1 2 0 -S 1 3

REV: 25 DE ABRIL, 2019

SURAJ SRINIVASAN

QUINN PITCHER

JONAH S. GOLDBERG

Violación de datos en Equifax

Era el 4 de octubre del 2017, y Richard Smith, el ex CEO de Equifax, acababa de testificar ante el Comité
del Senado de los Estados Unidos sobre Banca, Vivienda y Asuntos Urbanos. Fue llamado ante el
Comité para abordar la violación de datos que Equifax había experimentado entre mayo y julio a
principios de ese año, y que expuso información personal sobre más de 145 millones de
estadounidenses. Smith había renunciado poco más de una semana antes, fue la última víctima de la
crisis masiva en la agencia de informes de crédito, que había reclamado los trabajos de otros dos
ejecutivos y engendró acusaciones de tráfico de información privilegiada, investigaciones y docenas de
demandas. a

Los observadores criticaron la preparación de seguridad cibernética de Equifax, ya que surgieron

informes de que la compañía había sido notificada sobre la vulnerabilidad de software explotada por
su atacante a principios de marzo, pero no había podido solucionarla a tiempo. También criticaron la
respuesta de la compañía al incumplimiento, especialmente el retraso entre el momento en que Equifax
descubrió el incumplimiento (29 de julio) y el momento cuando lo reveló al público (7 de septiembre).
Otros cuestionaron por qué la junta no fue notificada hasta tres semanas después de que se descubrió
la violación y si la respuesta de la junta fue adecuada.

El sustituto de Smith, el CEO interino Paulino do Rego Barros, Jr., y la junta necesitaban responder
a estas críticas. Enfrentando una avalancha de demandas e investigaciones, Equifax tuvo que mejorar
sus sistemas de seguridad cibernética y convencer tanto a los consumidores como a los funcionarios
públicos de que seguía siendo un administrador confiable de la información confidencial. Lograr esto,
sin embargo, parecía más fácil decirlo que hacerlo.

Equifax
Fundada en 1899, Equifax Inc. (Equifax) era una compañía de informes crediticios de los EE. UU.
junto con Experian y TransUnion, la empresa fue una de las tres principales compañías de informes de

a Las múltiples investigaciones del Congreso (por el Comité del Senado sobre Banca, Vivienda y Asuntos Urbanos, el Comité del
Senado sobre Seguridad Nacional y Asuntos Gubernamentales, y el Comité de Supervisión y Reforma del Gobierno de la Cámara
de Representantes) sobre la violación, produjeron una serie de informes que detallan causas y consecuencias de la ex filtración
de datos del consumidor. Se hará referencia a estos informes a lo largo del caso como productos de investigaciones del Congreso.

El caso de LACC número 120-S13 es la versión en español del caso de HBS número 118-031. Los casos de HBS se desarrollan únicamente para su
discusión en clase. No es el objetivo de los casos servir de avales, fuentes de datos primarios, o ejemplos de una administración buena o deficiente.

Copyright © 2017, 2018, 2019 President and Fellows of Harvard College. No se permitirá la reproducción, almacenaje, uso en planilla de cálculo o
transmisión en forma alguna: electrónica, mecánica, fotocopiado, grabación u otro procedimiento, sin permiso de Harvard Business School.

This document is authorized for use only in Erick Leonardo Izaguirre Ardon's Seguridad de la Información. at UNITEC Business School from Jun 2020 to Jun 2020.
 120-S13 Violación de datos Equifax

crédito, que respondió y proporcionó información sobre ingresos y solvencia a organizaciones e

individuos. "Alimentando al mundo con conocimiento", el eslogan de la compañía, capturó sus
aspiraciones. La compañía escribió en su informe anual del 2016 que:

Aprovechamos algunas de las mayores fuentes de datos comerciales y del consumidor,

junto con análisis avanzados y tecnología patentada, para crear información
personalizada que permita a nuestros clientes comerciales crecer más rápido, de manera
más eficiente y rentable, e informar y capacitar a los consumidores. Los negocios confían
en nosotros para la inteligencia crediticia de los consumidores y las empresas, la gestión
de la cartera de crédito, la detección de fraudes, la tecnología de decisión b, las
herramientas de marketing, la gestión de la deuda y los servicios relacionados con los
recursos humanos. También ofrecemos una cartera de productos que permiten a los
consumidores individuales administrar sus asuntos financieros y proteger su identidad.

Equifax recopiló información crediticia de consumidores y empresas de los bancos, la analizó

mediante procesos patentados y vendió el análisis crediticio, generando un margen bruto de alrededor
del 90 por ciento. Equifax gestionó datos de más de 820 millones de consumidores y más de 91 millones
de empresas en todo el mundo. 1

El negocio principal de Equifax era su segmento de Servicios de Información de EE. UU. (USIS, por
sus siglas en inglés), que comprendía servicios de información en línea, soluciones hipotecarias y
servicios de marketing financiero. Los primeros dos servicios derivaron ingresos de la venta de
informes y puntajes de crédito de consumo y comercial. Los informes de crédito contenían información
personal, incluido el historial de pago de facturas, préstamos, deudas, residencia e historial de trabajo,
que proporcionaban una imagen completa de la solvencia de un individuo u organización. Los
prestamistas utilizaron informes de crédito para evaluar las solicitudes de préstamos y créditos. 2

En el segmento de Workforce Solutions de Equifax, los mismos datos recopilados para los informes
de crédito al consumidor se vendieron a organizaciones que buscaban verificar el empleo individual y
el historial de ingresos. Equifax también ofreció a las empresas servicios para manejar reclamos de
desempleo, créditos fiscales basados en el empleo y otros programas similares. La compañía también
operaba un segmento de Global Consumer Solutions que brindaba productos de monitoreo de crédito
y protección contra robo de identidad en los EE. UU., Canadá y el Reino Unido. 3

Equifax tuvo un gran éxito, impulsado por sus servicios de recopilación y análisis de datos. Durante
la gestión de Smith como CEO (de septiembre del 2005 a septiembre del 2017), el precio de sus acciones
se había más que cuadruplicado y la compañía había realizado quince adquisiciones. 4

Ciberseguridad en Equifax
La estructura de informes
Su modelo comercial intensivo en información hizo que la empresa fuera atractiva para los
cibercriminales. Por lo tanto, la seguridad de la información era primordial para la empresa. Equifax
redactó en su informe anual del 2016:

Regularmente somos blanco de intentos de amenazas de seguridad cibernéticas y de

otras formas, y debemos monitorear y desarrollar continuamente nuestras redes e
infraestructura de tecnología de la información para prevenir, detectar, abordar y mitigar

b En su informe anual del 2016, Equifax describió esto como "servicios de software de toma de decisiones, que facilitan y
automatizan una variedad de decisiones comerciales y de consumo orientadas al crédito". Informe anual del 2016. Equifax, Inc.,
pág. 12

This document is authorized for use only in Erick Leonardo Izaguirre Ardon's Seguridad de la Información. at UNITEC Business School from Jun 2020 to Jun 2020.
 Violación de datos Equifax 120-S13

el riesgo de acceso no autorizado, mal uso, virus informáticos y otros eventos que podrían
tener un impacto en la seguridad. 5

Después de que Smith fuera nombrado CEO en el 2005, la compañía invirtió millones en medidas
de ciberseguridad. Este esfuerzo continuó con el tiempo, gastando alrededor del uno por ciento de sus
ingresos operativos en ciberseguridad cada año entre los años 2014 y 2017. 6 Al comienzo de su gestión,
Smith contrató a un experto en ciberseguridad, Tony Spinelli, como director de seguridad (CSO, por
sus siglas en inglés), quien trabajó para modernizar las ciberdefensas de Equifax, ensayando posibles
infracciones y creando "escuadrones de gestión de crisis las 24 horas" que solucionarían los problemas
a medida que surgieran. Spinelli y su principal protegido abandonaron la compañía en el 2013,
seguidos de otros empleados de alto nivel en seguridad cibernética”. 7

Las responsabilidades de seguridad de la información en Equifax se habían dividido entre dos

cadenas de mando diferentes. El primero de ellos fue la cadena de mando legal/de seguridad. Aquí, el
director legal (CLO, por sus siglas en inglés) supervisó a la OSC, que administraba el grupo de seguridad,
que comprendía entre 180 y 190 empleados al momento de la violación. En el momento de la violación,
el CLO John Kelley, carecía de experiencia en TI o seguridad y había estado en el cargo desde el 2013. El
CSO era Susan Mauldin, una ex ingeniera de software que hizo la transición para administrar los sistemas
de seguridad de la información corporativa algunos años antes para unirse a Equifax. La segunda cadena
de mando se ocupó de la tecnología de la información (TI). Estaba encabezado por el director de
información (CIO, por sus siglas en inglés), David Webb. Este último se unió a Equifax en el 2010 después
de tres décadas de trabajar en TI. c Webb y Kelley informaron directamente al CEO, Richard Smith. 8

Webb describió la división de responsabilidades entre la seguridad y las organizaciones de TI de la

siguiente manera:

Típicamente, la forma en que el trabajo se separaba entre las organizaciones, la

organización de seguridad definiría el "qué". Tenían una función de ingeniería de
seguridad. Los técnicos de TI fueron responsables de implementar la tecnología que
[seguridad] quería en la infraestructura, y luego [a seguridad] se les proporcionaría la
capacidad de configurar el software, toda la solución [sic], el dispositivo, lo que sea, de
acuerdo con sus necesidades. 9

Y continuó:

La política se definió típicamente dentro de la organización de seguridad…La

organización de TI sería responsable de garantizar que, en el caso, por ejemplo, de un
parche, se aplique el mismo. Porque la organización de seguridad no pudo efectuar
cambios en la infraestructura directamente. Podían operar software, pero no podían
instalar el software y no podían cambiar la infraestructura”. 10

Además de estos ejecutivos, Graeme Payne, vicepresidente senior y CIO de plataformas

corporativas globales (de julio del 2014 a octubre del 2017, anteriormente vicepresidente de
cumplimiento y riesgo de TI de Equifax desde marzo del 2011), supervisó importantes funciones de
ciberseguridad en Equifax. Payne informó a Webb, el CIO, y fue responsable de supervisar la "gestión
de acceso, la coordinación de auditoría y la coordinación de seguridad de TI" en el momento de la
infracción. 11

Varios equipos se ocuparon de problemas de ciberseguridad en Equifax. Entre ellos estaban el equipo
de Global Threat y Vulnerability Management (GTVM), el equipo de Evaluación de Vulnerabilidad y el

c Mauldin y Webb renunciaron en septiembre de 2017, tras las consecuencias de la violación.

This document is authorized for use only in Erick Leonardo Izaguirre Ardon's Seguridad de la Información. at UNITEC Business School from Jun 2020 to Jun 2020.
 120-S13 Violación de datos Equifax

equipo de Contramedidas. El equipo de GTVM rastreó las amenazas a la seguridad de los sistemas de TI
y notificó al personal relevante de toda la compañía sobre dichas amenazas a través de correos
electrónicos y reuniones mensuales. El equipo de Evaluación de Vulnerabilidad realizó exploraciones
periódicas de los sistemas de TI en busca de vulnerabilidades; y el equipo de Contramedidas implementó
un código diseñado para obstruir la explotación de vulnerabilidades continuas, mientras que los
"propietarios del sistema" de TI instalaron parches para resolver los problemas de software subyacentes. 12

Problemas de seguridad anteriores

Antes de la violación en el 2017, Equifax había sufrido varias fallas de seguridad. Entre abril del
2013 y enero del 2014, los piratas informáticos accedieron a los datos del informe de crédito. En el 2015,
un "error técnico" aparentemente causado por modificaciones de software expuso públicamente la
información del consumidor. En el 2016, otro incidente expuso los datos de salarios e impuestos de
431,000 empleados del cliente Kroger. Finalmente, en febrero del 2017, Equifax descubrió que los
piratas informáticos estaban explotando Equifax Workforce Solutions, descargando documentos de
impuestos de empleados de clientes como Northrop Grumman y Whole Foods. La empresa contrató a
la empresa de ciberseguridad Mandiant para investigar el incidente de Workforce Solutions en marzo.
Mientras realizaba su investigación, Mandiant "advirtió a Equifax que sus sistemas no parcheados y
sus políticas de seguridad mal configuradas podrían indicar problemas importantes". 13

Equifax había recibido otras advertencias sobre posibles vulnerabilidades de ciberseguridad. En

diciembre del 2016, un investigador independiente descubrió que Equifax había dejado la información
del consumidor expuesta en un sitio web accesible para cualquier usuario de Internet (aparentemente
destinado solo a los empleados). El investigador alertó sobre la vulnerabilidad, pero la compañía no
eliminó el sitio web hasta junio del 2017. Equifax también contrató a la firma de servicios profesionales
Deloitte para realizar una auditoría de seguridad en el 2016. La auditoría identificó varios problemas,
incluido, dijo un ex empleado: "un enfoque descuidado para los sistemas de parches". Otro ex
empleado dijo que los intentos de realizar la auditoría no fueron atendidos: "cada vez que hubo una
discusión sobre hacer algo, tuvimos un momento difícil para que la gerencia entendiera lo que incluso
pedíamos". 14

Varias empresas de análisis de riesgos cibernéticos habían descubierto previamente, que Equifax
estaba mal preparado para prevenir y responder a una violación de datos. En abril del 2017, Cyence, una
empresa de seguridad cibernética especializada en cuantificar el impacto financiero de los riesgos
cibernéticos, evaluó una probabilidad del 50 por ciento de que Equifax experimentara una violación en
el siguiente año y descubrió que las medidas de seguridad cibernéticas de la compañía eran las últimas
en un grupo de pares de 23 empresas de servicios financieros. Otros informes identificaron problemas
con la higiene de datos. Fair Isaac Corp. (FICO), que analizó el riesgo cibernético corporativo con fines de
suscripción de seguros, asignó a Equifax una calificación de seguridad empresarial de alrededor de 550
en una escala de 300 a 850 y descubrió que los sitios web públicos administrados por la empresa "tenían
certificados caducados, errores en el cadena de certificados u otros problemas de seguridad web” en julio
del 2017. En una escala de A-F, siendo F lo peor, BitSight Technologies, una firma de investigación de
seguridad cibernética, le otorgó a Equifax una calificación F para seguridad de aplicaciones y una D para
parcheo de software. 15

El equipo de investigación de ESG de MSCI fue especialmente crítico con la preparación de seguridad
cibernética de Equifax, otorgando a la compañía una calificación de cero para la privacidad y seguridad
de datos en abril del 2017; y una calificación general de ESG de CCC (su calificación más baja posible,
otorgada a solo el cinco por ciento de las empresas). d Específicamente, MSCI señaló: "Las políticas de

d MSCI calificó a otras compañías en el grupo de pares de Equifax con un puntaje de 9.5 sobre 10 en privacidad y seguridad de
datos.

This document is authorized for use only in Erick Leonardo Izaguirre Ardon's Seguridad de la Información. at UNITEC Business School from Jun 2020 to Jun 2020.
 Violación de datos Equifax 120-S13

privacidad y de datos de la compañía tenían un alcance limitado y Equifax no mostraba evidencia de

planes de violación de datos o auditorías regulares de sus políticas y sistemas de seguridad de la
información". Debido a que todos los ingresos de Equifax se basaron en el uso de datos personales, MSCI
creía que esto exponía a la compañía a serios riesgos regulatorios. 16

La vulnerabilidad de Apache Struts

A principios de marzo del 2017, un investigador de ciberseguridad descubrió una falla de seguridad
en Apache Struts, un software de código abierto utilizado por organizaciones que van desde bancos
hasta agencias gubernamentales, para crear aplicaciones web en Java. El investigador proporcionó sus
hallazgos a la Fundación Apache, la organización sin fines de lucro responsable de mantener y
actualizar el software, que publicó los hallazgos de la investigación y un parche de software para el
problema el 6 de marzo. 17 Los investigadores de Cisco Systems enviaron una advertencia sobre la
vulnerabilidad el 8 de marzo. 18

La vulnerabilidad era especialmente peligrosa porque era accesible a través de dos exploits
disponibles públicamente. Los piratas informáticos podrían simplemente buscar servidores que
ejecuten Apache Struts que aún no se hayan parcheado, y al identificar dichos servidores, intentar
explotar la debilidad. Una vez que se ejecutara un exploit, el pirata informático podría agregar su
propio código a las páginas web, desactivar los firewalls e instalar malware con su dirección IP
enmascarada para evitar el rastreo. 19 Este proceso tampoco fue especialmente difícil. Una investigación
del Senado descubrió que "las personas con conocimientos básicos de informática, no solo piratas
informáticos expertos, podían seguir las instrucciones publicadas y aprovechar la vulnerabilidad". 20

La popularidad del software y la gravedad de la vulnerabilidad llevaron al Equipo de Preparación

para Emergencias Informáticas (CERT, por sus siglas en inglés) del Departamento de Seguridad
Nacional de EE. UU. a alertar a las partes potencialmente vulnerables, también el 8 de marzo. 21 Entre
los notificados estaban el equipo GTVM de Equifax y Mauldin, su OSC. Equifax usó Apache Struts
como middleware para su Sistema Automatizado de Entrevistas al Consumidor (ACIS, por sus siglas
en inglés), un portal web que permitía a los consumidores disputar artículos en sus informes de
crédito. 22

El 9 de marzo, el equipo de GTVM distribuyó la notificación de CERT a aproximadamente 430

empleados de Equifax en los servidores de listas relevantes. Según las políticas internas, el parche
Apache Struts era "crítico" y, por lo tanto, debía implementarse dentro de las 48 horas posteriores a su
lanzamiento. 23 Sin embargo, en palabras de Smith, "La versión vulnerable de Apache Struts dentro de
Equifax no fue identificada o parcheada en respuesta a la notificación interna del 9 de marzo". 24

Si bien la vulnerabilidad se discutió con cierta profundidad en la reunión mensual de amenazas del
equipo de GTVM, el 16 de marzo del 2017, la mayoría de los gerentes senior de Equifax con
responsabilidades de seguridad cibernética generalmente no asistían a estas reuniones. No se requería
que nadie asistiera a ellos, y la compañía no registró qué empleados eligieron asistir. Muchos empleados
recibieron la presentación de diapositivas presentada en la reunión por correo electrónico, que incluía el
parche Apache Struts en una lista de parches de software necesarios, así como una lista de las versiones
comprometidas e instrucciones específicas que explicaban cómo actualizarlos. Debido a que las
vulnerabilidades antiguas generalmente no se incluyeron en las diapositivas GTVM de los meses
posteriores, la vulnerabilidad Apache Struts estaba ausente de la lista de parches necesarios de abril del
2017. 25

Como medida provisional antes de reparar una vulnerabilidad, los responsables de la seguridad de un
sistema vulnerable a menudo instalaban firmas y reglas para identificar y obstruir los esfuerzos para
explotar la vulnerabilidad en cuestión. En Equifax, la instalación de tales firmas y reglas fue manejada por

This document is authorized for use only in Erick Leonardo Izaguirre Ardon's Seguridad de la Información. at UNITEC Business School from Jun 2020 to Jun 2020.
 120-S13 Violación de datos Equifax

el equipo de contramedidas. Para el día en que el equipo de GTVM recibió la alerta de CERT sobre la
vulnerabilidad, dos proveedores de inteligencia de amenazas diferentes ya habían lanzado firmas
diseñadas para defenderse de ataques relacionados, pero debido a problemas técnicos, este equipo tardó
hasta el 14 de marzo en instalarlas. El día que se instalaron estas firmas en los sistemas Equifax, bloquearon
un "número significativo" de intentos de infiltrarse en la red de la compañía a través de la vulnerabilidad
Apache Struts. Posteriormente, tanto el equipo de Evaluación de Vulnerabilidad de Equifax como su equipo
de GTVM realizaron escaneos de los sistemas de la compañía en busca de versiones vulnerables de Apache
Struts, y ninguno de los escaneos del equipo arrojó ningún resultado. 26

El incumplimiento
Los piratas informáticos que exploraron la vulnerabilidad sin parches la descubrieron en un
servidor Equifax el 10 de marzo. A partir de ahí, un "equipo de entrada" violó a Equifax utilizando la
vulnerabilidad Apache Struts antes de pasar la operación a un equipo más sofisticado, que trabajó
durante los siguientes meses para establecer acceso a docenas de bases de datos Equifax (ver Anexo 1
para una explicación técnica del hack). El nuevo equipo creó más de 30 ingresos falsos en los sistemas
de Equifax utilizando shells de web registrados en direcciones de Internet únicas (lo que aumenta la
dificultad de encontrarlos a todos). 27 A partir del 13 de mayo, los piratas informáticos comenzaron a
recopilar información de identificación personal (PII, por sus siglas en inglés).

Los hackers continuaron acumulando PII de los servidores de Equifax hasta mediados del verano.
En la tarde del 29 de julio, el equipo de Contramedidas de Equifax actualizó 74 certificados de Capa de
sockets seguros (SSL, por sus siglas en inglés) en una variedad de aplicaciones diferentes, incluido el
portal ACIS. Los certificados SSL eran un componente clave de un protocolo de seguridad que permitía
el intercambio de datos cifrados entre navegadores web y servidores. Por lo general, los certificados
debían renovarse entre cada 12 y 39 meses para mantenerse activos, y en años anteriores, Equifax había
permitido que cientos de ellos caducaran en su red. La actualización del certificado ACIS reactivó un
"dispositivo de visibilidad SSL", que permitió al equipo de Contramedidas monitorear el tráfico en el
portal ACIS. Cuando el dispositivo de visibilidad SSL fue reactivado, mostró tráfico ACIS desde una
dirección IP en China. Esto saltó al equipo de Contramedidas porque Equifax no operaba en China. De
inmediato bloquearon la dirección IP. Al día siguiente, notaron tráfico adicional desde otra dirección
IP asociada con una entidad china y decidieron desconectar el portal de ACIS, lo que impidió el acceso
de los piratas informáticos. 28

Cuando Equifax descubrió la extensión de la violación, cerró por completo su portal de disputas
durante 11 días mientras su personal de seguridad cibernética trabajaba para identificar cada punto de
entrada. Webb, el CIO, informó a Smith de la actividad sospechosa el 31 de julio, pero Webb no dejó
en claro que la PII había sido robada en ese momento. El 2 de agosto, Equifax contrató al bufete de
abogados King & Spalding LLP, así como a Mandiant, para investigar la violación y denunció la
actividad sospechosa en su red a la Oficina Federal de Investigaciones (FBI, por sus siglas en inglés) de
EE. UU. 29

El 11 de agosto, la investigación de Equifax y Mandiant descubrió que los piratas informáticos

habían podido ir más allá de los datos contenidos en el portal de disputas y "podían haber accedido a
una tabla de la base de datos que contenía una gran cantidad de PII del consumidor, y potencialmente
a otras tablas de datos". Smith fue informado que la PII del consumidor había sido robada el 15 de
agosto. En una presentación de inversionistas al día siguiente, Smith no mencionó nada sobre la
investigación en curso o la posible violación. El 17 de agosto, celebró una reunión de altos directivos
para recibir una "sesión informativa detallada" sobre la investigación; y el 22 de agosto, notificó por
primera vez a un miembro de la junta, el director principal Mark Feidler, sobre la violación. La junta
completa fue informada a través de reuniones telefónicas el 24 y 25 de agosto. Smith dijo: “el 1 de
septiembre, convoqué una reunión de la Junta donde discutimos la magnitud de la violación y lo que

This document is authorized for use only in Erick Leonardo Izaguirre Ardon's Seguridad de la Información. at UNITEC Business School from Jun 2020 to Jun 2020.
 Violación de datos Equifax 120-S13

aprendimos hasta ahora, y señaló que la compañía continuaba investigando.” El equipo de

investigación de Equifax finalizó su lista inicial de las 143 millones de personas que se creía afectadas,
el 4 de septiembre. 30

Los piratas informáticos obtuvieron nombres, números de Seguro Social, fechas de nacimiento y
direcciones para cada uno de esos 143 millones de personas, y para un número menor, direcciones de
correo electrónico, números de licencia de conducir, números de tarjeta de crédito, números de
pasaporte, información de identificación fiscal y documentos de disputas de reportes crediticios. 31

Fuentes de vulnerabilidad dentro de Equifax

Controles internos y el proceso de gestión de parches
Durante su testimonio ante el Congreso, Smith culpó a un solo empleado por no implementar el
parche de software, sugiriendo que la vulnerabilidad no se había solucionado porque un gerente había
descuidado reenviar un correo electrónico de advertencia. En una entrevista con investigadores del
Congreso, Graeme Payne expresó su creencia de que Smith se refirió a él. Payne luego disputó la
caracterización de Smith, diciendo:

Para afirmar que un vicepresidente senior de la organización debe enviar información

de alerta de vulnerabilidad a las personas. . . una especie de tres o cuatro capas en la
organización en cada alerta simplemente no retiene el agua, no tiene ningún sentido. Si
ese es el proceso en el que la empresa tiene que confiar, entonces ese es un problema. 32

Payne no creía que fuera su trabajo pasarle el correo electrónico de GTVM a nadie. Afirmó que
nunca recibió instrucciones de reenviar correos electrónicos de este tipo, y creía que había recibido el
correo electrónico "con fines informativos". 33 También señaló que la responsabilidad de resolver las
vulnerabilidades de software en Equifax estaba determinada por la política de gestión de parches de
la compañía. La política de administración de parches designó tres roles diferentes en la
implementación de parches de software. El "dueño del negocio" fue el encargado de determinar cuándo
los sistemas implicados debían desconectarse para poder repararlos. El "propietario del sistema" fue
acusado de parchear el software en cuestión, y el "propietario de la aplicación" se encargó de asegurarse
de que el software había sido reparado. Los informes del Congreso diferían sobre si los ocupantes de
estos roles estaban designados formalmente, pero como mínimo, tales designaciones eran "ambiguas".
Por su parte, Payne estaba bastante seguro de que no era uno de ellos, y no creía que fuera su
responsabilidad de notificar a los propietarios del sistema y los propietarios de la aplicación bajo su
supervisión de la vulnerabilidad porque la política de administración de parches requería que todos se
suscribieran a "boletines de distribución de vulnerabilidades", incluido el boletín publicado por
CERT. 34

Como el CIO y CSO de la compañía testificaron ante el Congreso, "No hubo redundancias dentro
del proceso de parcheo para garantizar que las personas adecuadas fueran notificadas de la necesidad
de iniciar tal acción". Una auditoría interna Equifax realizó su infraestructura de administración de
parches en el 2015, y concluyó que todo el proceso tuvo lugar en "el sistema de honor". 35

Esa auditoría interna del 2015 identificó una serie de problemas importantes con el proceso de
administración de parches de Equifax (lo que resultó en una acumulación de 8,500 vulnerabilidades
sin parches), y en el 2017, muchos de esos problemas quedaron sin resolver. De hecho, cuando en
agosto del 2017, Equifax investigó fallas de seguridad en su sistema ACIS, tres de las seis fallas que
identificó también se habían planteado en la auditoría de gestión de parches del 2015. Uno de estos tres
de particular importancia fue la falta de un inventario integral de sus activos de TI. Aunque la

This document is authorized for use only in Erick Leonardo Izaguirre Ardon's Seguridad de la Información. at UNITEC Business School from Jun 2020 to Jun 2020.
 120-S13 Violación de datos Equifax

compañía tenía varios inventarios diferentes, estaban dispersos en diferentes divisiones dentro de la
organización, y ninguno de ellos era exhaustivo. Esto dejó al personal de seguridad de Equifax y al
propio Payne, que estaba a cargo de TI para el sistema ACIS, sin saber que este ejecutó Apache Struts
hasta julio del 2017. 36

Otra falla identificada en la auditoría del 2015 que no se había abordado completamente en el 2017 fue
que el enfoque de Equifax para la aplicación de parches fue reactivo en lugar de proactivo. Esto
significaba que, en lugar de instalar todos los parches de software lanzados para los programas que usaba,
solo instaló los parches de software que se demostró que eran necesarios para abordar vulnerabilidades
específicas. Según la auditoría del 2015, esto creó un retraso en la instalación de parches críticos: solo se
instalaron después de que ya había quedado claro que no instalarlos ponía en peligro la seguridad de los
sistemas de la compañía, dejando esos sistemas expuestos en el ínterin. Además, la auditoría encontró
que Equifax no tenía un sistema establecido para verificar que las vulnerabilidades identificadas, de
hecho, habían sido reparadas con éxito. Aunque la compañía realizó análisis regulares para identificar
vulnerabilidades, esos análisis eran imperfectos y, en general, no estaban sujetos a escrutinio. En
consecuencia, si una vulnerabilidad dejaba de aparecer en los resultados del escaneo, Equifax asumía que
se había abordado adecuadamente, aunque en algunos casos no lo había hecho. Además, el proceso de
administración de parches no pudo priorizar parchear los activos tecnológicos "críticos" en lugar de
parchear los activos tecnológicos menos importantes, permitiendo tiempos de retraso más largos de lo
necesario para la implementación de parches esenciales. Los investigadores del Senado descubrieron que
todos estos defectos persistieron durante el tiempo de la violación. 37

Los empleados de Equifax identificaron tres razones para las debilidades en la administración de
parches. Primero, debido a que, como compañía, había crecido durante muchos años al adquirir otras
compañías, sus sistemas tecnológicos no estaban bien integrados entre sí, lo que dificultaba ciertos
análisis y actualizaciones de seguridad en todo el sistema. En segundo lugar, muchos de los activos
tecnológicos clave se ejecutaron en sistemas anticuados que tendrían que haberse actualizado para que
la empresa cumpliera sus propios objetivos con respecto a la seguridad de la información, pero la
actualización de estos sistemas fundamentales "conduciría a un riesgo operacional significativo".
Tercero, simplemente no tenía el personal necesario para implementar las tecnologías y procesos que
serían necesarios para cumplir con esos objetivos de seguridad interna (consulte el Anexo 2 para una
comparación de los procedimientos de ciberseguridad de Equifax con sus competidores). 38

La "brecha de rendición de cuentas" en la estructura organizativa

Una investigación del Congreso encontró que parte de la razón por la cual Equifax carecía de un
inventario consolidado de activos de TI estaba relacionada con la forma en que organizaba su personal
y seguridad. Hasta el 2005, el CSO informaba a su CIO, quien informaba al CEO, como es la práctica
entre un cuarto y la mitad de las empresas con dichos puestos. Esta estructura integraba TI y seguridad
bajo una cadena de comando unificada y era entendido, incluso por el CIO de Equifax en el momento
de la violación, como una mejor práctica de la industria. Si el CSO no informaba al CIO, la otra
estructura común en las grandes empresas era que el CIO y el CSO fueran puestos de igual estatus que
ambos informaban directamente al CEO y al consejo de administración. Sin embargo, en el 2005,
estimulado por un conflicto interpersonal entre su CIO y CSO (ambos habían dejado la compañía en el
2013), Equifax retiró su unidad de seguridad de la información de la supervisión del CIO y, en su lugar,
la colocó bajo la supervisión del CLO de la compañía, lo que convertía a este rol en el "jefe de
seguridad", una estructura que solo se emplea en alrededor del ocho por ciento de las empresas con
tales cargos. 39

Según la investigación, esta división entre la seguridad y las organizaciones de TI creó una "brecha
de responsabilidad" en la infraestructura de seguridad de la información de Equifax. 40 El informe del
Comité de la Cámara identificó el problema de la siguiente manera:

This document is authorized for use only in Erick Leonardo Izaguirre Ardon's Seguridad de la Información. at UNITEC Business School from Jun 2020 to Jun 2020.
 Violación de datos Equifax 120-S13

Dependiendo de la estructura de informes organizacionales, una empresa adopta los

roles de CSO y CIO puede ser conflictiva o complementaria. En Equifax, las
organizaciones de TI y Seguridad estaban aisladas, lo que significaba que la información
rara vez fluía de un grupo a otro. La colaboración entre ambos departamentos se produjo
principalmente cuando era necesario, como cuando Seguridad necesitaba TI para
autorizar un cambio en la red. La comunicación y coordinación entre estos grupos fue a
menudo inconsistente e ineficaz en Equifax. 41

En abril del 2016, una reestructuración interna de la organización de TI condujo al establecimiento de

reuniones mensuales entre los líderes de TI y Seguridad. Estas reuniones tenían como objetivo mejorar
los problemas de comunicación y coordinación que habían afectado la relación de las dos divisiones. A
ellos asistieron Webb, Payne, Mauldin y Kelley, entre otros. Aunque Payne testificó que las
vulnerabilidades clave implicadas en la violación de datos (como problemas con la administración de
parches y la implementación de certificados digitales) se discutieron durante las reuniones, no se
resolvieron a tiempo para defenderse de los ataques de Apache Struts. 42

Del mismo modo, las reuniones trimestrales de liderazgo senior de Smith tampoco pudieron
compensar la ausencia de "líneas claras de responsabilidad para desarrollar políticas de seguridad de TI
y ejecutar estas políticas". Debido a Mauldin, la CSO, no fue considerada miembro del liderazgo superior,
y por tanto, no asistía a las reuniones. Esto significaba que Smith no recibió actualizaciones periódicas
sobre el estado de las preocupaciones de seguridad en Equifax. En la medida en que las preocupaciones
de seguridad estuvieron representadas en estas reuniones, estuvieron representadas por la CLO, quien,
como se mencionó anteriormente, no tenía experiencia ni capacitación en seguridad de la información. 43

Barreras tecnológicas para la supervisión efectiva

Según un informe del Congreso, el principal obstáculo final para la supervisión efectiva de la
seguridad de la información en Equifax fue que su tecnología anticuada dificultaba que los equipos de
TI y seguridad de la compañía identificaran y abordaran actividades potencialmente maliciosas en sus
servidores. El sistema ACIS a través del cual los piratas informáticos Apache Struts obtuvieron acceso
a la red de Equifax, por ejemplo, se remontaba a la década de 1970, cuando fue creada a medida para
que la empresa cumpliera con la Ley de Informes de Crédito Justos. El informe descubrió además que,
debido a su antigüedad y su naturaleza propietaria, el sistema ACIS era "extremadamente difícil de
parchar, monitorear o actualizar". De hecho, las únicas personas que eran capaces de mantener el
sistema eran un puñado de sus desarrolladores originales, quienes afortunadamente todavía
trabajaban para Equifax en el 2017, pero no quedaban muchos. 44

Los investigadores del Congreso concluyeron que, en parte debido a estas dificultades, la
infraestructura tecnológica de Equifax carecía de tres características de seguridad bastante estándar
que, de haber estado actualizados, habrían hecho que la violación fuera mucho más fácil de detectar y
remediar. Primero, el sistema ACIS en particular carecía de procesos de monitoreo de integridad de
archivos (FIM, por sus siglas en inglés). Los procesos de FIM escaneaban en busca de alteraciones no
autorizadas o sospechosas en los sistemas de TI, configuraciones o archivos de software de aplicación,
lo que permitía la detección rápida de la gran mayoría de las estrategias comunes de ataque cibernético.
Los expertos creen que si Equifax hubiera implementado procesos FIM en el 2017, habría detectado la
violación antes de que se robara una cantidad significativa de datos. Mauldin, el CSO, no sabía que el
sistema ACIS carecía de FIM hasta después de que se descubrió la violación. 45

En segundo lugar, los servidores web de Equifax solo retuvieron los archivos de registro de 30 días
previos, mientras que el Instituto Nacional de Estándares y Tecnología recomendó que las compañías
retengan los registros que se remontaban al menos tres meses (y hasta un año, en algunos casos). Los
archivos de registro mostraron la actividad en una red, lo que permitía a los investigadores regresar

This document is authorized for use only in Erick Leonardo Izaguirre Ardon's Seguridad de la Información. at UNITEC Business School from Jun 2020 to Jun 2020.
 120-S13 Violación de datos Equifax

después de una presunta violación e identificar con precisión qué sistemas e información se vieron
comprometidos. También facilitaron la determinación de cómo los piratas informáticos obtuvieron
acceso a una red, permitiendo a los profesionales de seguridad eliminar más rápidamente las
vulnerabilidades y las puertas traseras. Los expertos en seguridad de la información descubrieron que
los "ataques avanzados dirigidos" a las redes de empresas del sector financiero solo se detectaron
después de, en promedio, 98 días, por lo que mantener los archivos de registro durante al menos ese
tiempo se consideraba crucial. 46

En tercer lugar, Equifax no contaba con un proceso para garantizar que los certificados SSL en todos
sus sistemas estuvieran constantemente actualizados. En el momento de la infracción, Equifax estaba
a mitad de la implementación de un nuevo sistema de administración de certificados SSL que habría
rastreado el estado de este tipo de certificados en la red de la compañía en todas las aplicaciones, lo
que permitía un análisis regular de toda la red en busca de certificados caducados. Hasta ese momento,
sin embargo, la responsabilidad de mantener cada certificado SSL individual recaía en el miembro del
personal de TI responsable de la aplicación correspondiente. Esto había llevado a una importante
acumulación de certificados vencidos. 47

Muchos de los certificados SSL caducados de Equifax eran parte de "dispositivos de visibilidad SSL"
(SSLV, por sus siglas en inglés), que, cuando estaban activos, supervisaban el tráfico cifrado dentro y
fuera de la red de la empresa. Estos dispositivos se configuraron para continuar permitiendo el tráfico
continuo incluso cuando no podían monitorearlo debido a los certificados caducados. Como resultado,
una vez que el certificado SSLV del sistema ACIS expiró en el 2016, Equifax no tuvo la capacidad de
monitorear el tráfico web dentro o fuera de ACIS hasta después de la infracción. Esto significó que
cuando en julio del 2017, los expertos en seguridad cibernética comenzaron a tratar de determinar
cuánto daño habían hecho los piratas informáticos, carecían de los registros de actividad del servidor
necesarios para resolverlo. Equifax sabía de esta vulnerabilidad en sus sistemas ya en enero del 2017,
cuando se creó un registro de seguridad interno que decía: "Los dispositivos SSLV no tienen
certificados, lo que limita la visibilidad de los ataques basados en la web", pero el problema no se
resolvió. A mediados del 2017, había al menos 324 certificados SSL caducados en la red de Equifax, y
79 de ellos estaban ubicados en sistemas que "supervisaban dominios muy críticos para el negocio". 48

Además, una vez que los piratas informáticos se infiltraron en el sistema de Equifax a través del
portal ACIS, pudieron moverse libremente a través de su red "a cualquier otro dispositivo, base de
datos o servido. . . globalmente", porque los servidores que alojaban el sistema ACIS no estaban
segmentados del resto de la red de Equifax. Aunque la empresa afirmó a los investigadores del Senado
que esta fue una elección deliberada para aumentar la eficiencia operativa, la investigación del Senado
concluyó que para que el sistema funcionara correctamente, solo habría requerido conexiones a tres
bases de datos externas. En cambio, estaba conectado a un número mucho mayor. Mauldin admitió
ante el Comité de la Cámara de Representantes que la segmentación apropiada habría reducido la
gravedad de la violación de datos, y tanto ella como Payne confesaron que no habían sido conscientes
de la falta de segmentación hasta que se descubrió la violación. 49

Los servidores también permitieron a los usuarios acceder a archivos confidenciales de

administrador y configuración desde fuera del sistema. Al igual que la falta de segmentación, la
investigación de la Cámara encontró que esto era un alejamiento sustancial de las mejores prácticas
consensuadas en ciberseguridad. Como explicaba el informe de la Cámara, "Si Equifax tuviera acceso
limitado a archivos confidenciales en todos sus sistemas, los atacantes podrían no haber encontrado las
credenciales de la aplicación almacenada utilizadas para acceder a las bases de datos confidenciales
fuera del entorno ACIS". 50

10

This document is authorized for use only in Erick Leonardo Izaguirre Ardon's Seguridad de la Información. at UNITEC Business School from Jun 2020 to Jun 2020.
 Violación de datos Equifax 120-S13

Anuncio y respuesta de incumplimiento de Equifax

El 7 de septiembre del 2017, Equifax anunció públicamente que había sufrido una violación de datos
al exponer información personal de 143 millones de estadounidenses (consulte el Anexo 3 para el
comunicado de prensa inicial de Equifax y el Anexo 4 para una comparación de los retrasos en la
divulgación de incumplimiento en todas las empresas). Equifax anunció que había establecido un sitio
web para ayudar a los consumidores a determinar si estaban afectados por la violación y que había
contratado a Mandiant para ayudarlo a evaluar el impacto del ataque. 51 Smith dijo: "Si bien hemos
realizado importantes inversiones en seguridad de datos, reconocemos que debemos hacer más. Y lo
haremos". 52 El precio de las acciones de Equifax cayó de un máximo de $ 143 antes del anuncio de
incumplimiento el 7 de septiembre, a $ 93 aproximadamente una semana después, el 15 de septiembre,
una disminución de alrededor del 35 por ciento.

Ese mismo día, se supo que el Director Financiero (CFO, por sus siglas en inglés) de Equifax, el
presidente de soluciones de información de EE. UU. y el presidente de soluciones de fuerza laboral
habían vendido alrededor de $ 1.8 millones en acciones el 1 y 2 de agosto. Una portavoz de Equifax
dijo que los tres no tenían conocimiento de la violación. 53

Equifax tomó varias medidas para proteger a los consumidores afectados por el incumplimiento,
incluyendo: “1) monitoreo de los archivos de crédito por parte de las tres agencias de crédito; 2)
bloqueo de crédito; 3) informes de crédito; 4) seguro de robo de identidad; y 5) Escaneo del número de
Seguro Social "dark web" durante un año". 54 Estos servicios, parte del servicio TrustedID Premier de
Equifax, se pusieron a disposición de todos los consumidores estadounidenses de forma gratuita
durante un año. 55

A pesar de los esfuerzos de la compañía, la respuesta a la violación de Equifax exhibió errores

significativos. Por ejemplo, después de que la compañía creó un sitio web que proporcionaba
información sobre la violación de un dominio único: equifaxsecurity2017.com, un desarrollador web
creó un sitio de aspecto similar en securityequifax2017.com para ilustrar el riesgo de seguridad que
representaba un dominio único. Esto confundió incluso la cuenta oficial de Twitter de Equifax, que
dirigió a los consumidores al sitio web falso (ver los Anexos 5 y 6 para los sitios web de seguridad
reales y simulados de Equifax). 56

El sitio web en sí tenía varios problemas. Un informe preparado por la Oficina de la Senadora
Elizabeth Warren encontró:

El sitio web se configuró para ejecutarse en una instalación estándar de WordPress, que
no incluía las características de seguridad necesarias para proteger la información
confidencial que los consumidores enviaron, y que el certificado de Seguridad de la capa
de tráfico del sitio web tampoco realizó las verificaciones de revocación adecuadas, lo que
habría asegurado que se estableciera una conexión segura y protegiera los datos de un
usuario. Y luego, el 12 de octubre, Equifax se vio obligada a eliminar una página web
donde las personas podían aprender cómo obtener un informe de crédito gratuito cuando
un analista de seguridad informó que los visitantes del sitio fueron blanco de anuncios
emergentes maliciosos. 57

Los consumidores también estaban frustrados por la dificultad de contactar a Equifax.

Inmediatamente después de la violación, la compañía tenía alrededor de 500 representantes de servicio
al cliente en el personal, lo que lo obligó a contratar rápidamente a otros 2,000 en el mes posterior al
anuncio. 58 El Buró de Protección Financiera del Consumidor (CFPB, por sus siglas en inglés) reportó
más de 7,500 quejas en los dos meses siguientes relacionadas con llamadas caídas, largos tiempos de
espera y agentes de Equifax que no respondían las llamadas. 59

11

This document is authorized for use only in Erick Leonardo Izaguirre Ardon's Seguridad de la Información. at UNITEC Business School from Jun 2020 to Jun 2020.
 120-S13 Violación de datos Equifax

La controversia incluso rodeó la oferta de la compañía de monitoreo gratuito de archivos de crédito

y protección contra robo de identidad. Este servicio fue proporcionado por TrustedID, propiedad de
Equifax. Los críticos se quejaron de que el servicio solo era gratuito durante el primer año; después de
eso, se cobraría a los consumidores si no llamaran a TrustedID para cancelar su suscripción. Los críticos
se enfurecieron aún más porque la oferta de protección requería que aquellos que se inscribieran
aceptaran una cláusula de arbitraje obligatorio y vinculante que les impidiera demandar a Equifax,
incluso como parte de las demandas colectivas por daños causadospor la violación (ver Anexo 7 para
el texto de la cláusula de arbitraje inicial). 60 La cláusula provocó un alboroto por parte de los
consumidores y otros, incluido el Fiscal General del Estado de Nueva York, que se quejó de que los
términos del servicio eran "inaceptables e inaplicables". 61 En respuesta, Equifax agregó una explicación
a la sección de "preguntas frecuentes" sobre su incumplimiento en su sitio web el viernes 8 de
septiembre, señalando que la cláusula de arbitraje se aplicaba "a los productos de protección de robo
de identidad y monitoreo de archivos de crédito gratuitos, y no al incidente de seguridad cibernético". 62
Equifax finalmente retrocedió y eliminó la cláusula infractora, alegando que se había incluido por error
después de los términos de uso que fueron copiados de otros lugares. 63

Además de la cláusula de arbitraje, Equifax también generó indignación al cobrar inicialmente a los
consumidores por congelaciones de crédito, lo que evitaba que las agencias de crédito compartieran el
archivo de crédito del consumidor con terceros con los que el consumidor no tenía una relación
preexistente. Equifax redujo la tarifa de US$ 30.95 después de la protesta pública, proporcionando
congelaciones de crédito de forma gratuita, pero planeó reducirlas en el 2018 con la introducción de un
nuevo producto de "bloqueo de crédito". Estos movimientos llevaron a la crítica de los plazos limitados
en las medidas de protección al consumidor de Equifax. Los consumidores, según el argumento,
estarían en riesgo de robo de identidad durante años debido a la filtración de sus datos, mientras que
Equifax solo les estaba proporcionando herramientas gratuitas para evitar el robo de identidad durante
el próximo año. 64

Cada día parecía traer más revelaciones públicas sobre el alcance de la violación. Aunque Equifax
había afirmado inicialmente que los piratas informáticos violaron sus sistemas a mediados de mayo,
surgieron informes públicos el 18 de septiembre que detallaban la violación inicial en marzo (ver Anexo
8 para una línea de tiempo de la violación de Equifax). 65 Equifax afirmó que no había conexión entre
la violación de marzo y la de mayo. 66 El 2 de octubre, Equifax confirmó que la investigación de
Mandiant había descubierto 2.5 millones de personas adicionales afectadas por la violación. 67 El 10 de
octubre, Equifax anunció que habían robado los datos de la licencia de conducir a diez millones de
personas 68 y que habían robado información a 700,000 clientes del Reino Unido. 69 En febrero del 2018,
surgieron informes de que la información comprometida del consumidor había incluido números de
pasaporte, que Equifax no había revelado previamente. 70

Mientras tanto, la identidad y el motivo del grupo atacante seguían siendo un misterio. Algunos
investigadores sospecharon que un gobierno extranjero era el responsable final de la violación debido
a su similitud con los recientes ataques cibernéticos en el proveedor de seguros de salud Anthem, Inc.
y la Oficina de Administración de Personal de EE. UU. Sin embargo, la incertidumbre se mantuvo,
como Mandiant indicó en un informe a los clientes de Equifax a mediados de septiembre que no tenía
suficientes datos para identificar a los responsables. 71

El Consejo de Administración y su papel en la ciberseguridad

La junta de Equifax se enfrentó a un escrutinio significativo a raíz de la violación. La junta tenía 11
miembros (ver el Anexo 9 para el detalle de la junta de Equifax) con una tenencia promedio de 9.3 años,
por encima del promedio de S&P 500 de 8.2 años, con un director que había servido desde 1992. 72 Entre
las tres agencias de informes de crédito, Equifax era la única con un comité de tecnología separado con

12

This document is authorized for use only in Erick Leonardo Izaguirre Ardon's Seguridad de la Información. at UNITEC Business School from Jun 2020 to Jun 2020.
 Violación de datos Equifax 120-S13

el mandato de monitorear la seguridad cibernética (ver el Anexo 10 para el detalle del comité de
tecnología de Equifax). El comité de tecnología "revisaría las inversiones y la infraestructura
tecnológica de la compañía asociadas con la gestión de riesgos, incluidas las políticas relacionadas con
la recuperación de desastres de seguridad de la información y la continuidad del negocio". Tenía cinco
miembros y fue presidido por John A. McKinley, CEO del proveedor de servicios de atención senior
SaferAging Inc. McKinley había trabajado anteriormente como CTO de News Corporation, AOL
Technologies, Merrill Lynch y GE Capital Corporation. 73 Otro miembro, Mark Templeton, había
servido recientemente como CEO de la compañía de software de redes Citrix Systems.

La caída
Además de la fuerte caída en el precio de las acciones de la compañía, la violación también les costó
a varios ejecutivos su trabajo. Los CSO y CIO de Equifax renunciaron el 15 de septiembre. 74 Smith
renunció como CEO y presidente el 26 de septiembre y fue reemplazado por do Regos Barros como
CEO interino y el director Mark Feidler como presidente no ejecutivo. 75

La junta de Equifax reaccionó a los cargos de tráfico de información privilegiada por parte de los
tres ejecutivos que vendieron acciones en los días posteriores al descubrimiento de la violación y a las
denuncias de malversación por parte de la alta gerencia de la compañía. La junta anunció que estaba
considerando recuperar la compensación de Smith y Mauldin. 76 También formó un comité especial
para revisar las ventas de acciones y el papel de Kelley como CLO para aprobarlas. 77 El 26 de octubre,
la junta anunció que agregaría a Scott McGregor, ex CEO del fabricante de semiconductores Broadcom,
como director, y Feidler dijo que McGregor tenía "amplia experiencia en seguridad de datos,
ciberseguridad, tecnología de la información y gestión de riesgos". 78 Unas semanas más tarde, el 3 de
noviembre, la junta completó su revisión de las ventas de acciones, encontrando que los ejecutivos en
cuestión no sabían sobre la violación cuando hicieron sus intercambios. 79

La violación también condujo a docenas de demandas y consultas gubernamentales. El fiscal general

del estado de Nueva York anunció el 11 de septiembre que había iniciado una investigación formal. 80 La
Comisión Federal de Comercio lanzó su propia investigación el 14 de septiembre, 81 y el Fiscal General
de Massachusetts presentó una demanda el 19 de septiembre, 82 y el Fiscal de la Ciudad de San Francisco
lo hizo el 27 de septiembre. 83

Un senador estadounidense calificó la violación de Equifax como "uno de los ejemplos más atroces de
malversaciones corporativas desde Enron". 84 Otro inició una investigación sobre la violación, enviando
cartas a Equifax y a las otras dos principales agencias de informes de crédito, así como a varias agencias del
gobierno de los Estados Unidos. 85 Los funcionarios públicos fueron especialmente críticos con la falta de
transparencia de Equifax y su demora en notificar al público. 86 Un grupo de senadores presentó la Ley de
Explotación Freedom de Equifax, que "mejoraría los procedimientos de alerta de fraude y proporcionaría
acceso gratuito a congelaciones de crédito y para otros fines". 87

La violación tenía el potencial de cambiar por completo las operaciones de la industria de informes
crediticios. El director de la CFPB dijo que las tres principales agencias de informes enfrentarían un
"nuevo régimen" de regulación, con reguladores integrados en cada compañía para evitar nuevas
infracciones de la PII. Y dijo: “Tiene que haber un esquema de monitoreo preventivo en su lugar.
Tendrán que aceptar eso, darán la bienvenida, tendrán que ser muy comunicativos". 88

El 18 de octubre, Change to Win (CtW) Investment Group, un asesor de inversiones y un grupo de

activismo de accionistas afiliado a CtW, una federación de sindicatos estadounidenses que
representaban a 5,5 millones de miembros, envió una carta al presidente de Equifax, Mark Feidler,
criticando a la junta:

13

This document is authorized for use only in Erick Leonardo Izaguirre Ardon's Seguridad de la Información. at UNITEC Business School from Jun 2020 to Jun 2020.
 120-S13 Violación de datos Equifax

A pesar de estar en el negocio de recopilar, almacenar y comercializar datos

personales, la respuesta casual a la violación de datos indicaba que la Junta de Directores
no anticipó una preocupación central para las operaciones de la Compañía. Al hacerlo,
parece que la Junta y la gerencia pensaron poco en preservar el activo más importante de
Equifax: su reputación como agencia de informes de crédito. 89

CtW afirmó que el directorio de Equifax "descuidó comprender la materialidad de la violación de

datos tanto para los consumidores como para sus accionistas. El grupo presentó a la junta de Equifax
seis propuestas para mejorar la gobernanza y responsabilizar a los ejecutivos, incluida la remoción de
los presidentes de los comités de auditoría y tecnología, la separación permanente de los puestos de
CEO y presidente, y la consideración de acuerdos legales para determinar la compensación ejecutiva
(ver Anexo 11 para más información de la lista completa de las propuestas de CtW). CtW amenazó con
retirar el apoyo a la reelección de directores en la próxima reunión anual en caso de que Equifax no
implementara las propuestas. 90

Problemas de divulgación de incumplimiento

La violación trajo a la superficie críticas de larga data de las leyes de divulgación de violación de
datos de EE. UU. Transcurrieron aproximadamente seis semanas entre el momento en que Equifax
descubrió la violación por primera vez, y la primera vez que la compañía reveló la violación a los
consumidores. A raíz de la violación, los observadores cuestionaron si Equifax había violado las leyes
de divulgación al esperar tanto tiempo. Sin embargo, los requisitos de divulgación diferían de un
estado a otro. En algunos estados, se requirió la divulgación dentro de los 45 días posteriores al
descubrimiento, mientras que en otros, no se impuso un plazo específico, simplemente que las
empresas notificaran a los consumidores "lo antes posible". Algunos representantes del Congreso
propusieron proyectos de ley que crearían un plazo unificado de 30 días para alertar a los
consumidores. Algunos estados también buscaron mantener a Equifax para requisitos de divulgación
más estrictos, con Nueva York trabajando para aplicar las reglas de seguridad cibernética de su
institución financiera a las agencias de informes de crédito, exigiéndoles que alerten a los reguladores
estatales de una violación dentro de las 72 horas posteriores al descubrimiento. 91

Conclusión
En el trimestre posterior al anuncio de incumplimiento, las ganancias de Equifax cayeron un 27 por
ciento año tras año. Inmediatamente enfrentó casi $90 millones en costos relacionados con el
incumplimiento, 240 demandas de consumidores, investigaciones separadas por parte de la FTC,
CFPB, SEC y reguladores británicos y canadienses, y solicitudes de información sobre el
incumplimiento de los 50 fiscales generales de los Estados Unidos. 92 El daño a la compañía había sido
severo. Sin embargo, Equifax no estaba solo en el sufrimiento de la actividad cibernética maliciosa. A
lo largo del 2017, el FBI recibió informes de violaciones de datos de 3,785 víctimas corporativas
diferentes en los EE. UU. 93 Además, la compañía de TI Cisco descubrió que el 55 por ciento de las 3,548
organizaciones que encuestó para su estudio de referencia de capacidades de seguridad del 2018 habían
experimentado violaciones de datos en el 2017, al igual que el 80 por ciento de las organizaciones con
más de 50 proveedores. 94 Además, los piratas informáticos en grandes empresas generalmente no eran
triviales. El Consejo de Asesores Económicos del Presidente descubrió que, en promedio, las grandes
corporaciones que cotizaban en bolsa perdieron US$498 millones en capitalización bursátil por cada
ciberataque importante que sufrieron entre enero del 2000 y enero del 2017. 95 A la luz de esto, muchos
expertos preguntaron qué podría haber hecho Equifax de manera diferente para protegerse, otros se
preguntaban si Equifax fue realmente negligente o simplemente desafortunado.

14

This document is authorized for use only in Erick Leonardo Izaguirre Ardon's Seguridad de la Información. at UNITEC Business School from Jun 2020 to Jun 2020.
 Violación de datos Equifax 120-S13

Anexo 1 Explicación técnica del ataque preparado por el Comité de Supervisión y Reforma del
Gobierno de la Cámara de Representantes

Después de ingresar al entorno ACIS a través de la vulnerabilidad Apache Struts, los atacantes cargaron
los primeros shells web, que son scripts maliciosos cargados en un servidor comprometido para permitir el
control remoto de la máquina [...]. Los shells web pueden habilitar la manipulación del sistema de archivos
y la base de datos, facilitar la ejecución de comandos del sistema y proporcionar la capacidad de carga/
descarga de archivos. En esencia, un shell web proporciona una puerta trasera secreta para que un atacante
vuelva a entrar e interactúe con un sistema comprometido.
El entorno ACIS estaba compuesto por dos servidores web y dos servidores de aplicaciones, con firewalls
configurados en el perímetro de los servidores web. Los atacantes explotaron la vulnerabilidad Apache
Struts que se encontraba en los servidores de aplicaciones para evitar estos firewalls. Una vez dentro de la
red, los atacantes crearon shells web en ambos servidores de aplicaciones. Esto proporcionó a los atacantes
la capacidad de ejecutar comandos directamente en el sistema alojado en los servidores de aplicaciones. Se
utilizaron aproximadamente 30 proyectiles web únicos para realizar el ataque. Según Mandiant, el
monitoreo de integridad de archivos podría haber descubierto la creación de estos shells web al detectar y
alertar sobre cambios de red potencialmente no autorizados. Equifax no tenía el monitoreo de integridad de
archivos habilitado en el sistema ACIS en el momento del ataque.
Después de instalar los primeros shells web, los atacantes accedieron a un recurso compartido de
archivos montado que contenía credenciales de aplicación sin cifrar (es decir, nombre de usuario y
contraseña) almacenados en una base de datos de archivos de configuración [...]. El montaje es un proceso
mediante el cual el sistema operativo hace que los archivos y directorios en un dispositivo de
almacenamiento estén disponibles para acceso interno a través del sistema de archivos de la computadora.
Los atacantes podían acceder al recurso compartido de archivos porque Equifax no limitó el acceso a
archivos confidenciales en sus sistemas de TI heredados internos. Ayres declaró que el almacenamiento de
estas credenciales de esta manera era inconsistente con la política de Equifax.
Aunque la aplicación ACIS requería acceso a solo tres bases de datos dentro del entorno Equifax para
realizar su función comercial, la aplicación no estaba segmentada de otras bases de datos no relacionadas.
Como resultado, los atacantes utilizaron las credenciales de la aplicación para obtener acceso a 48 bases de
datos no relacionadas fuera del entorno de ACIS.
Los atacantes realizaron aproximadamente 9,000 consultas en estas bases de datos y obtuvieron acceso a
datos confidenciales almacenados [...]. Los atacantes consultaron los metadatos de una tabla específica para
descubrir el tipo de información contenida en la tabla. Una vez que los atacantes encontraron una tabla con
PII, realizaron consultas adicionales para recuperar los datos de la tabla.184 En total, 265 de las 9,000
consultas que los atacantes ejecutaron dentro del entorno Equifax devolvieron conjuntos de datos que
contenían PII. Ninguna PII contenida en estos conjuntos de datos se cifró en reposo.
Los atacantes almacenaron la salida de datos PII de cada una de las 265 consultas exitosas en archivos.
Los atacantes comprimieron estos archivos y los colocaron en un directorio web accesible. Luego, los
atacantes emitieron comandos a través de la herramienta Wget, una utilidad común del sistema que permitía
al usuario emitir comandos y recuperar contenido de los servidores web, para transferir los archivos de
datos fuera del entorno Equifax. Los atacantes utilizaron los shells web para filtrar algunos de los datos [...]
y aproximadamente 35 direcciones IP diferentes para interactuar con el entorno ACIS.

Fuente: Cámara de Representantes de los Estados Unidos: Comité de Supervisión y Reforma del Gobierno, “The Equifax Data
Breach,” Majority Staff Report, December 2018, p. 31-33, https://republicans-oversight.house.gov/wp-
content/uploads/2018/12/Equifax-Report.pdf, accedido en enero del 2019.

15

This document is authorized for use only in Erick Leonardo Izaguirre Ardon's Seguridad de la Información. at UNITEC Business School from Jun 2020 to Jun 2020.
 120-S13 Violación de datos Equifax

Anexo 2 Ciberseguridad en Equifax y sus competidores

TransUnion Experian Equifax

Tiempo de implementación para parches <14 días <15 días <2 días
críticos
Escaneos regulares de vulnerabilidad Semanalmente Semanalmente Mensual (y según sea
necesario)
Inventario completo de activos de TI Sí Sí No
Proceso de verificación para la instalación Sí Sí No
de parches
Política oficial para el seguimiento de la No No No
validez del certificado SSL

Fuente: Senado de los Estados Unidos: Comisión de Seguridad Nacional y Asuntos Gubernamentales, “How Equifax
Neglected Cybersecurity and Suffered a Devastating Data Breach,” Informe de personal, marzo 2019, p. 5, 35-36, 55-
62 https://www.carper.senate.gov/public/_cache/files/5/0/508a6447-853f-4f41-85e8-
1927641557f3/D5CFA4A0FC19997FF41FB3A5CE9EB6F7.equifax-report-3.6.19.pdf, accedido en marzo del 2019.

Anexo 3 Comunicado de prensa de Equifax que anuncia violación de datos, 7 de septiembre del
2017

Equifax Inc. (NYSE: EFX) anunció hoy un incidente de ciberseguridad que podría afectar a
aproximadamente 143 millones de consumidores estadounidenses. Los delincuentes explotaron la
vulnerabilidad de una aplicación de sitio web de EE. UU. para obtener acceso a ciertos archivos. Según la
investigación de la compañía, el acceso no autorizado se produjo desde mediados de mayo hasta julio del
2017. La compañía no ha encontrado evidencia de actividad no autorizada en las bases de datos centrales de
informes de crédito comercial o de consumo de Equifax.
La información a la que se accede principalmente incluye nombres, números de Seguro Social, fechas de
nacimiento, direcciones y, en algunos casos, números de licencia de conducir. Además, se accedió a los
números de tarjeta de crédito de aproximadamente 209,000 consumidores estadounidenses, y a ciertos
documentos de disputas con información de identificación personal de aproximadamente 182,000
consumidores estadounidenses. Como parte de su investigación sobre la vulnerabilidad de esta aplicación,
Equifax también identificó el acceso no autorizado a información personal limitada para ciertos residentes
del Reino Unido y Canadá. Equifax trabajaría con los reguladores del Reino Unido y Canadá para determinar
los próximos pasos apropiados. La compañía no ha encontrado evidencia de que la información personal de
los consumidores en algún otro país haya sido afectada.
Equifax descubrió el acceso no autorizado el 29 de julio de este año y actuó de inmediato para detener la
intrusión. La compañía rápidamente contrató a una firma líder de seguridad cibernética independiente que
ha llevado a cabo una revisión forense exhaustiva para determinar el alcance de la intrusión, incluidos los
datos específicos afectados. Equifax también denunció el acceso criminal a la policía y continúa trabajando
con las autoridades. Si bien la investigación de la compañía está sustancialmente completa, sigue en curso y
se espera que se complete en las próximas semanas.
“Este es claramente un evento decepcionante para nuestra empresa, y uno que impacta en el corazón de
quiénes somos y qué hacemos. Pido disculpas a los consumidores y a nuestros clientes comerciales por la
preocupación y la frustración que esto causa", dijo el presidente y director ejecutivo, Richard F. Smith. “Nos
enorgullecemos de ser líderes en la gestión y protección de datos, y estamos realizando una revisión
exhaustiva de nuestras operaciones de seguridad en general. También estamos enfocados en la protección
del consumidor y hemos desarrollado una cartera integral de servicios para apoyar a todos los consumidores
estadounidenses, independientemente de si se vieron afectados por este incidente".

16

This document is authorized for use only in Erick Leonardo Izaguirre Ardon's Seguridad de la Información. at UNITEC Business School from Jun 2020 to Jun 2020.
 Violación de datos Equifax 120-S13

Equifax ha establecido un sitio web dedicado, www.equifaxsecurity2017.com, para ayudar a los

consumidores a determinar si su información ha sido potencialmente afectada y para registrarse en el
monitoreo de archivos de crédito y la protección contra el robo de identidad. La oferta, llamada TrustedID
Premier, incluye el monitoreo de crédito de 3 oficinas de los informes de crédito Equifax, Experian y
TransUnion; copias de los informes crediticios; la capacidad de bloquear y desbloquear informes de crédito;
seguro de robo de identidad; y escaneo de Internet para números de Seguro Social, todo de cortesía para los
consumidores estadounidenses durante un año. El sitio web también proporciona información adicional
sobre los pasos que los consumidores pueden tomar para proteger su información personal. Equifax
recomienda que los consumidores con preguntas adicionales visiten www.equifaxsecurity2017.com o se
comuniquen con un centro de llamadas dedicado al 866-447-7559, que la compañía estableció para ayudar a
los consumidores. El centro de atención telefónica está abierto todos los días (incluidos los fines de semana)
de 7:00 a.m. a 1:00 a.m., hora del Este.
Además del sitio web, Equifax enviará notificaciones de correo directo a los consumidores cuyos
números de tarjeta de crédito o documentos de disputa con información de identificación personal se vieron
afectados. La empresa también está en proceso de contactar a los reguladores estatales y federales de EE.
UU., y ha enviado notificaciones por escrito a todos los fiscales generales del estado de EE. UU., que incluye
información de contacto para consultas de los reguladores.
Equifax ha contratado a una empresa líder e independiente de ciberseguridad para realizar una
evaluación y proporcionar recomendaciones sobre los pasos que se pueden tomar para ayudar a evitar que
este tipo de incidente vuelva a ocurrir.
El CEO Smith dijo: "Le dije a todo nuestro equipo que nuestro objetivo no puede ser simplemente para
solucionar el problema y seguir adelante. Enfrentar los riesgos de ciberseguridad es una lucha diaria. Si bien
hemos realizado importantes inversiones en seguridad de datos, reconocemos que debemos hacer más. Y lo
haremos."

Fuente: “Equifax Announces Cybersecurity Incident Involving Consumer Information.” Equifax, Inc., 7 de setiembre, 2017, ,
accedido en octubre del 2017.

Anexo 4 Momento de la divulgación de las principales violaciones de datos

Tiempo entre descubrimiento y

Compañía Año de la violación divulgación
Home Depot 2014 6 días
Target 2013 7 días
Anthem 2015 8 días
Google 2018 ~7 meses
Yahoo 2013 ~3 años
Equifax 2017 ~6 semanas

Fuente: Senado de los Estados Unidos: Comisión de Seguridad Nacional y Asuntos Gubernamentales, “How Equifax
Neglected Cybersecurity and Suffered a Devastating Data Breach,” Reporte de personal, marzo 2019, p. 46-51,
https://www.carper.senate.gov/public/_cache/files/5/0/508a6447-853f-4f41-85e8-
1927641557f3/D5CFA4A0FC19997FF41FB3A5CE9EB6F7.equifax-report-3.6.19.pdf, accedido en marzo del 2019.

17

This document is authorized for use only in Erick Leonardo Izaguirre Ardon's Seguridad de la Información. at UNITEC Business School from Jun 2020 to Jun 2020.
 120-S13 Violación de datos Equifax

Anexo 5 Página web de inicio de Equifax Data Breach, eqiufaxsecurity2017.com, 8 de septiembre

del 2017.

Fuente: equifaxsecurity2017.com, accedido via archive.org, enero 2018.

Anexo 6 Página falsa de la web de inicio de Equifax Data Breach, securityequifax2017.com

Fuente: Dell Cameron, “Equifax Has Been Sending Consumers to a Fake Phishing Site for Almost Two Weeks.” Gizmodo, 20
de setiembre, 2017.

18

This document is authorized for use only in Erick Leonardo Izaguirre Ardon's Seguridad de la Información. at UNITEC Business School from Jun 2020 to Jun 2020.
 Violación de datos Equifax 120-S13

Anexo 7 Texto de la cláusula inicial de arbitraje TrustedID

ARBITRAJE. LEA ESTA SECCIÓN COMPLETA CUIDADOSAMENTE PORQUE AFECTA SUS

DERECHOS LEGALES AL REQUERIR ARBITRAJE DE DISPUTAS (EXCEPTO LO QUE SE
ESTABLECE A CONTINUACIÓN) Y UNA RENUNCIA DE LA CAPACIDAD DE TRAER O
PARTICIPAR EN UNA ACCIÓN DE CLASE, ARBITRAJE DE CLASE U OTRA ACCIÓN
REPRESENTATIVA. EL ARBITRAJE PROPORCIONA UN MECANISMO RÁPIDO Y EFECTIVO
PARA RESOLVER DISPUTAS, PERO DEBE TENER EN CUENTA QUE TAMBIÉN LIMITA SUS
DERECHOS A DESCUBRIR Y APELAR.

Salvo que se indique expresamente lo contrario en este Acuerdo, todas las reclamaciones, disputas
o controversias planteadas por usted o TrustedID, Inc. que surjan o estén relacionadas con el tema de
este Acuerdo o los Productos ("Reclamación" o "Reclamaciones") serán finalmente resueltos mediante
arbitraje en el condado (o parroquia) donde vive o donde usted y TrustedID, Inc. acuerdan usar el
idioma inglés de acuerdo con las Reglas y procedimientos de arbitraje de JAMS en vigor, por un árbitro
comercial con experiencia sustancial en resolver disputas de contratos comerciales complejos, que
pueden o no ser seleccionados de la lista apropiada de árbitros de JAMS.

Este arbitraje se llevará a cabo como un arbitraje individual. Ni usted ni nosotros consentimos ni
aceptamos ningún arbitraje en una clase o representante, y el árbitro no tendrá autoridad para proceder
con el arbitraje en una clase o representante. Ningún arbitraje se consolidará con ningún otro
procedimiento de arbitraje sin el consentimiento de todas las partes. Esta disposición de exención de
acción de clase se aplica e incluye cualquier reclamación hecha y soluciones buscadas como parte de
cualquier acción de clase, acción de abogado general privado u otra acción representativa. Al dar su
consentimiento para someter sus reclamos a arbitraje, perderá su derecho a entablar o participar en
cualquier acción de clase (ya sea como demandante designado o miembro de la clase) o de participar
en cualquier premio de acción de clase, incluidas las reclamaciones de clase donde una clase aún no ha
sido certificada, incluso si los hechos y circunstancias en que se basan las reclamaciones ya ocurrieron
o existieron.

Sin perjuicio de lo dispuesto en esta Sección, usted o TrustedID, Inc. pueden presentar una acción
individual ante el tribunal de reclamos menores siempre que (i) el reclamo no se agregue al reclamo de
ninguna otra persona, y (ii) el tribunal de reclamos menores esté ubicado en el mismo condado (o
parroquia) y estado así como la dirección que proporcionó recientemente de acuerdo con los registros
de TrustedID, Inc. en relación con este Acuerdo.
Fuente: Términos de uso de Equifax a partir del 6 de setiembre, 2017, accedido vía
https://web.archive.org/web/20170909011235/https://www.trustedid.com/premier/terms-of-use.php, enero
2018.

Nota: La cláusula de arbitraje se incluyó inicialmente en los Términos de uso cuando los consumidores se registraron para
obtener protección gratuita del producto TrustedID de Equifax. La cláusula fue eliminada el 8 de septiembre del 2017.

19

This document is authorized for use only in Erick Leonardo Izaguirre Ardon's Seguridad de la Información. at UNITEC Business School from Jun 2020 to Jun 2020.
 120-S13 Violación de datos Equifax

Anexo 8 Cronología de la violación de datos de Equifax

8 de marzo 9 de marzo 10 de marzo 15 de marzo 13 de mayo 29-30 de 31 de mayo

• Cisco Systems y • Equifax • Un "equipo de • El análisis de • Los hackers
mayo • Smith es
el DHS CERT de comparte la entrada" viola seguimiento de primero • El equipo de informado por el
EE. UU. alertan a alerta primero los Equifax no comienzan a seguridad de Director de
las partes internamente, sistemas de identifica que la recolectar PII. Equifax primero Información.
potencialmente pero no repara Equifax. Un vulnerabilidad nota el tráfico de
vulnerables, la vulnerabilidad equipo más no está red de los piratas
incluido Equifax, en sus sistemas. sofisticado parcheada. informáticos y
de la establece más cierra la
vulnerabilidad de 30 puntos de aplicación
Apache Struts. entrada a utilizada por los
Equifax. mismos.

2 de agosto 11 de agosto 22 de agosto 24-25 de 1 de 4 de 7 de

• Equifax retiene a • La investigación • Smith notifica al agosto setiembre setiembre setiembre
Mandiant, primero director principal • El directorio • La junta se reúne • Equifax finaliza la • Equifax anuncia
contacta a su descubre que los Mark Feidler. completo es para discutir la lista inicial de públicamente la
bufete de hackers han notificado por escala de la 143 millones de violación.
abogados y al podido acceder a teléfono. violación y la consumidores
FBI. numerosos respuesta de afectados.
sistemas. Equifax.

11 de 15 de 18 de 26 de 2 de octubre 3-4 de 10 de 12 de
setiembre setiembre setiembre setiembre • Equifax octubre octubre octubre
• El fiscal • El CSO y el CIO • Primeros • Smith confirma que • Smith testifica • Equifax • El IRS
general de de Equifax informes renuncia como a otros 2,5 ante varios anuncia que suspende un
Nueva York renuncian. públicos de CEO. millones de comités del se robaron 10 contrato con
lanza la que el sistema personas les gobierno de millones en Equifax luego
primera de de Equifax fue robaron sus EE. UU. total de los de una
muchas violado en datos. datos de la reacción
investigacione marzo. licencia de violenta.
s sobre la conducir,
violación. 700,000
clientes del
Reino Unido
afectados.

Fuente: Compilado por los autores del caso

20

This document is authorized for use only in Erick Leonardo Izaguirre Ardon's Seguridad de la Información. at UNITEC Business School from Jun 2020 to Jun 2020.
 Violación de datos Equifax 120-S13

Anexo 9 Junta Directiva de Equifax

Director
Nombre desde Biografía

Robert D. Daleo 2006 Vicepresidente retirado de Thomson Reuters y miembro de la junta de Citrix
Systems. Anteriormente, el vicepresidente ejecutivo y director financiero de
Thomson Reuters.

Walter W. Driver, Jr. 2007 Presidente - Sudeste de Goldman, Sachs & Co y director de Total System
Services, Inc. Anteriormente presidente de King & Spalding LLP.

Mark L. Feidler* 2007 Socio fundador de Msouth Equity Partners y director principal de New York
Life Insurance Company. Anteriormente presidente y director de operaciones
de BellSouth Corporation y director de operaciones de Cingular Wireless.

G. Thomas Hough* 2016 Ex vicepresidente de las Américas de Ernst & Young LLP. Miembro de la
junta de Publix Super Markets Inc. y Federated Fund Family. Hough pasó
toda su carrera en Ernst & Young.

L. Phillip Humann 1992 Presidente ejecutivo retirado de la junta de SunTrust Banks, Inc. Humann fue
anteriormente presidente y CEO de SunTrust Banks, así como presidente de
la compañía. Director presidente de Coca-Cola Enterprises, Inc. y director
principal de Haverty Furniture Companies, Inc.

Robert D. Marcus 2013 Presidente no ejecutivo de Ocelot Partners Limited. Ex presidente y CEO de
Time Warner Cable Inc. desde 2014-2016, donde ocupó diversos cargos
desde 1998. Practicó derecho en Paul, Weiss, Rifkind, Wharton & Garrision
antes de su tiempo en Time Warner.

Siri S. Marshall 2006 Ex vicepresidente senior, asesor general, secretario y director de gobierno y
cumplimiento en General Mills, Inc. Director en Ameriprise Financial, Inc., y
ex director en Alphatec Holdings, Inc., y BioHorizons, Inc.

John A. McKinley* 2008 CEO de SaferAging, Inc. y cofundador de la firma de capital de riesgo
LaunchBox Digital. Ex director de tecnología de News Corporation, AOL
Technologies, Merrill Lynch y GE Capital Corporation. También se
desempeñó como presidente de los servicios digitales de AOL.

Richard F. Smith 2005 Presidente y CEO de Equifax. Se desempeñó como COO de GE Insurance
Solutions y presidente y CEO de GE Property and Casualty Reinsurance.
También se desempeñó como presidente y CEO de GE Capital Fleet
Services.

Elane B. Stock* 2017 Ex presidente del grupo, Kimberly-Clark International y director de YUM!
Brands, Inc. Sirvió en varios puestos de liderazgo senior en Kimberly-Clark,
así como vicepresidente nacional de estrategia para la Sociedad
Estadounidense del Cáncer y gerente regional de la división Color-Box de
Georgia-Pacific.

Mark B. Templeton* 2008 Ex CEO, presidente y director de Citrix Systems, Inc, donde se desempeñó
como CEO de 1999 a 2015

Fuente: Declaración de representación 2017. Equifax, Inc., 24 de marzo, 2017.

Nota: Un asterisco (*) indica la pertenencia al comité de tecnología. John A. McKinley se desempeñó como presidente del
comité de tecnología. Richard Smith se desempeñó como presidente y CEO hasta su renuncia el 26 de septiembre,
momento en el que Mark Feidler fue nombrado presidente. La junta nombró al ex CEO de Broadcom, Scott McGregor,
a la junta el 26 de octubre de 2017. Un asterisco (*) indica la pertenencia al comité de tecnología. John A. McKinley se

21

This document is authorized for use only in Erick Leonardo Izaguirre Ardon's Seguridad de la Información. at UNITEC Business School from Jun 2020 to Jun 2020.
 120-S13 Violación de datos Equifax

desempeñó como presidente del comité de tecnología. Richard Smith se desempeñó como presidente y CEO hasta su
renuncia el 26 de septiembre, momento en el que Mark Feidler fue nombrado presidente. La junta designó al ex CEO
de Broadcom Scott McGregor para la junta el 26 de octubre de 2017. Un asterisco (*) indica la pertenencia al comité de
tecnología. John A. McKinley se desempeñó como presidente del comité de tecnología. Richard Smith se desempeñó
como presidente y CEO hasta su renuncia el 26 de septiembre, momento en el que Mark Feidler fue nombrado
presidente. La junta nombró al ex CEO de Broadcom, Scott McGregor, a la junta el 26 de octubre del 2017.

22

This document is authorized for use only in Erick Leonardo Izaguirre Ardon's Seguridad de la Información. at UNITEC Business School from Jun 2020 to Jun 2020.
 Violación de datos Equifax 120-S13

Anexo 10 Carta del Comité de Tecnología de Equifax

I. Propósito

El propósito del Comité de Tecnología es revisar y monitorear la estrategia tecnológica de la

compañía y las importantes inversiones en tecnología en apoyo de sus cambiantes necesidades
comerciales globales. Las áreas de revisión incluyen: estrategia de tecnología de la información; nuevas
e importantes líneas de productos o inversiones tecnológicas; y la respuesta de la compañía a las
amenazas y oportunidades externas basadas en tecnología. Además, el Comité supervisará la
mitigación de la compañía de cualquier riesgo identificado en toda la empresa en las áreas
mencionadas.

II. Miembros

El Comité estará compuesto por tres o más directores nombrados anualmente por la Junta Directiva,
y puede incluir al Presidente de la Junta y al Director Ejecutivo. Las siguientes habilidades son
particularmente útiles para los miembros del Comité: familiaridad y experiencia con productos
tecnológicos, desarrollo y comercialización y evaluación de riesgos tecnológicos.

III. Reuniones

... El Comité informará periódicamente de sus actividades y conclusiones a la Junta...

IV. Responsabilidades y Deberes

Los objetivos y responsabilidades del Comité son monitorear la estrategia a largo plazo de la
compañía y las inversiones significativas en las áreas enumeradas a continuación...Los intervalos para
la revisión de cualquier política o programa dado pueden ser anuales, semestrales o en intervalos más
largos o más cortos, dependiendo de la naturaleza del tema y los desarrollos que afectan a la compañía
con respecto a ese tema.

1. Estrategia a largo plazo de tecnología de la información en apoyo de las cambiantes necesidades

comerciales globales de la compañía.
2. Revisar y presentar observaciones a la Junta con respecto al presupuesto anual de tecnología.
3. Programas importantes de desarrollo de nuevos productos (incluidas iniciativas de software) e
inversiones en nuevas tecnologías, incluidos los riesgos técnicos y de mercado asociados con el
desarrollo y la inversión de productos.
4. Tendencias futuras en tecnología que pueden afectar los planes estratégicos de la Compañía,
incluidas las tendencias generales de la industria y las nuevas oportunidades y amenazas ocasionadas
por las nuevas tecnologías, especialmente las tecnologías disruptivas.
5. Revise las inversiones tecnológicas y la infraestructura de la compañía asociadas con la gestión
de riesgos, incluidas las políticas relacionadas con la seguridad de la información, la recuperación ante
desastres y la continuidad del negocio.
6. Evaluar el alcance y la calidad de la propiedad intelectual de la compañía.
7. Llevar a cabo de vez en cuando actividades adicionales dentro del alcance de los propósitos
principales del Comité, según lo considere apropiado y/o según lo asignado por la Junta Directiva, el
Presidente de la Junta y el Director Ejecutivo.

Fuente: Extraído de: Committee Charters. Equifax, Inc., , accedido en octubre del 2017.

23

This document is authorized for use only in Erick Leonardo Izaguirre Ardon's Seguridad de la Información. at UNITEC Business School from Jun 2020 to Jun 2020.
 120-S13 Violación de datos Equifax

Anexo 11 Cambiar a las propuestas de Win Investment Group para la junta de Equifax

• Separar permanentemente los puestos de CEO y Presidente para proporcionar una mejor
supervisión de la administración por parte de la Junta.

• Reemplazar al Presidente del Comité de Auditoría, Robert Daleo, y al Presidente del Comité de
Tecnología, John McKinley, como los directores con las responsabilidades más relacionadas con
la crisis actual y la respuesta inadecuada de la compañía.

• Revisar la política de recuperación de la compañía para permitir que la Junta recupere una
compensación ejecutiva por daños financieros y de reputación basados no solo en la mala
conducta ejecutiva, sino también en fallas de supervisión, con la divulgación a los accionistas
de cualquier recuperación.

• Incluir reclamos legales, acuerdos y costos relacionados con la violación de datos en las medidas
de desempeño utilizadas para determinar la compensación ejecutiva.

• Hacer que el Comité especial de directores se forme en respuesta a la violación de datos (a)
evaluar el impacto financiero de la violación en la compañía, (b) revisar los planes de respuesta
de seguridad cibernética, y (c) asegurar que cualquier violación futura se escale al nivel de la
Junta. La compañía también debe divulgar a los accionistas las conclusiones del Comité.

• Establecer un consejo asesor de múltiples partes interesadas que se especialice en seguridad de

datos y compuesto por expertos externos en el área temática y defensores de partes interesadas
para abordar las preocupaciones de política pública relacionadas con las prácticas de seguridad
de datos de la compañía

Fuente: Carta a Richard F. Smith, ex presidente y director ejecutivo, Equifax. Senadora Elizabeth Warren, 12 de octubre, 2017.

24

This document is authorized for use only in Erick Leonardo Izaguirre Ardon's Seguridad de la Información. at UNITEC Business School from Jun 2020 to Jun 2020.
 Violación de datos Equifax 120-S13

Notas finales

1 “Company Profile.” Equifax, , accedido el 13 de octubre del 2017.

2 Este párrafo deriva de: Informe anual 2016. Equifax, Inc., 22 de febrero del 2017.

3 Ibid.

4 Cámara de Representantes de los Estados Unidos: Comité de Supervisión y Reforma del Gobierno, “The Equifax Data
Breach,” Informe del personal mayoritario, diciembre 2018, p. 17, https://republicans-oversight.house.gov/wp-
content/uploads/2018/12/Equifax-Report.pdf, accedido en enero del 2019; “Equifax Inc. (NYSE: EFX) Transaction Summary
> M&A/Private Placements,” S&P Capital IQ, accedido en abril del 2019.
5 Michael Riley, Jordan Robertson, & Anita Sharpe, “The Equifax Hack Has the Hallmarks of State-Sponsored Pros.”
Bloomberg Businessweek, 29 de setiembre, 2017; “Richard (Rick) F Smith, Advisor (Current), Equifax Inc,” BoardEx, accedido
en abril del 2019.
6 “Bad Credit: Uncovering Equifax’s Failure to Protect Americans’ Personal Information.” Officiant de la senadora Elizabeth
Warren, febrero del 2018.
7 El párrafo deriva de: Michael Riley, Jordan Robertson, & Anita Sharpe, “The Equifax Hack Has the Hallmarks of State-
Sponsored Pros.” Bloomberg Businessweek, 29 de setiembre, 2017; “Anthony (Tony) W Spinelli, COO/Division President
(Current), Fractal Industries Inc,” BoardEx, accedido en abril del 2019.
8 Cámara de Representantes de los Estados Unidos: Comité de Supervisión y Reforma del Gobierno, “The Equifax Data
Breach,” Informe del personal mayoritario, diciembre del 2018, p. 7, 19, 61-62, https://republicans-oversight.house.gov/wp-
content/uploads/2018/12/Equifax-Report.pdf, accedido en enero del 2019; Senado de los Estados Unidos: Comisión de
Seguridad Nacional y Asuntos Gubernamentales, “How Equifax Neglected Cybersecurity and Suffered a Devastating Data
Breach,” Reporte de personal, marzo del 2019, p. 35, https://www.carper.senate.gov/public/_cache/files/5/0/508a6447-853f-
4f41-85e8-1927641557f3/D5CFA4A0FC19997FF41FB3A5CE9EB6F7.equifax-report-3.6.19.pdf, accedido en marzo del 2019.
9 Cámara de Representantes de los Estados Unidos: Comité de Supervisión y Reforma del Gobierno, “The Equifax Data
Breach,” Majority Staff Report, December 2018, p. 62, https://republicans-oversight.house.gov/wp-
content/uploads/2018/12/Equifax-Report.pdf, accedido enero 2019.
10 Cámara de Representantes de los Estados Unidos: Comité de Supervisión y Reforma del Gobierno, “The Equifax Data
Breach,” Majority Staff Report, December 2018, p. 62, https://republicans-oversight.house.gov/wp-
content/uploads/2018/12/Equifax-Report.pdf, accedido enero 2019.
11 Cámara de Representantes de los Estados Unidos: Comité de Supervisión y Reforma del Gobierno, “The Equifax Data
Breach,” Majority Staff Report, December 2018, p. 7, 19, https://republicans-oversight.house.gov/wp-
content/uploads/2018/12/Equifax-Report.pdf, accedido enero 2019.
12 Senado de los Estados Unidos: Comisión de Seguridad Nacional y Asuntos Gubernamentales, “How Equifax Neglected
Cybersecurity and Suffered a Devastating Data Breach,” Reporte del personal, marzo del 2019, p. 36-43,
https://www.carper.senate.gov/public/_cache/files/5/0/508a6447-853f-4f41-85e8-
1927641557f3/D5CFA4A0FC19997FF41FB3A5CE9EB6F7.equifax-report-3.6.19.pdf, accedido marzo 2019; Cámara de
Representantes de los Estados Unidos: Comité de Supervisión y Reforma del Gobierno, “The Equifax Data Breach,” Informe
del personal mayoritario, diciembre del 2018, p. 64-65, https://republicans-oversight.house.gov/wp-
content/uploads/2018/12/Equifax-Report.pdf, accedido en enero del 2019.
13 El párrafo deriva de: Michael Riley, Jordan Robertson, & Anita Sharpe, “The Equifax Hack Has the Hallmarks of State-
Sponsored Pros.” Bloomberg Businessweek, 29 de setiembre, 2017.
14 Lorenzo Franceschi-Bicchierai, “Equifax Was Warned.” Vice, 26 de octubre, 2017.

15 El párrafo deriva de: AnnaMaria Andriotis & Robert McMillan, “Equifax Security Showed Signs of Trouble Months Before
Hack.” Wall Street Journal, 26 de setiembre, 2017.
16 Equifax Inc. ESG Ratings Report. MSCI, Last updated February 16, 2018.

17 Michael Riley, Jordan Robertson, and Anita Sharpe, “The Equifax Hack Has the Hallmarks of State-Sponsored Pros.”
Bloomberg Businessweek, September 29, 2017.

25

This document is authorized for use only in Erick Leonardo Izaguirre Ardon's Seguridad de la Información. at UNITEC Business School from Jun 2020 to Jun 2020.
 120-S13 Violación de datos Equifax

18 Informe de calificaciones de ESG de Equifax Inc. MSCI, última actualización 16 de febrero del 2018

19 El párrafo deriva de: Dan Goodin, “Critical vulnerability under “massive” attack imperils high-impact sites [Updated].” Ars
Technica, 9 de marzo, 2017.
20 Senado de los Estados Unidos: Comisión de Seguridad Nacional y Asuntos Gubernamentales, “How Equifax Neglected
Cybersecurity and Suffered a Devastating Data Breach,” Reporte de personal, marzo del 2019, p. 8,
https://www.carper.senate.gov/public/_cache/files/5/0/508a6447-853f-4f41-85e8-
1927641557f3/D5CFA4A0FC19997FF41FB3A5CE9EB6F7.equifax-report-3.6.19.pdf, accedido en marzo del 2019.
21 Testimonio preparado de Richard F. Smith. Richard Smith, 4 de octubre del 2017.

22 Cámara de Representantes de los Estados Unidos: Comité de Supervisión y Reforma del Gobierno, “The Equifax Data
Breach,” Informe del personal mayoritario, diciembre del 2018, p. 2, 27, 29, https://republicans-oversight.house.gov/wp-
content/uploads/2018/12/Equifax-Report.pdf, accedido en enero del 2019.
23 Cámara de Representantes de los Estados Unidos: Comité de Supervisión y Reforma del Gobierno, “The Equifax Data
Breach,” Informe del personal mayoritario, diciembre del 2018, p. 29, 64-65, https://republicans-oversight.house.gov/wp-
content/uploads/2018/12/Equifax-Report.pdf, accedido en enero del 2019.
24 Testimonio preparado de Richard F. Smith. Richard Smith, 4 de octubre del 2017.

25 Senado de los Estados Unidos: Comisión de Seguridad Nacional y Asuntos Gubernamentales, “How Equifax Neglected
Cybersecurity and Suffered a Devastating Data Breach,” Reporte de personal, marzo del 2019, p. 37-40,
https://www.carper.senate.gov/public/_cache/files/5/0/508a6447-853f-4f41-85e8-
1927641557f3/D5CFA4A0FC19997FF41FB3A5CE9EB6F7.equifax-report-3.6.19.pdf, accedido en marzo del 2019.
26 Senado de los Estados Unidos: Comisión de Seguridad Nacional y Asuntos Gubernamentales, “How Equifax Neglected
Cybersecurity and Suffered a Devastating Data Breach,” Reporte de personal, marzo del 2019, p. 41-43,
https://www.carper.senate.gov/public/_cache/files/5/0/508a6447-853f-4f41-85e8-
1927641557f3/D5CFA4A0FC19997FF41FB3A5CE9EB6F7.equifax-report-3.6.19.pdf, accedido en marzo del 2019.
27 El párrafo deriva de: Michael Riley, Jordan Robertson, & Anita Sharpe, “The Equifax Hack Has the Hallmarks of State-
Sponsored Pros.” Bloomberg Businessweek, 29 de setiembre, 2017.
28 Senado de los Estados Unidos: Comisión de Seguridad Nacional y Asuntos Gubernamentales, “How Equifax Neglected
Cybersecurity and Suffered a Devastating Data Breach,” Reporte de personal, marzo del 2019, p. 43-45,
https://www.carper.senate.gov/public/_cache/files/5/0/508a6447-853f-4f41-85e8-
1927641557f3/D5CFA4A0FC19997FF41FB3A5CE9EB6F7.equifax-report-3.6.19.pdf, accedido en marzo del 2019; Senado de los
Estados Unidos: Comisión de Seguridad Nacional y Asuntos Gubernamentales, “The Equifax Data Breach,” Informe del
personal mayoritario, diciembre del 2018, p. 70-71, https://republicans-oversight.house.gov/wp-
content/uploads/2018/12/Equifax-Report.pdf, accedido en enero del 2019.
29 Testimonio preparado de Richard F. Smith. Richard Smith, 4 de octubre del 2017; Senado de los Estados Unidos: Comisión
de Seguridad Nacional y Asuntos Gubernamentales, “How Equifax Neglected Cybersecurity and Suffered a Devastating Data
Breach,” Reporte de personal, marzo del 2019, p. 46, https://www.carper.senate.gov/public/_cache/files/5/0/508a6447-853f-
4f41-85e8-1927641557f3/D5CFA4A0FC19997FF41FB3A5CE9EB6F7.equifax-report-3.6.19.pdf, accedido en marzo del 2019.
30 El párrafo deriva de: Testimonio preparado de Richard F. Smith. Richard Smith, 4 de octubre del 2017.

31 “Equifax Announces Cybersecurity Incident Involving Consumer Information.” Equifax, Inc., 7 de setiembre, 2017.

32 Cámara de Representantes de los Estados Unidos: Comité de Supervisión y Reforma del Gobierno, “The Equifax Data
Breach,” Informe del personal mayoritario, diciembre del 2018, p. 52, https://republicans-oversight.house.gov/wp-
content/uploads/2018/12/Equifax-Report.pdf, accedido en enero del 2019.
33 Cámara de Representantes de los Estados Unidos: Comité de Supervisión y Reforma del Gobierno, “The Equifax Data
Breach,” Informe del personal mayoritario, diciembre del 2018, p. 52, https://republicans-oversight.house.gov/wp-
content/uploads/2018/12/Equifax-Report.pdf, accedido en enero del 2019.
34 Cámara de Representantes de los Estados Unidos: Comité de Supervisión y Reforma del Gobierno, “The Equifax Data
Breach,” Informe del personal mayoritario, diciembre del 2018, p. 52, 63, 67, 71, https://republicans-oversight.house.gov/wp-
content/uploads/2018/12/Equifax-Report.pdf, accedido en enero del 2019; Senado de los Estados Unidos: Comisión de
Seguridad Nacional y Asuntos Gubernamentales, “How Equifax Neglected Cybersecurity and Suffered a Devastating Data

26

This document is authorized for use only in Erick Leonardo Izaguirre Ardon's Seguridad de la Información. at UNITEC Business School from Jun 2020 to Jun 2020.
 Violación de datos Equifax 120-S13

Breach,” Reporte de personal, marzo del 2019, p. 36, https://www.carper.senate.gov/public/_cache/files/5/0/508a6447-853f-

4f41-85e8-1927641557f3/D5CFA4A0FC19997FF41FB3A5CE9EB6F7.equifax-report-3.6.19.pdf, accedido en marzo del 2019.
35 Cámara de Representantes de los Estados Unidos: Comité de Supervisión y Reforma del Gobierno, “The Equifax Data
Breach,” Informe del personal mayoritario, diciembre del 2018, p. 52, 63, 66-67, 71, https://republicans-
oversight.house.gov/wp-content/uploads/2018/12/Equifax-Report.pdf, accedido en enero del 2019.
36 Cámara de Representantes de los Estados Unidos: Comité de Supervisión y Reforma del Gobierno, “The Equifax Data
Breach,” Informe del personal mayoritario, diciembre del 2018, p. 68-70, 76, https://republicans-oversight.house.gov/wp-
content/uploads/2018/12/Equifax-Report.pdf, accedido en enero del 2019; Senado de los Estados Unidos: Comisión de
Seguridad Nacional y Asuntos Gubernamentales, “How Equifax Neglected Cybersecurity and Suffered a Devastating Data
Breach,” Reporte de personal, marzo del 2019, p. 22-23, https://www.carper.senate.gov/public/_cache/files/5/0/508a6447-
853f-4f41-85e8-1927641557f3/D5CFA4A0FC19997FF41FB3A5CE9EB6F7.equifax-report-3.6.19.pdf, accedido en marzo del 2019.
37 Senado de los Estados Unidos: Comisión de Seguridad Nacional y Asuntos Gubernamentales, “How Equifax Neglected
Cybersecurity and Suffered a Devastating Data Breach,” Reporte de personal, marzo del 2019, p. 25-27,
https://www.carper.senate.gov/public/_cache/files/5/0/508a6447-853f-4f41-85e8-
1927641557f3/D5CFA4A0FC19997FF41FB3A5CE9EB6F7.equifax-report-3.6.19.pdf, accedido en marzo del 2019.
38 Senado de los Estados Unidos: Comisión de Seguridad Nacional y Asuntos Gubernamentales, “How Equifax Neglected
Cybersecurity and Suffered a Devastating Data Breach,” Reporte de personal, marzo del 2019, p. 25, 28, 30,
https://www.carper.senate.gov/public/_cache/files/5/0/508a6447-853f-4f41-85e8-
1927641557f3/D5CFA4A0FC19997FF41FB3A5CE9EB6F7.equifax-report-3.6.19.pdf, accedido en marzo del 2019.
39 Cámara de Representantes de los Estados Unidos: Comité de Supervisión y Reforma del Gobierno, “The Equifax Data
Breach,” Informe del personal mayoritario, diciembre del 2018, p. 7, 55-57, https://republicans-oversight.house.gov/wp-
content/uploads/2018/12/Equifax-Report.pdf, accedido en enero del 2019.
40 Cámara de Representantes de los Estados Unidos: Comité de Supervisión y Reforma del Gobierno, “The Equifax Data
Breach,” Informe del personal mayoritario, diciembre del 2018, p. 58, https://republicans-oversight.house.gov/wp-
content/uploads/2018/12/Equifax-Report.pdf, accedido en enero del 2019.
41 Cámara de Representantes de los Estados Unidos: Comité de Supervisión y Reforma del Gobierno, “The Equifax Data
Breach Informe del personal mayoritario, diciembre del 2018, p. 60, https://republicans-oversight.house.gov/wp-
content/uploads/2018/12/Equifax-Report.pdf, accedido en enero del 2019.
42 Cámara de Representantes de los Estados Unidos: Comité de Supervisión y Reforma del Gobierno, “The Equifax Data
Breach,” Informe del personal mayoritario, diciembre del 2018, p. 59-60, https://republicans-oversight.house.gov/wp-
content/uploads/2018/12/Equifax-Report.pdf, accedido en enero del 2019.
43 Cámara de Representantes de los Estados Unidos: Comité de Supervisión y Reforma del Gobierno, “The Equifax Data
Breach,” Informe del personal mayoritario, diciembre del 2018, p. 61-62, https://republicans-oversight.house.gov/wp-
content/uploads/2018/12/Equifax-Report.pdf, accedido en enero del 2019.
44 Cámara de Representantes de los Estados Unidos: Comité de Supervisión y Reforma del Gobierno, “The Equifax Data
Breach,” Informe del personal mayoritario, diciembre del 2018, p. 71-72, https://republicans-oversight.house.gov/wp-
content/uploads/2018/12/Equifax-Report.pdf, accedido en enero del 2019.
45 Cámara de Representantes de los Estados Unidos: Comité de Supervisión y Reforma del Gobierno, “The Equifax Data
Breach,” Informe del personal mayoritario, diciembre del 2018, p. 77, https://republicans-oversight.house.gov/wp-
content/uploads/2018/12/Equifax-Report.pdf, accedido en enero del 2019.
46 Cámara de Representantes de los Estados Unidos: Comité de Supervisión y Reforma del Gobierno, “The Equifax Data
Breach,” Informe del personal mayoritario, diciembre del 2018, p. 78-79, https://republicans-oversight.house.gov/wp-
content/uploads/2018/12/Equifax-Report.pdf, accedido en enero del 2019.
47 Cámara de Representantes de los Estados Unidos: Comité de Supervisión y Reforma del Gobierno, “The Equifax Data
Breach,” Informe del personal mayoritario, diciembre del 2018, p. 33-34, 70, https://republicans-oversight.house.gov/wp-
content/uploads/2018/12/Equifax-Report.pdf, accedido en enero del 2019; Senado de los Estados Unidos: Comisión de
Seguridad Nacional y Asuntos Gubernamentales, “How Equifax Neglected Cybersecurity and Suffered a Devastating Data
Breach,” Reporte del personal, marzo del 2019, p. 43-44, https://www.carper.senate.gov/public/_cache/files/5/0/508a6447-
853f-4f41-85e8-1927641557f3/D5CFA4A0FC19997FF41FB3A5CE9EB6F7.equifax-report-3.6.19.pdf, accedido en marzo del 2019.

27

This document is authorized for use only in Erick Leonardo Izaguirre Ardon's Seguridad de la Información. at UNITEC Business School from Jun 2020 to Jun 2020.
 120-S13 Violación de datos Equifax

48 Cámara de Representantes de los Estados Unidos: Comité de Supervisión y Reforma del Gobierno, “The Equifax Data
Breach,” Informe del personal mayoritario, diciembre del 2018, p. 33-35, 70, https://republicans-oversight.house.gov/wp-
content/uploads/2018/12/Equifax-Report.pdf, accedido en enero del 2019; United States Senate: Committee on Homeland
Security and Government Affairs, “How Equifax Neglected Cybersecurity and Suffered a Devastating Data Breach,” Reporte
de personal, marzo del 2019, p. 43-45, https://www.carper.senate.gov/public/_cache/files/5/0/508a6447-853f-4f41-85e8-
1927641557f3/D5CFA4A0FC19997FF41FB3A5CE9EB6F7.equifax-report-3.6.19.pdf, accedido en marzo del 2019.
49 Cámara de Representantes de los Estados Unidos: Comité de Supervisión y Reforma del Gobierno, “The Equifax Data
Breach,” Informe del personal mayoritario, diciembre del 2018, p. 73, 76-77, https://republicans-oversight.house.gov/wp-
content/uploads/2018/12/Equifax-Report.pdf, accedido en enero del 2019; Senado de los Estados Unidos: Comisión de
Seguridad Nacional y Asuntos Gubernamentales, “How Equifax Neglected Cybersecurity and Suffered a Devastating Data
Breach,” Reporte de personal, marzo del 2019, p. 45-46, https://www.carper.senate.gov/public/_cache/files/5/0/508a6447-
853f-4f41-85e8-1927641557f3/D5CFA4A0FC19997FF41FB3A5CE9EB6F7.equifax-report-3.6.19.pdf, accedido en marzo del 2019.
50 Cámara de Representantes de los Estados Unidos: Comité de Supervisión y Reforma del Gobierno, “The Equifax Data
Breach,” Informe del personal mayoritario, diciembre del 2018, p. 77-78, https://republicans-oversight.house.gov/wp-
content/uploads/2018/12/Equifax-Report.pdf, accedido en enero del 2019.
51 “Equifax anuncia un incidente de ciberseguridad que involucra información del consumidor”. Equifax, Inc., 7 de setiembre
del 2017.
52 “Equifax anuncia un incidente de ciberseguridad que involucra información del consumidor”. Equifax, Inc., 7 de setiembre
del 2017.
53 Anders Melin, "Tres gerentes de Equifax vendieron acciones antes de que se revelara Cyber Hack". Bloomberg, 7 de
setiembre del 2017.
54 Testimonio preparado de Richard F. Smith. Richard Smith, 4 de octubre del 2017.

55 "Equifax anuncia un incidente de ciberseguridad que involucra información del consumidor". Equifax, Inc., 7 de setiembre
del 2017.
56 Dell Cameron, “Equifax Has Been Sending Consumers to a Fake Phishing Site for Almost Two Weeks.” Gizmodo, 20 de
setiembre, 2017.
57 “Bad Credit: Uncovering Equifax’s Failure to Protect Americans’ Personal Information.” Oficina de la senadora Elizabeth
Warren, febrero del 2018.
58 Testimonio preparado de Richard F. Smith. Richard Smith, 4 de octubre del 2017.

59 “Bad Credit: Uncovering Equifax’s Failure to Protect Americans’ Personal Information.” Oficina de la senadora Elizabeth
Warren, febrero del 2018.
60 El párrafo deriva de: Anna Maria Andriotis & Aaron Luchetti, “Consumers Blast Equifax’s Hack Response. Wall Street
Journal, 8 de setiembre, 2017.
61 Andrew Blake, “Equifax updates terms of service after arbitration clause causes uproar following massive breach.” The
Washington Times, 9 de setiembre, 2017.
62 AnnaMaria Andriotis & Aaron Lucchetti, “Consumers Blast Equifax’s Hack Response.” Wall Street Journal, 8 de setiembre,
2017.
63 Testimonio preparado de Richard F. Smith. Richard Smith, 4 de octubre del 2017.

64 El párrafo deriva de: “Bad Credit: Uncovering Equifax’s Failure to Protect Americans’ Personal Information.” Oficina de la
senadora Elizabeth Warren, febrero del 2018.
65 Michael Riley, Anita Sharpe, & Jordan Robertson, “Equifax Suffered a Hack Almost Five Months Earlier Than the Date It
Disclosed.” Bloomberg, 18 de setiembre, 2017.
66 Michael Riley, Anita Sharpe, & Jordan Robertson, “Equifax Suffered a Hack Almost Five Months Earlier Than the Date It
Disclosed.” Bloomberg, 18 de setiembre, 2017.
67 Stacy Cowley, “2.5 Million More People Potentially Exposed in Equifax Breach.” New York Times, 2 de octubre, 2017.

28

This document is authorized for use only in Erick Leonardo Izaguirre Ardon's Seguridad de la Información. at UNITEC Business School from Jun 2020 to Jun 2020.
 Violación de datos Equifax 120-S13

68 AnnaMaria Andriotis & Emily Glazer, “Equifax Hack Disclosed Driver’s License Data for More Than 10 Million Americans.”
Wall Street Journal, 10 de octubre, 2017.
69 Caroline Binham, “Equifax says nearly 700,000 UK customers may have had details stolen in hack.” Financial Times, 10 de
octubre, 2017.
70 “Bad Credit: Uncovering Equifax’s Failure to Protect Americans’ Personal Information.” Oficina de la senadora Elizabeth
Warren, febrero 2018.
71 El párrafo deriva de: Michael Riley, Jordan Robertson, and Anita Sharpe, “The Equifax Hack Has the Hallmarks of State-
Sponsored Pros.” Bloomberg Businessweek, 29 de setiembre, 2017.
72 Stephen Gandel, “Equifax Board Needs a Security Dream Team.” Bloomberg Gadfly, 21 de setiembre, 2017.

73 Aviso de la reunión anual del 2017 y declaración de representación. Equifax, Inc., 24 de marzo del 2017, pág. 14.

74 Jennifer Surane & Anders Melin, “Equifax CEO Richard Smith Resigns After Uproar Over Massive Hack.” Bloomberg, 26 de
setiembre, 2017.
75 Jennifer Surane & Anders Melin, “Equifax CEO Richard Smith Resigns After Uproar Over Massive Hack.” Bloomberg, 26 de
setiembre, 2017.
76 Emily Glazer & AnnaMaria Andriotis, “Equifax Board Considers Clawing Back Executives’ Compensation; Directors have
been discussing best approach for clawbacks.” Wall Street Journal, 29 de setiembre, 2017.
77 Elizabeth Dexheimer, “Equifax Forms Panel to Review Executives’ Share Sales.” Bloomberg, 29 de setiembre, 2017;
AnnaMaria Andriotis & Emily Glazer, “At the Center of the Equifax Mess: Its Top Lawyer.” Wall Street Journal, 1 de octubre,
2017.
78 “Equifax Names Scott McGregor as New Independent Director.” Equifax, 26 de octubre, 2017.

79 “Equifax Board Releases Findings of Special Committee Regarding Stock Sale by Executives.” Equifax, 3 de noviembre, 2017.

80 Jaclyn Jaeger, “New York AG launches formal investigation into Equifax breach.” Compliance Week, 11 de setiembre, 2017.

81 Dustin Volz & Susan Heavey, “FTC probes Equifax; top Democrat likens it to Enron.” Reuters, 14 de setiembre, 2017.

82 AnnaMaria Andriotis, “Massachusetts Attorney General Hits Equifax With Suit Over Hack.” Wall Street Journal, 19 de
setiembre, 2017.
83 Sarah Buhr, “San Francisco sues Equifax on behalf of 15 million Californians affected by the breach.” Techcrunch, 27 de
setiembre, 2017.
84 Dustin Volz & Susan Heavey, “FTC probes Equifax; top Democrat likens it to Enron.” Reuters, 14 de setiembre, 2017.

85 “Warren Launches Investigation into Equifax Breach with Letters to Equifax, TransUnion, Experian, FTC, CFPB, GAO.”
Comunicado de prensa de la Oficina de la Senadora Elizabeth Warren, 15 de setiembre, 2017.
86 “Warren Launches Investigation into Equifax Breach with Letters to Equifax, TransUnion, Experian, FTC, CFPB, GAO.”
Comunicado de prensa de la Oficina de la Senadora Elizabeth Warren, 15 de setiembre, 2017.
87 Ley de Libertad de Explotación Equifax. 15 de setiembre del 2017, pág. 1.

88 El párrafo deriva de: Jeff Cox, “Big changes coming for credit firms in wake of Equifax hack, CFPB director says.” CNBC, 27
de setiembre, 2017.
89 Carta al presidente de Equifax, Mark Feidler. Dieter Waizenegger, Director Ejecutivo de Change to Win Investment Group,
18 de octubre del 2017.
90 El párrafo deriva de: Carta al presidente de Equifax, Mark Feidler. Dieter Waizenegger, Director Ejecutivo de Change to Win
Investment Group, 18 de octubre, 2017.
91 El parasol deriva de: Michael Rapoport & AnnaMaria Andriotis, “States Push Equifax to Explain Why It Took 6 Weeks to
Disclose Hack.” Wall Street Journal, 28 de octubre, 2017.

29

This document is authorized for use only in Erick Leonardo Izaguirre Ardon's Seguridad de la Información. at UNITEC Business School from Jun 2020 to Jun 2020.
 120-S13 Violación de datos Equifax

92 Deriva de: Stacy Cowley, “Equifax Faces Mounting Costs and Investigations From Breach.” New York Times, 9 de
noviembre, 2017.
93 “2017 Internet Crime Report,” Oficina Federal de Investigaciones Centro de Quejas sobre Delitos en Internet, 7 de mayo,
2018, p. 20, https://pdf.ic3.gov/2017_IC3Report.pdf, accedido en abril del 2019.
94 “Cisco 2018 Annual Cybersecurity Report,” Cisco Systems, Inc., 6 de febrero, 2018, p. 50-51,
https://www.cisco.com/c/dam/m/hu_hu/campaigns/security-hub/pdf/acr-2018.pdf, accedido en abril del 2019.
95 Kevin A. Hassett, Richard V. Burkhauser, & Tomas J. Philipson, “The Annual Report of the Council of Economic Advisers,”
Consejo de Asesores Económicos, Oficina Ejecutiva del Presidente, 21 de febrero, 2018, p. 333-334,
https://www.whitehouse.gov/wp-content/uploads/2018/02/ERP_2018_Final-FINAL.pdf, accedido en abril del 2019.

30

This document is authorized for use only in Erick Leonardo Izaguirre Ardon's Seguridad de la Información. at UNITEC Business School from Jun 2020 to Jun 2020.