HayCanal.com

Equifax sigue pagando su brecha de datos

Equifax sigue pagando su brecha de datos

En septiembre de 2017, la entidad financiera Equifax anunció que había protagonizado una de las mayores brechas de datos de todos los tiempos.

Aunque no fue la más grande – ese título lo gana Yahoo, con la pérdida de datos sobre unos 3 mil millones de cuentas – en la brecha de Equifax, los datos de 145 millones de consumidores estadounidenses fueron expuestos, junto con los de millones de personas de otros países.

La empresa descubrió la brecha en julio del mismo año, y estimó que venía ocurriendo desde mayo de 2017. Un informe del gobierno estadounidense acerca de la brecha concluyó que las prácticas de seguridad de Equifax eran insuficientes y que sus sistemas eran anticuados. Además, dejó en evidencia las malas praxis en seguridad IT, ya que medidas básicas como parchear sistemas vulnerables, podrían haber prevenido esta brecha.

Las repercusiones continúan para Equifax

A pesar de que esta brecha de datos ocurrió hace dos años, Equifax sigue notando los efectos de sus fallos de ciberseguridad. A finales de mayo de este año, la  agencia de calificación de riesgo Moody’s, ha rebajado el pronóstico del rating de la empresa, de estable a negativo.

Moody’s citó un gasto de 690 millones de dólares debido a la brecha en el primer cuatrimestre de 2019 como razón por la rebaja del rating. Sin embargo, éste no es ni mucho menos el único gasto al que ha tenido que enfrentarse la empresa como resultado de la brecha. En el primer cuatrimestre de este año el gasto total de la empresa fue de 786.8 millones de dólares en costes generales de la brecha, que incluía los $690 millones, más $82.2 millones en costes de seguridad de datos, $12.5 millones de honorarios legales y $1.5 millones de costes de responsabilidad de producto. En total, esta brecha le ha costado 1.4 mil millones de dólares. Y no hay duda de que este coste seguirá aumentando.

Un portavoz de Moody’s dijo que el caso de Equifax era especialmente significativo porque “es la primera vez que la ciberseguridad ha sido un factor nombrado en un cambio de pronóstico”.

¿Qué podemos aprender de este caso?

La empresa cometió múltiples fallos de ciberseguridad, los cuales le llevaron a estos costes astronómicos. El primero, era ignorar un parche de seguridad importante. Según explica la empresa, un empleado ignoró un parche que se tenía que instalar en Apache Struts, la herramienta de desarrollo de aplicaciones web que utilizaba. Es más, este parche estuvo disponible dos meses antes de la brecha de datos.

La brecha estuvo activa entre mayo y julio de 2017: tres meses. Con estos datos, está claro que la empresa no era consciente de lo que ocurría en su red, ni tampoco tenía controles adecuados sobre los datos personales que manejaba. Y efectivamente, eso fue una de las conclusiones del informe gubernamental: “Equifax no vio la exfiltración de datos porque el dispositivo utilizado para monitorizar la tráfico de red llevaba inactivo 19 meses debido a un certificado de seguridad caducado”.

Panda Security


Noticias que marcan tendencia en el sector IT

Últimas Noticias

Nombramientos