Equifax pagará $575 millones de dólares como parte de un acuerdo resolutorio con la FTC, la CFPB y los estados

NOTA: La Comisión Federal de Comercio (FTC) reunirá una conferencia de prensa el 22 de julio a las 10:00 AM en la sucursal principal de la FTC en 600 Pennsylvania Ave, NW, Washington D.C. 20580.

Los participantes incluirán al Chairman de la FTC, Joe Simons, la directora de la Oficina para la Protección Financiera del Consumidor (CFPB, por su sigla en inglés) Kathy Kraninger, y al Fiscal General del estado de Maryland, Brian Frosh.

Representantes de los medios se pueden conectar llamando al (800) 230-1074. El número de confirmación es 470210. Las líneas, las cuales son solamente para los representantes de los medios, se abrirán 15 minutos antes de la hora de comienzo de la conferencia de prensa. La conferencia de prensa también estará disponible por internet en FTC.gov.

Equifax Inc. ha aceptado pagar al menos $575 millones de dólares, y potencialmente hasta $700 millones, como parte de un acuerdo global con la Comisión Federal de Comercio (FTC, por su sigla en inglés), la Oficina para la Protección Financiera del Consumidor (CFPB, por su sigla en inglés) y 50 estados y territorios de EE. UU. que alegaron que, como resultado de la falta de implementación por parte de la compañía de informes crediticios de las medidas necesarias para proteger su red, en 2017 se produjo un incidente de seguridad de datos que afectó a aproximadamente 147 millones de personas.

En su demanda, la FTC alega que Equifax no protegió una inmensa cantidad de información personal almacenada en su red, lo cual originó un incidente de seguridad que expuso millones de nombres y fechas de nacimiento, números de Seguro Social, domicilios físicos y demás información personal que pudo ocasionar robo de identidad y fraude.

Como parte del acuerdo resolutorio, Equifax pagará $300 millones de dólares que se destinarán a un fondo para proveerles servicios de monitoreo de crédito a los consumidores afectados. El fondo también se utilizará para compensar a los consumidores que le compraron servicios de monitoreo de crédito o de prevención de robo de identidad a Equifax y que pagaron de sus bolsillos otros gastos resultantes del incidente de seguridad de datos de 2017. Equifax sumará otros $125 millones de dólares a ese fondo en caso de que el pago inicial no fuera suficiente para compensar las pérdidas de los consumidores. También, a principios de enero, Equifax proveerá seis informes de crédito gratis a los consumidores estadounidenses por siete años – en adición al informe de crédito gratuito que ya Equifax y las otras dos agencias crediticias proveen anualmente.

La compañía también aceptó pagar $175 millones de dólares a 48 estados, el Distrito de Columbia y Puerto Rico, como así también una suma de $100 millones de dólares a la CFPB en concepto de multas administrativas.

El Chairman de la FTC, Joe Simons, dijo al respecto: "Las compañías que obtienen beneficios con la información personal tienen una responsabilidad adicional en lo que se refiere a la protección y seguridad de los datos. Equifax no implementó las medidas básicas que pudieron haber prevenido el incidente que impactó a aproximadamente 147 millones de personas. Este acuerdo resolutorio le exige a la compañía que tome medidas para mejorar la seguridad de sus datos de ahora en adelante, y garantizará que los consumidores perjudicados por este incidente de seguridad de datos reciban ayuda para protegerse contra el robo de identidad y el fraude.”

Las fallas de seguridad de la compañía

La FTC alega que Equifax no implementó un parche en su red después de haber sido alertada en marzo de 2017 sobre una vulnerabilidad de seguridad crucial que estaba afectando su base de datos ACIS que maneja las indagaciones de los consumidores sobre sus respectivos datos personales de crédito. Aunque el equipo de seguridad de Equifax ordenó que se implementara un parche en cada uno de los sistemas vulnerables de la compañía dentro de las 48 horas posteriores a recibir la alerta, Equifax no hizo el seguimiento necesario para asegurarse de que esa orden fuera implementada por los empleados responsables.

De hecho, Equifax no se percató de la falta de implementación del parche en su base de datos ACIS hasta julio de 2017 cuando su equipo de seguridad detectó tráfico sospechoso en su red. Una investigación de la compañía reveló que múltiples piratas informáticos pudieron explotar la vulnerabilidad de la base de datos ACIS para acceder a la red de Equifax, donde accedieron a un archivo desprotegido que incluía las credenciales administrativas almacenadas en texto plano sin formatear. Con estas credenciales los piratas informáticos lograron acceder a vastas cantidades de información de identificación personal de los consumidores y pudieron operar durante meses en la red de Equifax sin ser detectados.

El objetivo del ataque de los piratas informáticos incluía números de Seguro Social, fechas de nacimiento y otra información delicada de los consumidores que habían comprado productos de Equifax tales como calificaciones de crédito, servicios de monitoreo de crédito o de prevención de robo de identidad. Por ejemplo, los piratas informáticos robaron al menos 147 millones de nombres y fechas de nacimiento, 145.5 millones de números de Seguro Social y 209,000 números y fechas de vencimiento de tarjetas de pago.

De acuerdo a lo que se indica en la demanda, los piratas informáticos lograron acceder a una asombrosa cantidad de datos debido a que Equifax no implementó medidas básicas de seguridad. Esto incluye la falta de implementación de una política para garantizar el emparche de las vulnerabilidades de seguridad; no segmentar los servidores de su base de datos para bloquear el acceso a otras partes de la red luego de que se produjera un incidente de seguridad en la base de datos; y no instalar protecciones sólidas de detección de intrusión para sus bases de datos preexistentes. Además, la FTC también alega que Equifax almacenó las credenciales y contraseñas de la red, como también los números de Seguro Social y otros datos delicados de los consumidores, en texto plano sin formatear.

A pesar de esta falta de implementación de medidas básicas de seguridad, la política de privacidad de Equifax de ese entonces decía que limitaba el acceso a la información personal de los consumidores y que se implementaban “salvaguardas físicas, técnicas y de procedimiento razonables” para proteger los datos de los consumidores.

La FTC alega que Equifax infringió la prohibición de la Ley de la FTC contra las prácticas desleales y engañosas y la Regla de Salvaguardas de la Ley Gramm-Leach-Bliley Act que establece que las instituciones financieras deben desarrollar, implementar y mantener un programa integral de seguridad de la información para proteger la seguridad, confidencialidad e integridad de la información de los clientes.

Requerimientos del acuerdo

Además del resarcimiento monetario para los consumidores afectados, Equifax también debe implementar un programa integral de seguridad de la información que le exige a la compañía la adopción de las siguientes medidas:

• Designar un empleado que supervise el programa de seguridad de la información.
• Realizar evaluaciones anuales de los riesgos de seguridad internos y externos e implementar salvaguardas para ocuparse de los posibles riesgos, como el manejo de los parches y las políticas de corrección de problemas de seguridad, mecanismos de detección de intrusiones en la red y otras protecciones.
• Obtener certificaciones anuales de parte de la junta de directores de Equifax o comisión relevante que corroboren que la compañía ha cumplido la orden, incluyendo sus requerimientos de seguridad de la información.
• Probar y monitorear la efectividad de las salvaguardas de seguridad.
• Garantizar que los proveedores de servicios que accedan a la información personal almacenada por Equifax también implementen las salvaguardas adecuadas para proteger esos datos.

El acuerdo propuesto también le exige a la compañía que someta su programa de seguridad de la información a evaluaciones externas cada dos años. Bajo los términos de la orden, la entidad evaluadora debe especificar las evidencias que fundamentan sus conclusiones y realizar un muestro independiente, entrevistas a los empleados y revisión del documento. Por último, la orden le otorga autoridad a la Comisión para aprobar al evaluador por cada período de evaluación de dos años. Bajo la orden, Equifax debe proveerle un informe anual a la Comisión Federal de Comercio acerca del programa de reclamos para consumidores.

Finalmente, la Comisión Federal de Comercio le urge a aquellos empleados de Equifax que creen que la compañía no está cumpliendo con las promesas acerca de la seguridad de los datos que se comuniquen con la Comisión Federal de Comercio en equifax@ftc.gov. Los consumidores pueden aprender más sobre el acuerdo resolutorio en ftc.gov/es/Equifax.

El resultado de la votación de la Comisión para autorizar a su personal a presentar la demanda y la orden acordada de carácter final con Equifax fue 5-0. La FTC espera presentar la demanda y orden acordada de carácter final ante la Corte Federal de Distrito para el Distrito Norte de Georgia hoy día.

NOTA: La Comisión presenta una demanda cuando existe una “razón para creer” que los demandados mencionados en la demanda están infringiendo la ley o están a punto de infringirla y cuando la Comisión considera que el procedimiento es de interés público. Las órdenes acordadas de carácter final adquieren fuerza de ley cuando son aprobadas y firmadas por el juez de la Corte de Distrito.

La Comisión Federal de Comercio trabaja para promover la competencia y proteger y educar a los consumidores. Usted puede aprender más sobre los temas de interés de los consumidores y presentar una queja de consumidor en internet o llamando al 1-877-FTC-HELP (382-4357). Haga clic en la opción “me gusta” la FTC en Facebook, “síganos” en Twitter en @LaFTC, lea los artículos de nuestro blog y suscríbase a los comunicados de prensa para acceder a las noticias y recursos más recientes.