Por John P. Mello Jr.
31 de julio de 2019 2:28 AM PT
Capital One Financial Corporation anunció el lunes una violación de datos que afecta a unos 100 millones de personas en los Estados Unidos y otros 6 millones en Canadá. El FBI arrestó al presunto autor de la violación en Seattle.
Capital One descubrió el 19 de julio que alguien había accedido a sus datos almacenados en línea y obtuvo información personal de clientes de tarjetas de crédito y personas que habían solicitado productos de tarjetas de crédito.
No se comprometieron los números de cuenta de tarjeta de crédito ni las credenciales de inicio de sesión en la violación, que se cree que duró casi cinco meses, del 12 de marzo al 17 de julio, dijo la compañía.
Sin embargo, el intruso accedió a 140,000 números de Seguro Social y 80,000 números de cuentas bancarias pertenecientes a clientes con crédito asegurado. Las tarjetas de crédito aseguradas se emiten a personas que tienen calificaciones sin crédito o de crédito bajo.
Según su análisis hasta la fecha, Capital One cree que es poco probable que la información se haya utilizado en ataques generalizados.
"Parece que la violación se descubrió antes de que el presunto hacker tuviera la oportunidad de difundir ampliamente la información para su explotación", dijo el ex agente del FBI Leo Taddeo, ahora CISO de
Tecnologías Cyxtera, un proveedor de plataforma de infraestructura segura con sede en Coral Gables, Florida.
"Entonces, si ningún pirata informático adicional tuvo acceso al mismo punto de entrada, existe la posibilidad de que se haya contenido la violación", dijo a TechNewsWorld.
Las personas afectadas serán notificadas a través de una variedad de canales, dijo la compañía, y los servicios gratuitos de monitoreo de crédito y protección de identidad estarán disponibles para todos los afectados por el evento.
La compañía espera incurrir en costos relacionados con el incumplimiento de US $ 100 millones a $ 150 millones en 2019.
"Si bien estoy agradecido de que el perpetrador haya sido atrapado, lamento profundamente lo que sucedió", dijo el CEO de Capital One, Richard D. Fairbank. "Pido disculpas sinceramente por la preocupación comprensible que este incidente debe estar causando a los afectados y estoy comprometido a corregirlo".
Hacker capturado
Mientras Fairbank se disculpaba por la violación de datos, el FBI estaba ocupado arrestando a Paige A. Thompson, de 33 años, ex ingeniera de software de Amazon, por la violación de Capital One.
Thompson fue identificada como el presunto perpetrador después de que ella se jactó de GitHub sobre el robo de datos de Capital One, según una denuncia penal presentada en un tribunal federal en Seattle. GitHub es el sitio web más grande del mundo para desarrolladores.
Thompson dijo que accedió a los datos explotando un firewall mal configurado para proteger los datos almacenados en la nube de Amazon Web Services.
Un usuario de GitHub que vio los comentarios de Thompson alertó a Capital One. Capital One alertó al FBI, que obtuvo una orden de allanamiento para la residencia de Thompson. Allí, los agentes confiscaron dispositivos de almacenamiento electrónico que contenían una copia de los datos de Capital One.
Thompson enfrentará cargos de fraude y abuso informático, punibles con hasta cinco años de prisión y una multa de $ 250,000.
En este caso, Capital One parece haber tenido suerte.
"Este atacante fue descuidado y jactancioso. La mayoría de los hackers que intentan promover sus propias habilidades serán atrapados", dijo Satya Gupta, CTO de
Virsec, una empresa de seguridad de aplicaciones en San José, California.
"Es más inquietante que Capital One o AWS no notaron al pirata informático, que la empleó. No tuvieron idea hasta después del hecho", dijo a TechNewsWorld.
"Para Capital One, fue fortuito que el individuo que los alertó sobre la violación parece haber sido uno de los 'buenos'", agregó Taddeo de Cyxtera.
Sin embargo, todavía puede haber motivo de preocupación, señaló Arjun Sethi, un
socio y vicepresidente de la práctica de transformación digital en
A. Kearney, una consultora de estrategia y gestión global con sede en Chicago.
Con respecto a la aplicación web vulnerable, "no sabemos si esa vulnerabilidad fue comprometida por intrusos anteriores, o si los datos expuestos en el ataque actual se dejaron abiertos para que otros los aprovechen", dijo a TechNewsWorld.
Un Snafu Común
La falla de una configuración de firewall es un problema frecuente en la seguridad de la red, señaló Usman Rahim, ger ente de operaciones y seguridad digital en
La confianza de los medios
"Las empresas manipulan rutinariamente la configuración del firewall para lograr los resultados deseados en cualquier punto legítimo donde se pueda acceder a la aplicación web. Sin embargo, en el proceso corren el riesgo de configurar mal el firewall", dijo a TechNewsWorld.
"Los atacantes sofisticados saben muy bien cómo operan los servicios en la nube, incluidos los errores comunes en la configuración del firewall", dijo Rahim.
El firewall mal configurado permitió el acceso no autorizado a los datos de Capital One, pero la incapacidad para detectar el problema durante meses también fue un problema, observó Terence Jackson, director de seguridad de la información en
Thycotic, fabricante de software de gestión de contraseñas empresariales con sede en Washington, D.C.
"El tiempo de espera también ha sido un problema en otras infracciones de alto perfil", dijo a TechNewsWorld. "Las empresas deben auditar continuamente las configuraciones de estos servicios en la nube para garantizar que las brechas como estas estén cerradas".
Desde un punto de vista técnico, la nube de Amazon es muy difícil de romper, señaló Taddeo.
"Casi todas las infracciones en las que está involucrado AWS son el resultado de un error o intento humano, en lugar de una hazaña técnica", dijo.
"Según lo que sabemos, apostaría a que la configuración incorrecta del cortafuegos fue más probable como resultado de una acción interna maliciosa: el supuesto pirata informático se aprovechó de los privilegios que no debería haber tenido", especuló Taddeo. "Aún así, si es el resultado de una verdadera configuración errónea, el hecho es que todos somos vulnerables a los errores que las personas pueden cometer, incluso los profesionales de seguridad calificados".
No hay tristeza para la nube
Los críticos de la migración a la nube pueden usar la violación de Capital One para reforzar su posición de que la nube pública no es segura para datos críticos, pero eso sería un error, afirmó Richard Gold, jefe de ingeniería de seguridad de
Sombras digitales, un proveedor de soluciones digitales de protección de riesgos con sede en San Francisco.
"Este no es un escenario negativo para la nube", dijo a TechNewsWorld.
"Ataques como este subrayan la necesidad de conocer muy bien su entorno de nube, pero la configuración incorrecta de la que se aprovechó el atacante probablemente fue evitable, el resultado de un error humano", continuó Gold,
"La capacidad de Capital One para responder tan rápido se debió en parte a la instrumentación proporcionada por AWS", dijo. "Las personas deben ser proactivas a la hora de verificar sus entornos en la nube para garantizar que los grupos de seguridad, las redes, etc. estén configurados de la forma en que se espera que lo estén".
Los consumidores también pueden querer ser proactivos, a la luz de la violación de Capital One. Es una buena idea revisar el uso de contraseñas y evitar el uso de contraseñas más de una vez. Monitorear las transacciones financieras y de crédito por un tiempo también podría ser un ejercicio valioso.
"Lo primero que deben hacer los consumidores para proteger sus identidades es congelar su crédito contactando a Equifax, Experian y TransUnion. Es gratis, rápido y fácil. Puede hacerlo en línea o por teléfono", aconsejó Ted Rossman, analista de la industria. a
Creditcards.com en Austin, Texas
"Esta es la mejor manera de evitar que un criminal abra una cuenta no autorizada a su nombre", dijo a TechNewsWorld. "Desafortunadamente, solo uno de cada cuatro adultos estadounidenses ha congelado su crédito".
John P. Mello Jr. ha sido reportero de ECT News Network
desde 2003. Sus áreas de enfoque incluyen seguridad cibernética, problemas de TI, privacidad, comercio electrónico, redes sociales, inteligencia artificial, big data y electrónica de consumo. Ha escrito y editado para numerosas publicaciones, incluida la Boston Business Journal, la
Boston Phoenix, Megapixel.Net y Gobierno
Noticias de seguridad. Email John.