Capital One, uno de los diez bancos más importantes de los EEUU, ha confirmado que fue hackeado el pasado marzo y la responsable obtuvo los datos de cientos de millones de personas. Se trata de uno de los mayores ataques hácker de lo que llevamos de año, y uno de los más importantes de la historia del sector financiero.

Noticias relacionadas

Proteger nuestros sistemas es importante, pero lo es aún más para las entidades financieras por la sensibilidad de los datos que manejan; por supuesto, eso también es lo que las hace los objetivos más jugosos para los hackers. Quien se arriesgue, puede conseguir información muy valiosa que podrá vender a precios desorbitados en la Dark Web o directamente a clientes.

Ya hay una persona arrestada por el caso, Paige A. Thompson, ingeniera de software; no está claro si ya ha compartido la información que obtuvo, y no hay indicios de que los datos hayan terminado en la red, pero toda precaución es poca. Porque la cantidad de datos obtenidos es abrumadora.

Cómo Capital One ha sido hackeado

Entre los datos que se han confirmado robados se encuentran:

  • Información de solicitudes de tarjetas de crédito, incluyendo nombres, direcciones, códigos postales, números de teléfono, direcciones de e-mail, fecha de nacimiento e ingresos.
  • Transacciones y estado de la cuenta del cliente, como la puntuación crediticia.
  • 140.000 números de seguridad social de estadounidenses (en EEUU se usan como identificador personal al no tener nada parecido al DNI), y 1 millón de canadienses.
  • 80.000 números de cuenta bancaria.

Los números de las tarjetas de crédito en sí no fueron obtenidos por la atacante, ni los datos de inicio de sesión. Sin embargo, no es precisamente un consuelo para los aproximadamente 100 millones de afectados en EEUU, y los 6 millones en Canadá.

Los detalles del ataque aún son escuetos. Según Capital One, la hácker consiguió acceso a los sistemas dedicados a las solicitudes de nuevas tarjetas de crédito el pasado marzo. Lo consiguió aprovechándose de una vulnerabilidad presente en la infraestructura interna de la compañía, referida a una "configuración específica". La compañía afirma que no es una vulnerabilidad relacionada específicamente con la nube, ya que los elementos afectados son comunes tanto a la web como a los sistemas usados en las sucursales del banco.

Una hácker con miedo por lo que había hecho

Curiosamente, Thompson ha sido arrestada gracias a que habló de esta vulnerabilidad en sitios como GitHub y Slack; con el nombre "erratic", compartió detalles que sólo podría haber sabido ella, y Capital One fue advertida de esto. En los mensajes, Thompson admitió que, básicamente, se había "puesto un chaleco bomba" al realizar el ataque y admitirlo. Publicó una lista de los archivos que había obtenido y se mostró preocupada por tenerlos en su servidor, buscando una manera de archivarlos en otro sitio.

Con este comportamiento, es posible que Thompson haya intentado hackear Capital One no para su beneficio, sino por entretenimiento o por el desafío. En ese caso, es posible que no haya vendido estos datos, que estaban cifrados, pero que ella pudo ver al obtener acceso a la red interna de la compañía.