La multa fue impuesta por las autoridades reguladoras británicas
Equifax, la agencia de informes de crédito del consumidor con sede en Atlanta recibió una multa de 500 mil libras por parte del organismo de control de privacidad del Reino Unido por el robo masivo de datos que la empresa sufrió el año pasado, incidente que expuso datos personales y financieros de cientos de millones de sus clientes, informan especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética.
Esta es la máxima multa impuesta por la Ley de Protección de Datos del Reino Unido, que data de 1998, a pesar de que podría parecer una cifra poco significativa para una empresa con valor de 16 mil millones de libras.
En julio de este año, el organismo de protección de datos del Reino Unido ya había emitido la máxima multa permitida por esta ley a Facebook, debido al escándalo de Cambridge Analytica, diciendo que el gigante de las redes sociales no pudo evitar que los datos de sus ciudadanos cayeran en las manos equivocadas.
El robo masivo de datos en Equifax
Tal como informaron especialistas en hacking ético en su momento, Equifax sufrió una violación masiva de datos el año pasado entre mediados de mayo y finales de julio, exponiendo datos altamente sensibles de hasta 145 millones de personas de todo el mundo. La información robada incluía los nombres de las víctimas, fechas de nacimiento, números de teléfono, detalles de licencia de conducir, direcciones y números de seguro social, además de información de tarjetas de pago.
El robo de datos ocurrió gracias a que la compañía no respondió adecuadamente a una vulnerabilidad crítica de Apache Struts 2 (CVE-2017-5638), cuyas revisiones ya habían sido publicadas por las empresas de hacking ético y ciberseguridad.
La Oficina del Comisionado de Información (ICO) del Reino Unido, que lanzó una investigación conjunta sobre el incidente con la Autoridad de Conducta Financiera, emitió la penalización monetaria más grande que la Ley de Protección de Datos del país permite, 500 mil libras, equivalentes a cerca de 660 mil dólares.
La ICO dijo que aunque el ciberataque comprometió los sistemas Equifax en los Estados Unidos, la compañía no tomó las medidas adecuadas para proteger la información personal de sus 15 millones de clientes en el Reino Unido. Asimismo, la investigación de la ICO reveló múltiples fallas en la empresa, lo que dio como resultado:
- Exposición de la información de 19 mil 993 clientes del Reino Unido (incluidos nombres, fechas de nacimiento, números de teléfono y números de licencia de conducir)
- Eliminación de 27 mil cuentas de correo electrónico vinculadas a Equifax
- Robo de contraseñas, información personal, e información de tarjetas de pago de 15 mil clientes de Equifax en Reino Unido
La ICO dijo que Equifax era consciente de una vulnerabilidad crítica en Apache Struts 2 por un anuncio de seguridad del Departamento de Seguridad Nacional (DHS) de los Estados Unidos en marzo de 2017, pero la compañía no tomó los pasos apropiados para solucionar el problema.
También se supo que la compañía mantuvo el suceso oculto hasta un mes después de que este fuera descubierto, dando a tres altos ejecutivos de Equifax el tiempo necesario para vender sus acciones por un valor de casi 2 millones de dólares, aunque la compañía negó dichos reclamos.
Equifax ya ha recibido la notificación oficial de la multa, y puede apelar la decisión de la ICO.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad