará información adicional cuando esté disponible.

Perspectiva general de la respuesta de respaldo al cliente y los acontecimientos recientes

La compañía está totalmente comprometida a apoyar proactivamente a los consumidores que pueden haber sido afectados por el incidente de seguridad informática. El cronograma de nuestra respuesta incluye:

  • La compañía trabajó con diligencia junto a Mandiant para determinar a qué información se accedió e identificar a los consumidores potencialmente afectados a fin de hacer una adecuada divulgación pública del incidente.
  • Tan pronto como la compañía supo de la población potencialmente afectada, se lanzó un paquete de apoyo integral para los consumidores el 7 de septiembre de 2017.
  • Equifax tomó las siguientes medidas:
    • Creó un sitio web dedicado donde los consumidores puedan entender si fueron impactados, obtener más información sobre el incidente y aprender a protegerse.
    • La compañía ofreció supervisión de archivos de crédito y protección contra el robo de identidad sin costo a todos los consumidores de los EE. UU., independientemente de si resultaron definitivamente afectados.
      • TrustedID Premier incluye supervisión crediticia en 3 oficinas de los informes crediticios de Equifax, Experian y TransUnion, copias de los informes crediticios de Equifax, la capacidad de bloquear y desbloquear informes crediticios de Equifax, seguro contra robo de identidad y análisis en Internet de números de seguridad social.
    • La compañía también ha creado un centro de llamadas dedicado para ayudar a los consumidores con preguntas y la suscripción a la oferta gratuita, y ha seguido reforzando el centro de llamadas para reducir los tiempos de espera.
  • Equifax también proporcionó notificación por escrito a todos los Fiscales Generales de los EE. UU. y se contactó con otros reguladores federales.
  • Desde el anuncio, Equifax ha tomado medidas adicionales, que incluyen:
    • Proporcionar un enlace más prominente y claro desde el sitio web principal www.equifax.com al sitio web del incidente de seguridad informática www.equifaxsecurity2017.com, para que los consumidores puedan encontrar rápida y fácilmente la información que necesitan.
    • Triplicar el equipo del centro de llamadas y seguir agregando agentes, a pesar de enfrentar algunas dificultades debido al huracán Irma.
    • Resolver problemas con la herramienta de búsqueda de impacto.
    • Abordar la confusión concerniente al arbitraje y las cláusulas de exención de demanda colectiva incluidas en los Términos de Uso aplicables al producto:
      • La compañía nunca pretendió que estas cláusulas se apliquen a este incidente de seguridad informática.
      • Debido a la preocupación de los consumidores, la compañía aclaró que esas cláusulas no se aplican a este incidente de seguridad informática ni a la oferta gratuita de TrustedID Premier.
      • La compañía aclaró que esas cláusulas no se aplican a los consumidores que se registraron antes de que se eliminara el enunciado.
    • Aclarar que no se requiere ninguna información de la tarjeta de crédito para inscribirse en el producto y que los consumidores no se inscribirán automáticamente ni se les cobrará después de la conclusión del año de cortesía.
    • Hacer cambios para abordar las preocupaciones de los consumidores con respecto a los congelamientos de seguridad:
      • La compañía aclaró que los consumidores que coloquen un congelamiento de seguridad recibirán un PIN generado al azar.
      • La compañía sigue trabajando en las dificultades técnicas relacionadas con el alto volumen de solicitudes de congelamiento de seguridad.
      • Los consumidores que pagaron por un congelamiento de seguridad a partir de las 5 p. m., hora del Este, del día 7 de septiembre de 2017 recibirán un reembolso.
      • La compañía acordó eximir del pago de honorarios para eliminar y colocar congelamientos de seguridad hasta el 31 de enero de 2018.

Acerca de Equifax

Equifax es una compañía de soluciones de información global que utiliza datos únicos confiables, análisis innovador, tecnología y experiencia en el sector para impulsar las organizaciones e individuos de todo el mundo al transformar el conocimiento en datos que les ayudan a tomar decisiones personales y de negocios más informadas. La compañía organiza, asimila y analiza datos sobre más de 820 millones de consumidores y más de 91 millones de empresas en todo el mundo, y su base de datos incluye datos de empleados aportados por más de 7.100 empleadores.

Con sede en Atlanta, Georgia, Equifax opera o tiene inversiones en 24 países de Norteamérica, Centroamérica y Sudamérica, Europa y la región de Asia-Pacífico. Es miembro del Índice Standard & Poor’s (S&P) 500®, y sus acciones ordinarias se negocian en la Bolsa de Valores de Nueva York (New York Stock Exchange, NYSE) bajo el símbolo EFX. Equifax emplea aproximadamente 9.900 empleados en todo el mundo.

Para más información

1550 Peachtree Street, NE
Atlanta, Georgia 30309

[email protected]