La Peor Brecha de Datos en la Historia de Estados Unidos
El 7 de septiembre de 2017, Equifax, una de las tres agencias de crédito más grandes de Estados Unidos, anunció públicamente que había sufrido una brecha de seguridad masiva que había comprometido la información personal de 147,9 millones de ciudadanos estadounidenses. Esta cifra representaba aproximadamente el 45% de toda la población adulta de Estados Unidos. La información robada incluía números de Seguro Social, fechas de nacimiento, direcciones, números de licencia de conducir y, en algunos casos, números de tarjetas de crédito. Se trataba, sin lugar a dudas, de uno de los incidentes de ciberseguridad más devastadores de la historia moderna.
Lo que hizo que la brecha de Equifax fuera particularmente alarmante no fue solo su escala, sino la naturaleza de los datos comprometidos. A diferencia de las contraseñas, que pueden cambiarse, o las tarjetas de crédito, que pueden cancelarse, los números de Seguro Social y las fechas de nacimiento son datos permanentes que acompañan a una persona durante toda su vida. Millones de estadounidenses quedaron expuestos al robo de identidad de forma prácticamente irreversible.
La Vulnerabilidad Apache Struts: CVE-2017-5638
La causa técnica de la brecha fue extraordinariamente simple y, precisamente por eso, extraordinariamente vergonzosa. Los atacantes explotaron una vulnerabilidad conocida en Apache Struts, un framework de código abierto ampliamente utilizado para desarrollar aplicaciones web en Java. La vulnerabilidad, catalogada como CVE-2017-5638, permitía la ejecución remota de código a través del parser de Jakarta Multipart, un componente que procesaba las solicitudes de carga de archivos.
Lo más condenable de todo el asunto fue que el parche para esta vulnerabilidad había sido publicado el 6 de marzo de 2017, dos meses completos antes de que los atacantes comenzaran a explotar los sistemas de Equifax en mayo de ese mismo año. La Apache Software Foundation había emitido un aviso de seguridad urgente, y el Departamento de Seguridad Nacional de Estados Unidos (US-CERT) había alertado específicamente a Equifax sobre la necesidad de actualizar sus sistemas.
Equifax tenía un equipo de seguridad de más de 225 personas y gastaba aproximadamente 85 millones de dólares anuales en ciberseguridad. Sin embargo, la empresa no aplicó el parche durante meses. Investigaciones posteriores revelaron que Equifax utilizaba un escáner automatizado para detectar vulnerabilidades, pero el escaneo no detectó los servidores afectados debido a una configuración incorrecta del certificado SSL que impedía la inspección del tráfico cifrado.
Cronología de la Negligencia
La cronología de eventos revela un patrón de negligencia institucional que resulta difícil de comprender para una empresa que manejaba datos tan sensibles:
6 de marzo de 2017: Apache publica el parche para CVE-2017-5638. US-CERT envía alertas a las empresas afectadas, incluyendo Equifax.
9 de marzo de 2017: El equipo de seguridad de Equifax distribuye internamente la alerta de US-CERT y solicita que el parche sea aplicado en un plazo de 48 horas. Sin embargo, el sistema de escaneo automatizado no identifica correctamente todos los servidores vulnerables.
13 de mayo de 2017: Los atacantes comienzan a explotar la vulnerabilidad en el portal de disputas de crédito de Equifax. Durante los siguientes 76 días, los hackers navegan libremente por los sistemas internos de la empresa, accediendo a bases de datos tras bases de datos.
29 de julio de 2017: El equipo de seguridad de Equifax finalmente detecta actividad sospechosa al renovar un certificado SSL expirado que había impedido la inspección del tráfico de red durante 19 meses. Al restaurar la visibilidad del tráfico cifrado, descubren múltiples shells web maliciosos instalados en sus servidores.
30 de julio de 2017: Equifax elimina el acceso de los atacantes y comienza la investigación forense. Descubren que los atacantes habían ejecutado aproximadamente 9.000 consultas a bases de datos durante su permanencia en los sistemas.
7 de septiembre de 2017: Equifax anuncia públicamente la brecha, más de cinco semanas después de haberla descubierto internamente.
El Escándalo del Insider Trading
Como si la brecha en sí no fuera suficientemente escandalosa, la situación empeoró dramáticamente cuando se reveló que varios ejecutivos de alto nivel de Equifax habían vendido acciones de la empresa entre el descubrimiento interno de la brecha y su anuncio público. Cuatro ejecutivos vendieron acciones por un valor combinado de aproximadamente 1,8 millones de dólares durante este período.
Equifax inicialmente afirmó que estos ejecutivos no tenían conocimiento de la brecha cuando realizaron las transacciones. Sin embargo, Jun Ying, el director de información de la división de soluciones empresariales de Equifax, fue posteriormente acusado de insider trading por la Comisión de Bolsa y Valores (SEC). Ying había ejercido opciones sobre acciones y vendido sus participaciones por más de 950.000 dólares después de enterarse de la brecha, evitando pérdidas de más de 117.000 dólares cuando las acciones cayeron tras el anuncio público. Ying fue condenado a cuatro meses de prisión federal y una multa de 55.000 dólares.
Otro ejecutivo, Sudhakar Reddy Bonthu, un gerente de desarrollo de software que trabajó en la respuesta a la brecha, también fue acusado de insider trading por comprar opciones de venta (put options) que le reportaron beneficios cuando las acciones de Equifax cayeron tras el anuncio. Bonthu fue condenado a ocho meses de arresto domiciliario.
La Directora de Seguridad con Título en Música
Uno de los detalles que más indignación generó fue la revelación de que Susan Mauldin, la directora de seguridad de la información (CISO) de Equifax, tenía un título universitario en composición musical de la Universidad de Georgia, sin credenciales formales en ciberseguridad ni ciencias de la computación. Mauldin y el CEO de Equifax, Richard Smith, renunciaron a sus cargos poco después del anuncio de la brecha. Smith testificó ante el Congreso en octubre de 2017, enfrentándose a preguntas demoledoras sobre la cultura de seguridad de la empresa. Su paquete de jubilación, valorado en aproximadamente 90 millones de dólares, generó una indignación pública considerable.
El Acuerdo de 700 Millones de Dólares
En julio de 2019, Equifax alcanzó un acuerdo con la FTC, la Oficina de Protección Financiera del Consumidor (CFPB) y los 50 estados de la unión por un total de 700 millones de dólares, el mayor acuerdo jamás alcanzado por una brecha de datos en Estados Unidos. El acuerdo incluía un fondo de 425 millones de dólares para compensar directamente a los consumidores afectados, con pagos de hasta 125 dólares por persona para quienes ya tuvieran monitoreo de crédito, o monitoreo de crédito gratuito durante diez años para quienes no lo tuvieran.
Sin embargo, la compensación real recibida por los consumidores fue decepcionante. Debido al enorme número de reclamaciones, los pagos individuales se redujeron drásticamente. Muchos afectados recibieron menos de diez dólares, y el proceso de reclamación fue criticado por ser innecesariamente complejo y burocrático.
Comparación con Otras Mega-Brechas e Impacto
La brecha de Equifax no fue la más grande en términos de número de registros comprometidos. Yahoo reveló en 2016 que 3.000 millones de cuentas habían sido comprometidas en una brecha ocurrida en 2013-2014. Marriott anunció en 2018 que 500 millones de registros de huéspedes habían sido expuestos durante cuatro años. Sin embargo, la brecha de Equifax se considera generalmente la más grave debido a la sensibilidad de los datos comprometidos. Un número de Seguro Social robado puede ser utilizado durante décadas para abrir cuentas fraudulentas, solicitar préstamos y cometer innumerables formas de fraude de identidad.
Paradójicamente, la brecha de Equifax fue un catalizador para el crecimiento de la industria de monitoreo de crédito y protección contra el robo de identidad. La propia Equifax se benefició irónicamente del aumento de la demanda de servicios de monitoreo de crédito, generando críticas por profitar del problema que ella misma había creado.
La brecha también impulsó la adopción generalizada del congelamiento de crédito gratuito. En septiembre de 2018, el Congreso aprobó una ley que obligó a las agencias de crédito a ofrecer el congelamiento y descongelamiento de crédito de forma completamente gratuita.
Lecciones Fundamentales
El caso Equifax ofrece lecciones críticas que siguen siendo relevantes para cualquier organización que maneje datos sensibles. La primera y más obvia es que los parches de seguridad deben aplicarse de forma inmediata, especialmente cuando se trata de vulnerabilidades con exploits conocidos. La segunda es que la seguridad informática no es solo una cuestión tecnológica, sino una cuestión de cultura organizacional que debe ser prioritaria desde la junta directiva hasta el último empleado. Y la tercera es que la respuesta a incidentes es tan importante como la prevención: la demora de cinco semanas en la divulgación pública, combinada con las ventas de acciones de los ejecutivos, causó tanto daño reputacional como la propia brecha. La ciberseguridad exige vigilancia constante, inversión continua y, sobre todo, un compromiso genuino con la protección de las personas cuya información se tiene el privilegio de gestionar.
Sobre el Autor
Carlos Mendoza Rivera – Experto en análisis de amenazas con más de 12 años de experiencia
Última actualización: 2026 | Contenido verificado por expertos en ciberseguridad
