El robo masivo de datos de Capital One, en lo que parece haber sido un ataque sencillo ejecutado por una sola pirata informática, pone en duda la seguridad del sistema financiero y alerta sobre las amenazas a los servidores en la nube.

El motivo detrás del robo y su impacto siguen siendo confusos el martes, un día después de que los agentes del FBI arrestaran a la pirata informática Paige Thompson, de 33 años, y la acusaran de robar datos de más de 100 millones de solicitudes de tarjetas de crédito del décimo mayor banco estadounidense.

"La mayor sorpresa es la naturaleza aficionada del ataque", dijo John Dickson, de la consultora de seguridad Denim Group.

Dickson consideró "completamente descabellado" que un solo atacante pudiera tener acceso a tanta información de una de las mayores instituciones financieras estadounidenses, y añadió que el caso "podría tener un gran impacto en la confianza en el sistema bancario".

Parece que el robo de Capital One es diferente de otras violaciones de seguridad, como aquellas ocurridas contra la agencia crediticia Equifax o el gigante Yahoo... atribuidas a sofisticadas entidades de países enfrentados a Estados Unidos.

Las autoridades estadounidenses aseguraron que Thompson, extrabajadora de Amazon Web Services (AWS), fue arrestada tras presumir del robo en sitios como GitHub, Twitter y Slack.

Darren Hayes, profesor de ciencias informáticas de la Universidad de Pace especializado en ciberseguridad, dijo que la capacidad de arrestar y juzgar tan rápidamente al atacante en este tipo de robos es extraña.

"La mayoría de estos casos son cometidos por hackers en otros países", aseguró.

Buenos por el mal camino

Hayes añadió que el incidente pone de manifiesto el riesgo de ataques “internos” cuando empleados de confianza recurren al robo.

"Es desafiante encontrar a los buenos que tomaron el mal camino, entonces, muchos bancos están tratando de hacerlo" con herramientas de inteligencia artificial que detectan anomalías en el comportamiento de los empleados, dijo Heyes.

Capital One explicó que el incidente afectó a casi 100 millones de clientes en Estados Unidos y a 6 millones en Canadá.

Tan solo algunos datos estaban encriptados, pero Capital One dijo que no hay indicios de que fueran transferidos o vendidos a ningún lugar peligroso para los clientes.

Aun así, Hayes consideró que hay un riesgo de pérdida de datos que puede comprometer a los clientes.

"Mi impresión es que veremos muchas denuncias colectivas y que la compañía deberá hacerse cargo de muchos daños", añadió.

La noticia aparece luego de que la semana pasada Equifax accediera a pagar casi US$ 700 millones por un incidente parecido de 2017 que afectó a casi 150 millones de clientes.

La fiscal general de Nueva York, Letitia James, dijo que abrirá una investigación.

"Mi oficina empezará inmediatamente una investigación sobre el robo de Capital One, y trabajará para asegurar que los estadounidenses que fueron víctimas de la filtración sean recompensados", aseguró.

Objetivo más fácil

Dylan Gilbert, del grupo de consumidores Public Knowledge, dijo que la noticia pone de manifiesto las preguntas sobre los procedimientos de seguridad de los grandes bancos.

“¿Por qué Capital One no encriptó todos los datos, y por qué no colocó toda esta valiosa información personal detrás de un cortafuegos de seguridad eficiente?”, se preguntó.

“La seguridad es un desafío y los errores suceden, pero desafortunadamente para los consumidores, las empresas no tienen incentivos para desarrollar mejores prácticas de seguridad cibernética cuando el castigo son sanciones financieras”.

Joseph Hall, el director de tecnología del Center for Democracy & Technology, dijo que el incidente pone de manifiesto el riesgo de la dependencia de la computación en la nube, que almacena grandes cantidades de datos en servidores.

"El hecho de que haya muchos más datos en la nube hace que sean un objetivo más fácil", dijo Hall.

"Si los servicios en la nube están mal configurados, es relativamente fácil que alguien se aproveche".

El currículo en línea de Thompson indica que dejó Amazon en el 2016, y no hubo indicios de que la nube de AWS fuera la culpable de la infracción.

"AWS no está comprometido de ninguna manera y funcionó según lo diseñado", dijo Amazon en un comunicado.

“La autora del robo tuvo acceso por una configuración incorrecta de la aplicación web y no mediante la infraestructura basada en la nube”, detalló.