Caso de debate: filtracin de datos de Equifax La empresa de informes de crdito Equifax estuvo en
el centro de una filtracin masiva de datos que afect a ms de 145 millones de clientes. En 2017, los
piratas informticos aprovecharon una vulnerabilidad en el software del sitio web de Equifax y
robaron informacin personal, incluidos nombres, direcciones y nmeros de seguro social, de hasta
145 millones de estadounidenses. Un incidente separado pero relacionado en Equifax involucr a
15 millones de ciudadanos britnicos cuyos registros fueron violados entre 2011 y 2016. El fracaso
de las medidas de control e informes internos de Equifax condujo a una violacin generalizada de
los derechos de las personas a la privacidad de su informacin personal y se convirti en un enorme
crisis de relaciones pblicas para la empresa. El principal abogado de Equifax, John Kelley, fue
investigado por la junta directiva por su posible participacin en el encubrimiento del hackeo y su
mal manejo de la situacin. Kelley fue responsable de aprobar las ventas de acciones de la
empresa por parte de los ejecutivos despus de que se descubriera la infraccin, pero antes de que
se revelara al pblico. Tras la divulgacin de la infraccin, el precio de las acciones de la empresa
cay un 14 por ciento. Los inversores vendieron aproximadamente 4500 millones de dlares (el 25
%) del valor de mercado de la empresa despus de que se hiciera pblico el ataque. Ms de 10
millones de estadounidenses vieron expuestos los datos de sus licencias de conducir durante el
hackeo. Muchas personas que haban proporcionado la informacin de su licencia de conducir a la
empresa simplemente estaban verificando su informacin para recibir informes crediticios y
calificaciones de Equifax. Algunos haban ingresado su informacin en la pgina web de la compaa
en un esfuerzo por resolver disputas de informes de crdito. La pgina web de disputas de informes
crediticios haba sido particularmente vulnerable a las brechas de seguridad. El CEO de Equifax,
Richard Smith, admiti durante las audiencias del Captulo 6 tica organizacional 133 PDF final para
imprimir 134 Segunda parte tica empresarial law43665_ch06_115-136.indd 134 11/14/18 01:42
PM del Congreso que l y otros ejecutivos estaban al tanto de las debilidades de seguridad , pero
que un solo empleado de la empresa no haba prestado atencin a las advertencias de seguridad y
no se asegur de la implementacin de las correcciones de software. Smith agreg que hubo una
falla en sus sistemas de software diseados para buscar la ausencia de "parches" necesarios para
proteger la informacin privada. Otros mecanismos de control interno en Equifax parecan haber
sido ignorados o disfuncionales. Frederick Lemieux, director del programa de posgrado en
Inteligencia Aplicada de la Universidad de Georgetown, culp de la violacin a lo que llam
"complicidad pasiva" en la cultura de la empresa. (La complicidad significa estar involucrado en
un acto indebido; la complicidad pasiva implica que los ej.
Caso de debate filtracin de datos de Equifax La empresa de.pdf
1. Caso de debate: filtracin de datos de Equifax La empresa de informes de crdito Equifax estuvo en
el centro de una filtracin masiva de datos que afect a ms de 145 millones de clientes. En 2017, los
piratas informticos aprovecharon una vulnerabilidad en el software del sitio web de Equifax y
robaron informacin personal, incluidos nombres, direcciones y nmeros de seguro social, de hasta
145 millones de estadounidenses. Un incidente separado pero relacionado en Equifax involucr a
15 millones de ciudadanos britnicos cuyos registros fueron violados entre 2011 y 2016. El fracaso
de las medidas de control e informes internos de Equifax condujo a una violacin generalizada de
los derechos de las personas a la privacidad de su informacin personal y se convirti en un enorme
crisis de relaciones pblicas para la empresa. El principal abogado de Equifax, John Kelley, fue
investigado por la junta directiva por su posible participacin en el encubrimiento del hackeo y su
mal manejo de la situacin. Kelley fue responsable de aprobar las ventas de acciones de la
empresa por parte de los ejecutivos despus de que se descubriera la infraccin, pero antes de que
se revelara al pblico. Tras la divulgacin de la infraccin, el precio de las acciones de la empresa
cay un 14 por ciento. Los inversores vendieron aproximadamente 4500 millones de dlares (el 25
%) del valor de mercado de la empresa despus de que se hiciera pblico el ataque. Ms de 10
millones de estadounidenses vieron expuestos los datos de sus licencias de conducir durante el
hackeo. Muchas personas que haban proporcionado la informacin de su licencia de conducir a la
empresa simplemente estaban verificando su informacin para recibir informes crediticios y
calificaciones de Equifax. Algunos haban ingresado su informacin en la pgina web de la compaa
en un esfuerzo por resolver disputas de informes de crdito. La pgina web de disputas de informes
crediticios haba sido particularmente vulnerable a las brechas de seguridad. El CEO de Equifax,
Richard Smith, admiti durante las audiencias del Captulo 6 tica organizacional 133 PDF final para
imprimir 134 Segunda parte tica empresarial law43665_ch06_115-136.indd 134 11/14/18 01:42
PM del Congreso que l y otros ejecutivos estaban al tanto de las debilidades de seguridad , pero
que un solo empleado de la empresa no haba prestado atencin a las advertencias de seguridad y
no se asegur de la implementacin de las correcciones de software. Smith agreg que hubo una
falla en sus sistemas de software diseados para buscar la ausencia de "parches" necesarios para
proteger la informacin privada. Otros mecanismos de control interno en Equifax parecan haber
sido ignorados o disfuncionales. Frederick Lemieux, director del programa de posgrado en
Inteligencia Aplicada de la Universidad de Georgetown, culp de la violacin a lo que llam
"complicidad pasiva" en la cultura de la empresa. (La complicidad significa estar involucrado en
un acto indebido; la complicidad pasiva implica que los ejecutivos fueron culpables de un acto
indebido al no prevenirlo activamente). El hecho de que los altos ejecutivos parecan preocuparse
ms por sus propias carteras de acciones que por la seguridad de la informacin personal de sus
clientes era un problema para muchos ticos. expertos Los observadores tambin criticaron a la
empresa por su retraso en hacer pblica la filtracin. Finalmente, pareca que el conocimiento del
potencial de piratera estaba aislado en un solo empleado. Un sistema ms robusto en el que varias
personas fueran responsables de prevenir un problema podra haber evitado el ataque. A
diferencia de los bancos, las agencias de informes crediticios estn relativamente poco reguladas
y, por lo general, dependen de sistemas internos para mantener la seguridad. Lemieux declar, "no
hay incentivos para cumplir con las mejores prcticas de la industria y no hay incentivos para
gastar [fondos en estos programas] porque no eres responsable de ello". Seal que las agencias
2. de informes crediticios no enfrentaron las mismas consecuencias financieras o legales que los
bancos u otras empresas, como Target o Home Depot, enfrentaron cuando fueron pirateados.
Pamela Pressman, presidenta del Centro para la Empresa y el Comercio Responsables, dijo que
la brecha debera recordar a Equifax y otras empresas que capaciten a sus empleados y
concienticen sobre la adecuada higiene ciberntica. . . asegurando que sus empleados, sus
contratistas, sus proveedores, aquellas personas que tienen acceso a su red y sus datos,
entiendan su papel en la proteccin de la red y la proteccin de los datos. El ataque ciberntico a
Equifax fue potencialmente ms peligroso que otros ataques en la historia reciente porque las
agencias de informes crediticios desempearon un papel importante en la determinacin de quin
recibi financiamiento y, en ltima instancia, cunto crdito recibieron. Los datos recopilados por estas
agencias eran necesarios para solicitar tarjetas de crdito, prstamos y verificaciones de
antecedentes. El ataque se llev a cabo en una maniobra importante, que facilit la capacidad de los
piratas informticos para utilizar los datos para sus propios fines. Este incumplimiento podra
generar problemas para las pequeas instituciones financieras, como los bancos comunitarios y las
cooperativas de crdito, que generalmente se basaban en la informacin recopilada por las
empresas de informes crediticios para determinar sus decisiones de prstamo. Las instituciones
financieras ms grandes tenan ms probabilidades de recopilar informacin adicional de los
solicitantes, lo que los haca menos vulnerables. Das despus de que la empresa descubriera la
filtracin, el director financiero John Gamble y otros dos altos ejecutivos de Equifax supuestamente
vendieron acciones de la empresa por un valor combinado de 1,8 millones de dlares, pero los tres
negaron saber del hackeo cuando realizaron las transacciones, a pesar de la evidencia de lo
contrario. El CEO Smith renunci a su cargo luego de estos eventos. Smith haba estado a cargo
desde 2005. La Oficina Federal de Investigaciones investig el manejo de la situacin por parte de
Equifax, as como las acciones de los altos ejecutivos. Al testificar ante el Congreso, Smith
minimiz la gravedad de la situacin y los factores que facilitaron la violacin. En repetidas ocasiones
culp a un trabajador de TI que no implement soluciones de software despus de que el
Departamento de Seguridad Nacional de EE. UU. advirtiera a los ejecutivos de Equifax sobre
posibles agujeros en la seguridad del sitio web de Equifax. Equifax contrat al grupo Mandiant de
FireEye para investigar la brecha. El informe de Mandiant determin que aproximadamente 2,5
millones de consumidores estadounidenses adicionales estaban potencialmente afectados, para
un total de 145,5 millones. Mandiant no identific ninguna evidencia de actividad de atacante nueva
o adicional ni ningn acceso a nuevas bases de datos o tablas. En cambio, esta poblacin adicional
de consumidores se confirm durante la finalizacin de Mandiant de las tareas de investigacin
restantes y los procedimientos de control de calidad integrados en el proceso de investigacin. La
revisin tambin concluy que no hay evidencia de que los atacantes hayan accedido a bases de
datos ubicadas fuera de los Estados Unidos. Equifax afirm que se enter de la actividad de piratera
en mayo de 2017, pero el informe de Mandiant dijo que el ataque comenz dos meses antes. Sin
embargo, los ejecutivos de la compaa no revelaron formalmente la infraccin hasta septiembre de
2017. Admitieron que el hackeo se llev a cabo entre mayo y julio de 2017. La identidad de los
hackers nunca fue revelada.
Fuentes: The Morning Risk Report: Equifax Breach Could Spur New Round of Training, The Wall
Street Journal, 11 de septiembre de 2017, www.wsj.com; Cmo explicar el incumplimiento de
3. Equifax? Start with the Culture, Universidad de Georgetown, 15 de septiembre de 2017,
ses.georgetown.edu; El director ejecutivo de Equifax, Richard Smith, saldr tras una violacin
masiva de datos, The Wall Street Journal, 26 de septiembre de 2017, www.wsj.com; At the Center
of the Equifax Mess: Its Top Lawyer, The Wall Street Journal, 1 de octubre de 2017,
www.wsj.com; 2,5 millones de personas ms potencialmente expuestas en Equifax Breach, The
New York Times, 2 de octubre de 2017, www.nytimes.com; Equifax Announces Cybersecurity
Firm Has Concluded Forensic Investigation Of Cybersecurity Incident, sitio web de Equifax, 2 de
octubre de 2017, inverter.equifax.com; y Incumplimiento de Equifax causado por el error de un
empleado solitario, dice el ex director ejecutivo, The New York Times, 4 de octubre de 2017,
www.nytimes.com.
Preguntas de debate 1. Cree que la empresa reaccion adecuadamente al enterarse de la
infraccin? 2. Qu podra haber hecho Equifax de manera diferente para prevenir el ataque
ciberntico? 3. Qu tipo(s) de clima tico exista en Equifax? Contribuy esto a los problemas de
piratera all? 4. Qu cambios deben hacer los gerentes y la junta directiva ahora para reducir la
probabilidad de que ocurra un incidente como este en el futuro? 5. Qu tipos de capacitacin en tica
recomendara para los empleados de Equifax en el futuro para evitar este tipo de comportamiento
corrupto?