La reciente filtración de Equifax , una empresa global de soluciones de información que organiza, asimila y analiza datos sobre consumidores y empresas en todo el mundo, y una de las tres principales agencias de informes crediticios, expuso los datos de aproximadamente 143 millones de personas en los Estados Unidos. Entre mayo y julio , la violación permitió a los atacantes acceder a nombres, números de Seguro Social, fechas de nacimiento e incluso licencias de conducir, además de000 números de tarjetas de crédito y detalles de disputas de otras 182.000 personas. Según la empresa , el vector de ataque aprovechó la vulnerabilidad de una aplicación de un sitio web estadounidense para obtener acceso a determinados archivos. Además de ser un importante buró de crédito, Equifax es sociodel Servicio de Impuestos Internos (IRS), los centros de Medicaid y Medicare, y la Administración de la Seguridad Social, todos ellos objetivos principales de actores cibernéticos hostiles.
Más alarmante que la violación en sí es el hecho de que los detalles de la misma no se hicieron públicos hasta seis semanas después de haber ocurrido, y la compañía no ha dicho por qué había esperado tanto antes de notificar al público. Una posibilidad es que la empresa haya estado investigando las causas y el alcance de la infracción, aunque esto es sólo una especulación. Para colmo de males, se reveló que tres de los ejecutivos de Equifax vendieron acciones de la empresa antes de que se revelara la infracción. Si bien la compañía sostiene que estas personas no fueron notificadas de la violación de Equifax antes de la venta, una vez que la violación se hizo pública, el valor de las acciones de Equifax se desplomó un 18 por ciento , y algunas estimaciones predicen más pérdidas.
Como era de esperar, la culminación de los acontecimientos ha indignado al público estadounidense cuya ira ha llegado al gobierno de Estados Unidos, provocando una respuesta política bipartidista a la violación. El Comité de Finanzas del Senado de Estados Unidos ha presionado a Equifax para que revele qué sucedió y por qué. Una carta de 13 preguntas que cubre temas como detalles del descubrimiento de violaciones, el plan de notificación a las víctimas de la empresa y medidas para mitigar el impacto en los consumidores. La empresa tiene hasta el 28 de septiembre para responder las preguntas planteadas en la carta del Comité.
La violación de Equifax se produce en un momento en que algunas organizaciones importantes no han logrado salvaguardar la información personal confidencial de los ciudadanos. Las infracciones notables incluyen la de Anthem en , que entregó información personal de 79 millones de personas;
la violación de la Oficina de Gestión de Personal ( OPM ) de que comprometió más de 4 millones de registros de personal de personas que solicitaban autorizaciones de seguridad; y la violación del IRS de que expuso la información personal de más de 700.000 personas.
Es importante subrayar que estos millones de personas no protegieron ni manejaron descuidadamente sus propios datos. Más bien, fue la incapacidad de estas organizaciones “responsables” que requieren la información para sus fines comerciales de protegerla adecuadamente, lo que pone en duda el alcance de su responsabilidad y sus consecuencias. Incluso después de proporcionar a las víctimas potenciales para ver si su información podría haber sido comprometida, se requirieron los últimos seis números del número de Seguro Social de un individuo, no los últimos cuatro, que es más estándar. Proporcionar información adicional en un sitio web de una entidad que demostró su incapacidad para proteger lo que ya tenía ciertamente no es tranquilizador.
Actualmente, 48 estadostienen leyes que exigen que las entidades privadas o gubernamentales notifiquen a las personas sobre violaciones de seguridad de la información que involucran información de identificación personal. Sin embargo, el “momento de notificación” varía y, en varios casos, se define en términos vagos como “el más expedito”. Esto es completamente inaceptable en la realidad cibernética actual, donde el elemento criminal puede operar rápidamente y monetizar la información robada inmediatamente antes de que las víctimas se den cuenta de que han sido comprometidas. En, la Administración de la Seguridad Social (SSA) no informó a miles de estadounidenses que accidentalmente había publicado sus nombres, fechas de nacimiento y números de Seguridad Social en una base de datos electrónica ampliamente utilizada por grupos empresariales estadounidenses. La SSA esencialmente ignoró las pautas de presentación de informes establecidas por la Ley de Privacidad de EE. UU. que protege la información personal de ciudadanos privados. Tales acciones no sólo son negligentes sino que rayan en lo criminal en sí mismas.
El público estadounidense está cansado de ver violaciones masivas sin que se impongan responsabilidades ni consecuencias a aquellas organizaciones en las que se confiaba y que no protegieron la información confidencial de otras personas. Las multas no envían un mensaje suficientemente serio, y los despidos de directores ejecutivos y/o las renuncias forzadas no han tenido ningún impacto significativo en la implementación de cambios en las prácticas de seguridad cibernética. El Congreso de los Estados Unidos, durante mucho tiempo difamado e impopular según un servicio de seguimiento , tiene la oportunidad de demostrar bipartidismo y aprobar mandatos estrictos de divulgación, junto con un nivel apropiado de consecuencias graves.
Si bien se ha centrado mucha atención en las capacidades cibernéticas de los estados nacionales, la frecuencia y el ritmo de violaciones importantes como la de Equifax se han convertido en ruido blanco que recibe un aviso de un momento antes de que la atención se centre en temas cibernéticos más atractivos. Esto tiene que cambiar. Si bien la paralización de una infraestructura crítica de Estados Unidos como resultado de un ciberataque puede tener impactos de gran alcance, sigue siendo un escenario. Lo que está ocurriendo es la explotación masiva y el uso indebido desenfrenado de la información personal del público estadounidense, que afecta a todos, independientemente del partido político, la clase económica o la ideología religiosa. Ese parece un llamado que ambos lados del pasillo deberían poder respaldar.
Esta es una publicación invitada escrita por Emilio Iasiello.