Capital One alertó a las autoridades sobre una violación de datos que afectó a más de 100 millones de clientes, resultando en el arresto de un desarrollador de software de la costa oeste
La violación masiva de datos en Capital One pareció ser un ataque sencillo de un solo pirata informático, planteando preguntas sobre la seguridad del sistema financiero y las amenazas internas a la computación en la nube.
El motivo de la violación y el alcance de su impacto no estaban claros el martes. un día después de que agentes del FBI arrestaran a la exingeniera web Paige Thompson, de 33 años, y la acusaran de robar datos de más de 100 millones de solicitudes de tarjetas de crédito del décimo banco más grande de Estados Unidos.
"La mayor sorpresa es la naturaleza amateur del ataque, "dijo John Dickson de la consultora de seguridad Denim Group.
Dickson dijo que era "absolutamente trascendental" que un atacante individual pudiera tener acceso a tanta información en una de las instituciones financieras más grandes de Estados Unidos.
"Esto podría tener un impacto importante en la confianza en el sistema bancario".
El hack de Capital One parece ser diferente de las principales violaciones de la firma de monitoreo de crédito Equifax, el gigante de Internet Yahoo y otros incidentes importantes que se han atribuido a entidades estatales sofisticadas.
Las autoridades estadounidenses dijeron que Thompson, un ex empleado de Amazon Web Services, fue arrestada sobre la base de un consejo después de que se jactara de acceder a los datos en el sitio de intercambio de software GitHub, así como en Twitter y Slack.
Darren Hayes, un profesor de informática de la Universidad de Pace especializado en ciberseguridad, dijo que la capacidad de arrestar y procesar rápidamente a un atacante en este tipo de casos es inusual.
"La mayoría de estos casos son perpetrados por piratas informáticos en otros países, " él dijo.
Los peores robos de datos personales por número de víctimas
'La gente buena se ha vuelto mala'
Hayes dijo que el incidente destaca el riesgo de ataques "internos" cuando los empleados de confianza recurren al robo.
"Es un desafío descubrir que las personas buenas se han vuelto malas, muchos bancos buscan eso ahora "con herramientas de inteligencia artificial para detectar anomalías en el comportamiento de los empleados, Dijo Hayes.
Capital One dijo que el incidente afectó a unos 100 millones de clientes estadounidenses y seis millones a Canadá. con hasta 140, 000 números de seguridad social de Estados Unidos y un millón de Canadá comprometidos.
Solo algunos de los datos estaban encriptados, pero Capital One dijo que no tenía indicios de que alguno de los datos fuera transferido o vendido donde pudiera ser perjudicial para los clientes.
Todavía, Hayes dijo que ve un riesgo de pérdida de datos que podría terminar comprometiendo a los clientes bancarios.
"Mi sensación es que veremos muchas demandas colectivas y la empresa podría ser responsable de muchos daños, " él dijo.
La noticia de la violación de Capital One se produce después de que la agencia estadounidense de monitoreo de crédito Equifax acordó la semana pasada pagar hasta $ 700 millones para resolver un incidente similar que afectó a la compañía en 2017. afectando a casi 150 millones de clientes.
La procuradora general del estado de Nueva York, Letitia James, dijo que su oficina estaba abriendo su propia investigación.
"Mi oficina comenzará una investigación inmediata sobre la violación de Capital One, y trabajará para garantizar que los neoyorquinos que fueron víctimas de esta infracción reciban alivio, "Dijo James.
Capital One dijo que un pirata informático obtuvo acceso no autorizado a los datos de los clientes del gigante bancario desde un firewall mal configurado.
'Objetivo más fácil'
Dylan Gilbert, del grupo de consumidores Public Knowledge, dijo que la noticia plantea preguntas sobre los procedimientos de seguridad del gran banco.
"¿Por qué Capital One no cifró completamente estos datos, y ¿por qué la empresa no colocó este enorme tesoro de información personal detrás de un firewall configurado correctamente? ", dijo Gilbert.
"La seguridad es un desafío y ocurren errores, pero desafortunadamente para los consumidores, las empresas no tienen ningún incentivo para participar en las mejores prácticas de seguridad cibernética cuando el castigo se presenta en forma de sanciones financieras que pueden tenerse en cuenta como un mero costo de hacer negocios ".
Joseph Hall, tecnólogo jefe del Center for Democracy &Technology, dijo que el incidente destaca el riesgo de depender demasiado de la computación en la nube, que almacena grandes cantidades de datos en servidores.
"El hecho de que haya muchos más datos en la nube hace que sea un objetivo más fácil, Hall dijo.
"Si los servicios en la nube están mal configurados, es relativamente fácil que alguien que pasa caminando se aproveche de eso".
El currículum en línea de Thompson indica que dejó Amazon en 2016, y no había indicios de que la propia nube de AWS tuviera la culpa de la infracción.
"AWS no se vio comprometido de ninguna manera y funcionó según lo diseñado, ", Dijo Amazon en un comunicado.
"El perpetrador obtuvo acceso a través de una mala configuración de la aplicación web y no de la infraestructura subyacente basada en la nube. Como Capital One explicó claramente en su divulgación, este tipo de vulnerabilidad no es específico de la nube ".
© 2019 AFP
