Hoy, hace un año, Equifax sufrió lo que sigue siendo una de las brechas de datos más grandes e impactantes en la historia de los Estados Unidos. En septiembre pasado, se reveló que la información personal de 145 millones de estadounidenses, casi 700.000 ciudadanos del Reino Unido y 19.000 canadienses fue robada por ciberdelincuentes.
Esta información incluía nombres, direcciones, cumpleaños, números de Seguro Social y, en algunos casos, licencias de conducir. Toda la información de identificación personal crítica (PII), la cual se puede revender en forma clandestina, muchas veces es usada para cometer fraude de identidad.
Esta brecha tuvo un impacto muy real en los millones de afectados. ¿En Equifax? ¿O la industria en su conjunto? No tanto…
El resultado es que su información personal permanece “confiada” a varias agencias sin su conocimiento. Agencias que pueden o no tener sus mejores intereses en el corazón. Un año después de la violación de Equifax, sus datos nunca han estado en mayor riesgo.
¿Por qué?
La brecha de Equifax llegó a los titulares internacionales durante semanas. Es una historia que tiene intriga corporativa, alboroto político y controversia … pero nada realmente ha cambiado.
¿Qué pasó?
Los ciberdelincuentes obtuvieron acceso a los sistemas de Equifax a través de una vulnerabilidad conocida en Apache Struts (un marco de aplicación web). Esta vulnerabilidad fácilmente explotada se ha dejado sin parchear y mitigar por Equifax durante semanas.
Cuando Equifax descubrió la brecha, esperaron semanas para notificar a las personas afectadas y al público en general. Esa notificación llegó en forma de un sitio inseguro con un nuevo nombre de dominio, lo que contribuyó a las críticas a las que se enfrentó la compañía cuando se confundieron con la respuesta.
La saga dio una serie de giros inesperados puesto que los ejecutivos fueron acusados de abuso de información privilegiada vendieron acciones por un valor de $ 1.8 millones de dólares después de que se descubrió la brecha, pero antes del anuncio público. El CIO y el CISO se retiraron a raíz del ataque. A medida que la compañía continuaba viendo una frustración opresiva, política y de los consumidores, el CEO finalmente renunció, lo que le permitió a la compañía intentar pasar la página.
Después de todo, Equifax tenía las herramientas, las personas y el proceso para prevenir el incumplimiento, pero simplemente dejó caer la pelota … con resultados catastróficos.
¿Clientes?
Uno de los mayores desafíos a la luz de esta brecha fue la relación que Equifax tuvo con las personas afectadas. La compañía mantuvo una cantidad significativa de información personal identificable sobre cientos de millones de personas en los Estados Unidos y en todo el mundo, sin embargo, muy pocas de estas personas tenían una relación directa con la compañía.
Equifax y otras agencias de informes crediticios del consumidor ganan su dinero vendiendo perfiles de clientes y calificaciones crediticias a otros negocios, actuando esencialmente como casas de compensación de reputación masiva.
Dado el papel desempeñado por estas agencias, las personas en los Estados Unidos tienen, de manera alarmante, pocas acciones que pueden tomar para recurrir ante un error o una violación de su información en el cuidado de dicha agencia. Este fue un punto clave planteado en el alboroto después de la violación de Equifax.
Un año después, revisemos el progreso logrado hasta ahora …
Falta de protección de datos personales
De manera impresionante, hasta el momento no se hace referencia a ninguna acción federal y solo un estado ha aprobado una legislación con respecto a la protección de datos personales desde la violación de Equifax.
En junio, California aprobó la Ley de Privacidad del Consumidor de California de 2018 (AB 375). Esta legislación histórica da un paso muy necesario hacia la protección de datos personales en este estado. Si bien no es el factor impulsor de la legislación, la violación contribuyó a la conciencia de la necesidad de tales protecciones.
Esto protege a los californianos de una manera similar a la de los europeos bajo GDPR. Si alguna parte de la legislación estuviera vigente durante la violación de Equifax, la compañía habría estado considerando multas importantes.
¿Ahora qué?
A pesar del alboroto inicial, muy poco ha sucedido a raíz de la brecha de Equifax. La creación de una regulación estricta en EU había estado en marcha durante años. La iniciativa en California ya estaba en marcha cuando ocurrió esta violación.
A pesar de la indignación, muy poco salió del ataque fuera de Equifax. Trajeron un nuevo liderazgo y han tratado de cambiar la cultura de seguridad, ambos pasos sólidos. La carta de consentimiento firmada ayudará a garantizar que Equifax continúe construyendo una sólida cultura de seguridad, pero no afecta a ninguna de las otras agencias.
¿Es este el futuro?
A medida que más y más compañías se mueven para monetizar los datos y el comportamiento de los clientes, la falta de voluntad política y la falta de presión por parte de los consumidores significa que sus datos siguen en riesgo.
La regulación siempre es un desafío, pero está claro que el mercado no está proporcionando una solución, ya que pocas de las personas afectadas tienen una relación con las compañías que poseen los datos. Tu información personal es solo eso … tuya y muy personal.
Leave a Reply