Equifax ha informado que sus sistemas informáticos han sido blanco de un ataque de seguridad cibernética mediante el que podrían haber adquirido los datos de 143 millones de consumidores estadounidenses, lo que supondría uno de los incidentes informáticos más grandes de la historia.
Los intrusos accedieron a nombres, números de Seguro Social, fechas de nacimiento, direcciones y números de licencia de conducir, dijo Equifax en una declaración. También accedieron a números de tarjetas de crédito de unos 209.000 consumidores, agregó la compañía. Las acciones de Equifax han abierto con caídas superiores al 17%, moderando ligeramente las pérdidas con el avance de la última sesión de la semana.
"Este es claramente un evento decepcionante para nuestra empresa, y uno que golpea en el corazón de lo que somos y lo que hacemos. Les ofrezco disculpas a los consumidores y nuestros clientes de negocios por la preocupación y la frustración que esto causa", dijo el presidente ejecutivo, Richard Smith, en la declaración.
Los delincuentes aprovecharon la vulnerabilidad de una aplicación del sitio web en EE. UU. para acceder a los archivos durante un período que va desde mediados de mayo hasta julio de este año. Los intrusos accedieron a información de tarjetas de crédito de cerca de 209.000 consumidores y documentos de disputas con información de identificación personal de cerca de 182.000 consumidores, dijo Equifax.
Algunos residentes del Reino Unido y Canadá también se vieron afectados. La compañía, que descubrió el incidente el 29 de julio, está trabajando con los reguladores en ambos países.
Ejecutivos vendieron acciones antes del anuncio
Tres ejecutivos de Equifax vendieron acciones por un valor de casi 1,8 millones de dólares en los días posteriores a que la compañía descubrió una violación de seguridad que podría haber comprometido la información de unos 143 millones de consumidores estadounidenses. Aunque la compañía ha apuntado que los tres ejecutivos aún no habían sido informados del incidente cuando vendieron sus títulos.
Presentaciones regulatorias muestran que tres días después, el director financiero, John Gamble, vendió acciones por 946.374 dólares y Joseph Loughran, presidente de soluciones de información de EE.UU., ejerció opciones para vender acciones por valor de 584.099 dólares. Rodolfo Ploder, presidente de soluciones de fuerza de trabajo, vendió 250.458 dólares en acciones el 2 de agosto. Ninguna de las presentaciones indica que las transacciones sean parte de los planes de negociación programados 10b5-1.
Los tres "vendieron un pequeño porcentaje de sus acciones de Equifax", dijo Ines Gutzmer, una portavoz de la compañía con sede en Atlanta, en una declaración por correo electrónico. Ellos, "en ese momento, no tenían conocimiento de que había ocurrido una intrusión".
Demanda colectiva
Además, la compañía tendrá que enfrentarse a una demanda colectiva que ha sido presentada ante la corte federal de Portland, Oregón. Los usuarios alegaron que Equifax fue negligente al no proteger los datos de los consumidores, optando por ahorrar dinero en lugar de invertir en salvaguardas técnicas que podrían haber detenido el ataque.
"En un intento por aumentar las ganancias, Equifax negligentemente no mantuvo suficientes salvaguardas tecnológicas para proteger la información de la señora McHill y el señor Reinhard de un acceso no autorizado de piratas informáticos", dice la demanda. "Equifax sabía y debería haber sabido que el hecho de no mantener las salvaguardas tecnológicas adecuadas a la larga resultaría en una violación masiva de datos. Equifax podría haber y debería haber aumentado sustancialmente la cantidad de dinero que gastaba para protegerse contra los ciberataques, pero prefirió no hacerlo".
El caso fue presentado por la firma Olsen Daines PC junto con Geragos & Geragos, un bufete de abogados famoso por su éxito en demandas colectivas. Ben Meiselas, un abogado de Geragos, dijo que la demanda buscará hasta 70.000 millones de dólares en daños a nivel nacional.