La pista de un informante derivó en un arresto por una violación masiva al sistema informático de Capital One
Capital One Financial Corp. configuró una dirección de correo electrónico para que los informantes -incluidos los piratas informáticos de “sombrero blanco”- alerten a la empresa sobre posibles vulnerabilidades en sus sistemas informáticos. El 17 de julio pasado, la compañía dio con una pista importante.
“Hola”, decía el email, según los fiscales federales. “Parece que hay algunos datos suyos filtrados en el github/gist de alguien”. También había un enlace a una cuenta en GitHub, una compañía que permite a los usuarios administrar y almacenar revisiones de proyectos, principalmente relacionadas con el desarrollo de software. China está rastreando y castigando a los jugadores jóvenes por el tiempo de juego “excesivo” con la ayuda de compañías estadounidenses, incluyendo Riot Games.
No le llevó mucho tiempo a Capital One descubrir quién había accedido a sus archivos. La dirección de GitHub incluía un nombre, Paige Thompson, una ex empleada de Amazon.com Inc. que utilizaba el apodo en línea “errática” y discutía sus hazañas con otros, según los fiscales federales. “Básicamente me coloqué un chaleco explosivo... al dar a conocer los documentos de Capitol One y admitirlo”, al parecer escribió Thompson, bajo el alias “errática”, en un mensaje de Twitter del 18 de junio. “Hay ‘nss’... con nombre completo y fecha de nacimiento”, una referencia aparente a números del seguro social.
Evaluación de daños
Tampoco le llevó mucho tiempo a Capital One evaluar el daño. El lunes, anunció que aproximadamente 100 millones de personas en EE.UU habían sido afectadas por la filtración, y otros seis millones de individuos en Canadá. Los datos a los que se accedió ilegalmente, que se almacenaban en los servidores alquilados de Amazon Web Services, se relacionaban principalmente con aplicaciones de tarjetas de crédito e incluían información personal, como nombres, direcciones y fechas de nacimiento, y cierta información financiera, incluidos ingresos y puntajes de crédito.
Los puntajes de crédito se benefician de buenos hábitos, incluyendo pagar el saldo total cada mes y no acercarse ni remotamente a su límite de crédito.
La mayoría de los números de seguro social estaban protegidos, pero cerca de 140.000 quedaron comprometidos, indicó el banco. Para Capital One es “improbable que la información fuera utilizada para cometer un fraude o difundida por esta persona”.
La compañía describió al informante que descubrió la filtración como un “investigador de seguridad externo”.
Thompson, de 33 años, fue acusada de fraude y abuso informático. En una audiencia en la corte, el lunes, se echó a llorar y apoyó la cabeza en la mesa de la defensa.
Anduril es una empresa de nueva creación respaldada por capital de riesgo que se ha unido orgullosamente a las filas del complejo militar-industrial. Aduanas y Protección Fronteriza está utilizando su red de vigilancia de alta tecnología como un “muro virtual”; Anduril ha firmado acuerdos con las ramas militares de Estados Unidos y del Reino Unido.
La escala de la filtración la clasifica como posiblemente una de las más grandes que haya afectado a un banco de EE.UU, aunque las consecuencias pueden ser limitadas si los datos no fueron distribuidos a otros ni se utilizaron para cometer fraude.
Las acciones de Capital One cayeron hasta un 6.5% el martes por la mañana, su mayor descenso en seis meses.
Fallas de seguridad
La filtración muestra cómo los piratas informáticos pueden robar grandes cantidades de datos de los consumidores como resultado de fallas de las empresas que los recopilan. En 2017, Equifax Inc. no pudo reparar un defecto conocido en sus servidores, lo cual resultó en el robo de 145 millones de números de seguro social, junto con los nombres y fechas de nacimiento de posiblemente un tercio de la población de EE.UU.
En el caso de Capital One, Thompson supuestamente pudo robar grandes cantidades de datos personales debido a la configuración incorrecta de un firewall, una de las herramientas de seguridad digital más básicas. El banco afirmó que solucionó el problema de inmediato una vez que fue descubierto.
En una denuncia presentada el lunes en Seattle, los fiscales alegaron que Thompson accedió a los datos en varias ocasiones entre el 12 de marzo y el 17 de julio. Un archivo en su cuenta de GitHub, fechado el 21 de abril, contenía una lista de más de 700 carpetas y buckets de información, según los fiscales.
Los datos de Capital One estaban guardados en servidores contratados por una empresa de computación en la nube que no fue identificada, aunque los cargos contra Thompson se refieren a información almacenada en S3, una referencia al popular software de almacenamiento de datos de Amazon Web Services.
Un portavoz de AWS confirmó que la nube de la compañía había almacenado los datos de Capital One que supuestamente fueron robados, y dijo que no se accedió a estos a través de una violación o vulnerabilidad en sus sistemas.
Defensor de la nube
Capital One ha sido uno de los principales defensores del uso de servicios en la nube entre los bancos. La entidad afirmó que está migrando un porcentaje cada vez mayor de sus aplicaciones e información a la nube, y planea dejar de usar completamente sus centros de datos para fines de 2020. La medida ayudará a reducir los costos, indicó la compañía.
La firma fue objeto de varios casos de estudio publicados por Amazon Web Services, que señalaron que el proveedor de servicios en la nube ayudó al banco a desarrollar nuevas tecnologías más rápido y mejorar ciertos servicios, incluido su centro de atención telefónica.
“Hemos adoptado la nube pública y estamos en camino de migrar nuestras aplicaciones y datos a ella”, dijo el presidente ejecutivo de la entidad, Richard Fairbank, a los analistas en una conferencia telefónica el pasado abril. “Ahora somos considerados como una de las empresas más pioneras en la nube, a nivel mundial”.
Thompson, quien fue anteriormente empleada de Amazon Web Services, trabajó por última vez en esa empresa en 2016, detalló un portavoz. La violación descrita por Capital One no requería de conocimiento interno, explicó el vocero.
‘Wa wa wa’
Mucho de lo que se pudo saber sobre Thompson este lunes fue información que había publicado en línea. En su cuenta de GitHub estaba escribiendo un código relacionado con Onion Router, o Tor, una herramienta de anonimato que permite a los usuarios ocultar sus identidades. Los investigadores de Capital One determinaron que Thompson lo usó en su ataque al banco, según los fiscales federales.
En las interacciones en línea, Thompson sugirió que había tenido cuidado de ocultar sus pistas digitales con varias herramientas de seguridad, incluida Tor. Pero la denuncia federal contra ella describe formas relativamente simples en que Capital One y el FBI pudieron establecer su identidad, incluido el nombre en su página de GitHub.
Thompson participaba activamente en la comunidad de piratas informáticos en Twitter, y recientemente escribió sobre sus cuestiones emocionales y sobre la eutanasia de su amado gato.
El 27 de junio, “errática” publicó sobre varias compañías -incluida Capital One- en un grupo en línea, según los registros judiciales. “No vayas a la cárcel por favor”, le escribió otro usuario.
“Wa wa wa wa, wa wa wa wa wa wa wawaaaaaaaaaaaa”, respondió Thompson, y luego agregó: “Sin embargo, no lo quiero cerca. Tengo que encontrar un lugar donde guardarlo”.
El 29 de julio, agentes del FBI ejecutaron una orden de allanamiento para registrar la residencia de Thompson. En una habitación, dijeron, encontraron dispositivos digitales con archivos que hacían referencia a Capital One y su empresa de servicios en la nube. Los dispositivos también incluían el alias “errática”.
Andrew Martin, Matt Day y Michael Riley contribuyeron con este artículo.
Para leer esta nota en inglés, hace clic aquí
Suscríbase al Kiosco Digital
Encuentre noticias sobre su comunidad, entretenimiento, eventos locales y todo lo que desea saber del mundo del deporte y de sus equipos preferidos.
Ocasionalmente, puede recibir contenido promocional del Los Angeles Times en Español.
