La Fiscal General James Responsabiliza a Equifax al Asegurar un Pago de $600 Millones Como Parte del Mayor Acuerdo por Violación de Datos en la Historia

El Acuerdo Incluye el Pago de $425 Millones en Fondos de Restitución a los Consumidores, Con $175 Millones Pagados a los Estados— Más de $9 Millones a NY, Solamente

Equifax Ahora Debe Proveer Servicios de Monitoreo de Crédito de Hasta 10 Años a Todos los Estadounidenses Afectados por Dicha Violación 

NUEVA YORK – La Fiscal General del Estado de Nueva York, Letitia James, anunció hoy que ha co-liderado una coalición de 50 Fiscales Generales para llegar al mayor acuerdo en la historia con Equifax Inc., tras una brecha en la base de datos de la firma. Este acuerdo es el resultado de una investigación sobre la violación masiva de datos de la compañía en 2017 que expuso la información personal de casi la mitad de la población estadounidense. La Fiscal General aseguró un acuerdo con Equifax que incluye un Fondo de Restitución de Fondos para los Consumidores de hasta $425 millones, un pago de $175 millones a los Estados, y una medida cautelar significativa para los clientes.

"Equifax puso sus ganancias sobre la privacidad y la codicia por encima de la gente, por lo que ahora debe rendir cuentas a las millones de personas que pusieron en riesgo", dijo la Fiscal General Letitia James. "La ineptitud, la negligencia y las normas de seguridad laxas de esta empresa pusieron en peligro las identidades de la mitad de la población estadounidense. Ahora es el momento de que esta compañía haga lo correcto--no sólo pagar la restitución a los millones de víctimas de su violación de datos, sino también proporcionar a los estadounidenses, afectados por el acceso ilegal de su información altamente sensible las herramientas que necesitan para combatir el robo de identidad en el futuro."

"Las agencias de calificación crediticia tienen la responsabilidad de salvaguardar la información financiera y personal de los consumidores, y esta violación de datos atroz y la respuesta de la agencia fue completamente inaceptable", dijo el Gobernador de Nueva York, Andrew Cuomo. "En Nueva York estamos enviando un claro mensaje a estas agencias de que serán responsables si dejan los datos privados de los consumidores vulnerables a la exposición, y continuaremos nuestra rigurosa supervisión de estas agencias para garantizar que los neoyorquinos estén protegidos en el futuro ."

El 7 de septiembre de 2017, Equifax--una de las tres grandes agencias de informes de crédito, anunció una violación de datos que afectó a más de 147 millones de clientes, o al 56 por ciento de los adultos estadounidenses, convirtiéndose en una de las mayores violaciones de datos de los consumidores en la historia. Solamente en Nueva York, se tuvo acceso ilegal a la información personal de 8.542.568 de residentes.

La información personal divulgada incluía números de Seguro Social, nombres, fechas de nacimiento, direcciones, números de tarjetas de crédito y, en algunos casos, números de licencia de conducir. Poco después, una coalición —que desde entonces ha crecido a 50 Fiscales Generales Estatales— lanzó una investigación multiestatal sobre la violación.

En esta investigación se determinó que los agresores lograron explotar una vulnerabilidad en el sistema de Equifax enfocándose en el software de la aplicación web Apache Struts, una plataforma digital empresarial ampliamente utilizada. Aunque Equifax fue informado de esa vulnerabilidad en marzo de 2017, la compañía no logró parchear todos sus sistemas y no reemplazó el programa que monitoreaba la red infringida por la actividad sospechosa. Como resultado, los atacantes penetraron en el sistema de Equifax, en un acto que pasó desapercibido por 76 días.

Bajo los términos del acuerdo, Equifax ahora tendrá la obligación de pagar la restitución a los consumidores afectados en varias formas. En primer lugar, la compañía ha acordado proveer un fondo único de restitución de hasta $425 millones a los consumidores — $300 millones de estos se dedicarán inicialmente a la compensación, con $125 millones más disponibles en caso de que se agoten los fondos iniciales. El programa de restitución a los consumidores se llevará a cabo en relación con los acuerdos que ya se han alcanzado en las demandas colectivas multi-distritales presentadas contra Equifax, así como con los asentamientos que se han alcanzado con la Comisión Federal de Comercio (FTC, por su siglas en inglés) y el Buró de Protección Financiera del Consumidor (CFPB). Equifax pagará otros $100 millones más al CFPB.

Los consumidores que califiquen para la reparación de crédito, deberán presentar reclamos que demuestren que han sido víctimas de fraudes o que hayan tomado medidas proactivas para establecer servicios de monitoreo de crédito a través de la presentación de documentos por internet o por correo.

Equifax, además, ha acordado ofrecer a los consumidores que tenían sus datos expuestos, servicios gratuitos de monitoreo de crédito por hasta 10 años. Los consumidores que sean parte de este servicio tendrán hasta $1 millón en seguro de robo de identidad disponible, sin deducible, para cubrir los gastos legales y de recuperación de identidad. Los primeros cuatro años de servicio de monitoreo de crédito incluirán la vigilancia de las tres grandes agencias de informes de crédito, mientras que los años cinco a 10 de monitoreo estarán disponibles a través de Equifax.

Adicionalmente, Equifax ha acordado tomar varias medidas para ayudar a los consumidores que enfrentan problemas de robo de identidad o cuyas identidades han sido robadas. Estas medidas incluyen facilitar a los consumidores congelar y descongelar su crédito, y disputar información inexacta en los informes de crédito, así como mantener personal suficiente para ayudar a los consumidores que pueden ser víctimas de robo de identidad.

Muy pronto, un nuevo portal de internet permitirá a los consumidores obtener más información sobre el Fondo de Restitución, inscribirse en servicios de monitoreo de crédito, y buscar respuestas a sus preguntas o dudas. Mientras tanto, los consumidores pueden registrarse para recibir actualizaciones por correo electrónico con respecto al lanzamiento del registro en línea como parte del acuerdo con Equifax en www.ftc.gov/equifax-data-breach. Los consumidores también pueden llamar al 1-833-759-2982 para obtener más información.

Equifax ha gastado cientos de millones de dólares en el fortalecimiento de sus prácticas de seguridad y lo seguirá haciendo en el futuro, entre otras cosas:

  • Reorganizar su equipo de seguridad de datos, incluyendo la designación de un Director de Seguridad, que deberá informar regularmente a la Junta de Directores sobre la postura de seguridad de Equifax
  • Realizar ejercicios simulados regulares para poner a prueba su habilidad de responder a una falla en el sistema de seguridad
  • Cifrar la información personal almacenada en su sistema o adoptar mecanismos de control similares
  • Prohibir el uso de números de Seguro Social como un autentificador único, y de lo contrario, limitar su uso
  • Adoptar políticas de autentificación de dos factores, y rotación de contraseñas
  • Realizar actividades regulares de monitoreo y registro, y pruebas de seguridad en sus sistemas
  • Reorganizar y segmentar su red
  • Reorganizar su equipo de gestión de parches y, posteriormente, implementar nuevas políticas para identificar y actualizar sus críticos parches de seguridad

Equifax también acordó evaluaciones periódicas de terceros para evaluar si las garantías de seguridad administrativas, técnicas y físicas cumplen con los requisitos previstos en el acuerdo.

Finalmente, como parte del acuerdo, Equifax ha acordado pagar a los 48 estados involucrados en la demanda, al Distrito de Columbia y al Estado Libre y Asociado de Puerto Rico un total de $175 millones como multa; $9,186,782.83 millones de estos serán entregados al Estado de Nueva York.

El acuerdo requiere la aprobación de la corte.

Así mismo, el Departamento de Servicios Financieros del Estado de Nueva York (DFS) investigó por separado las prácticas de seguridad de Equifax, y encontró que la compañía se dedicaba a realizar prácticas que violaban la Ley Dodd-Frank y la Ley de Servicios Financieros # 408. Como resultado, Equifax será multado con $10 millones adicionales por DFS. Esto, eleva a más de $19.2 millones el monto total de lo que el Estado de Nueva York recibirá en multas.

"En primer lugar, el acuerdo anunciado hoy responsabiliza a Equifax por su grave incumplimiento de su deber a los consumidores de proteger su información confidencial de identificación personal y restablece cierta tranquilidad y más protección a los neoyorquinos", dijo la Superintendente del DFS Linda Lacewell. "Con el fortalecimiento de las medidas e protecciones de los consumidores neoyorquinos, DFS ahora requiere que las agencias de calificación crediticia sean supervisadas y ejerzan sus funciones con licencias de DFS, para garantizar que cumplan con la histórica regulación de ciberseguridad de este Departamento para protegerlos mejor contra posibles violaciones".

El anuncio de este acuerdo multi-estatal lo logró la Fiscal General James junto a los Fiscales Generales de los Estados de Alabama, Alaska, Arizona, Arkansas, California, Carolina del Norte, Carolina del Sur, Colorado, Connecticut, Dakota del Norte, Dakota del Sur, Delaware, el Distrito de Columbia, el Estado Libre-Asociado de Puerto Rico, Florida, Georgia, Hawái, Idaho, Illinois, Iowa, Kansas, Kentucky, Luisiana, Maine, Maryland, Michigan, Minnesota, Mississippi, Missouri, Montana, Nebraska, Nevada, Nueva Hampshire, Nueva Jersey, Nuevo México, Ohio, Oklahoma, Oregón, Pensilvania, Rhode Island, Tennessee, Texas, Utah, Vermont, Virginia, Washington, West Virginia, Wisconsin, y Wyoming.

Nueva York fue representado en este acuerdo por Clark Russell, Jefe Adjunto del Buró de Internet y Tecnología, bajo la supervisión de la Jefa del Buró Kim Berger. El Buró de Internet y Tecnología es dirigido por el Fiscal General Adjunto Ejecutivo de Justicia Económica, Christopher D’Angelo.