Tecnología
Miércoles 31 julio de 2019 | Publicado a las 08:15
Sorpresa y preocupación tras masivo robo de datos en EEUU ejecutado por una "aficionada"
Por Bernardita Villa
La información es de Agence France-Presse
visitas

El robo masivo de datos de Capital One, en lo que parece haber sido un ataque sencillo ejecutado por una sola pirata inform√°tica, pone en duda la seguridad del sistema financiero y alerta sobre las amenazas a los servidores en la nube.

El motivo detr√°s del robo y su impacto siguen siendo confusos el martes, un d√≠a despu√©s de que los agentes del FBI arrestaran a la pirata inform√°tica Paige Thompson, de 33 a√Īos, y la acusaran de robar datos de m√°s de 100 millones de solicitudes de tarjetas de cr√©dito del d√©cimo mayor banco estadounidense.

“La mayor sorpresa es la naturaleza aficionada del ataque”, dijo John Dickson, de la consultora de seguridad Denim Group.

Dickson consider√≥ “completamente descabellado” que un solo atacante pudiera tener acceso a tanta informaci√≥n de una de las mayores instituciones financieras estadounidenses, y a√Īadi√≥ que el caso “podr√≠a tener un gran impacto en la confianza en el sistema bancario”.

Parece que el robo de Capital One es diferente de otras violaciones de seguridad, como aquellas ocurridas contra la agencia crediticia Equifax o el gigante Yahoo… atribuidas a sofisticadas entidades de pa√≠ses enfrentados a Estados Unidos.

Las autoridades estadounidenses aseguraron que Thompson, extrabajadora de Amazon Web Services (AWS), fue arrestada tras presumir del robo en sitios como GitHub, Twitter y Slack.

Darren Hayes, profesor de ciencias inform√°ticas de la Universidad de Pace especializado en ciberseguridad, dijo que la capacidad de arrestar y juzgar tan r√°pidamente al atacante en este tipo de robos es extra√Īa.

“La mayor√≠a de estos casos son cometidos por hackers en otros pa√≠ses”, asegur√≥.

Buenos por el mal camino

Hayes a√Īadi√≥ que el incidente pone de manifiesto el riesgo de ataques “internos” cuando empleados de confianza recurren al robo.

“Es desafiante encontrar a los buenos que tomaron el mal camino, entonces, muchos bancos est√°n tratando de hacerlo” con herramientas de inteligencia artificial que detectan anomal√≠as en el comportamiento de los empleados, dijo Heyes.

Capital One explicó que el incidente afectó a casi 100 millones de clientes en Estados Unidos y a 6 millones en Canadá.

Tan solo algunos datos estaban encriptados, pero Capital One dijo que no hay indicios de que fueran transferidos o vendidos a ning√ļn lugar peligroso para los clientes.

Aun así, Hayes consideró que hay un riesgo de pérdida de datos que puede comprometer a los clientes.

“Mi impresi√≥n es que veremos muchas denuncias colectivas y que la compa√Ī√≠a deber√° hacerse cargo de muchos da√Īos”, a√Īadi√≥.

La noticia aparece luego de que la semana pasada Equifax accediera a pagar casi 700 millones de dólares por un incidente parecido de 2017 que afectó a casi 150 millones de clientes.

La fiscal general de Nueva York, Letitia James, dijo que abrirá una investigación.

“Mi oficina empezar√° inmediatamente una investigaci√≥n sobre el robo de Capital One, y trabajar√° para asegurar que los estadounidenses que fueron v√≠ctimas de la filtraci√≥n sean recompensados”, asegur√≥.

Objetivo m√°s f√°cil

Dylan Gilbert, del grupo de consumidores Public Knowledge, dijo que la noticia pone de manifiesto las preguntas sobre los procedimientos de seguridad de los grandes bancos.

“¬ŅPor qu√© Capital One no encript√≥ todos los datos, y por qu√© no coloc√≥ toda esta valiosa informaci√≥n personal detr√°s de un cortafuegos de seguridad eficiente?”, se pregunt√≥.

“La seguridad es un desaf√≠o y los errores suceden, pero desafortunadamente para los consumidores, las empresas no tienen incentivos para desarrollar mejores pr√°cticas de seguridad cibern√©tica cuando el castigo son sanciones financieras”.

Joseph Hall, el director de tecnología del Center for Democracy & Technology, dijo que el incidente pone de manifiesto el riesgo de la dependencia de la computación en la nube, que almacena grandes cantidades de datos en servidores.

“El hecho de que haya muchos m√°s datos en la nube hace que sean un objetivo m√°s f√°cil”, dijo Hall.

“Si los servicios en la nube est√°n mal configurados, es relativamente f√°cil que alguien se aproveche”.

El currículo en línea de Thompson indica que dejó Amazon en 2016, y no hubo indicios de que la nube de AWS fuera la culpable de la infracción.

“AWS no est√° comprometido de ninguna manera y funcion√≥ seg√ļn lo dise√Īado”, dijo Amazon en un comunicado.

“La autora del robo tuvo acceso por una configuraci√≥n incorrecta de la aplicaci√≥n web y no mediante la infraestructura basada en la nube”, detall√≥.

Tendencias Ahora