Así se gestó el hackeo financiero a la multinacional estadounidense Equifax

La agencia de informes de créditos al consumo Equifax no ve la luz al final del túnel. Desde que el 7 de septiembre informara del ciberataque que pone en riesgo información sensible de la mitad de estadounidenses, la credibilidad de la empresa se deteriora a paso firme. La firma ya ha asumido responsabilidades cesando a los jefes de seguridad e información de la compañía.

Pero el efecto dominó que la noticia generó en la cartera de clientes de la multinacional tanto en el marco legal como a nivel financiero ha sido catastrófico. Y eso que la historia no ha acabado.

El hackeo lo gestaron dos jóvenes bajo el nombre de PastHole Hacking Team, que gestaron el golpe entre mayo y junio de este año. El robo de datos se descubrió hasta finales de juli. Sin embargo,  no fue hasta el 7 de septiembre cuando la empresa reconoció lo sucedido.

Los números de tarjetas de crédito de más de 200.000 estadounidenses están comprometidos

Según la agencia, el incidente arriesga la información personal — nombres, números de seguridad social y domicilios — de 143 millones de clientes estadounidenses. Adicionalmente, los hackers robaron los números de tarjetas de crédito de más de 200.000 estadounidenses y, en menor medida, de clientes británicos y canadienses.

La gestión de la crisis desbordó a la compañía 

Equifax alega que un agujero del servidor web Apache había sido el causante del ciberataque, pues el mismo se había solucionado a mediados de año, pero la empresa no había instalado el parche a tiempo. Allí pudo abrirse la puerta a los criminales para acceder a la información sensible.

Los hackers chantajearon a la empresa amenanzando con que si no pagaban 600 bitcoins (casi dos millones de euros) harían públicos los datos, excepto los de las tarjetas de crédito, que podrían vender en el mercado negro.

En medio de la tormenta, Equifax no ha sido ejemplar en el manejo de la crisis. En de vez de notificarle a las víctimas del robo, la empresa subió una página web, con todavía más vulnerabilidades, para que los clientes lo comprobasen por sí mismos.

La acción por 70.000 millones de dólares contra Equifax podría ser la demanda colectiva más grande de la historia

Adicionalmente, la agencia ofreció un nuevo servicio para monitorear el uso de datos y otro para bloquear el acceso a la información, el cual inicialmente cobró. Fue tal la rabia que ello provocó, que se vieron obligados a poner los servicios gratuitos durante las próximas semanas.

También trascendió que el 1 de agosto —cuando a lo interno de Equifax ya se sabía del ataque pero no se había anunciado— tres directivos vendieron acciones de la empresa a casi dos millones de euros. En comunicación oficial, se manifestó que los directivos no estaban informados del robo entonces.

El drama de ciberseguridad ha sido catalogado como uno de los peores hackeos financieros de la historia, sino el peor. Las acciones de Equifax se han desplomado en casi una tercera parte desde el 7 de septiembre. El caso ha llegado a los tribunales: 30 querellas, dos advertencias públicas del gobierno y la que podría ser la demanda colectiva más grande en la historia de los Estados Unidos.