Capital One: Instrucciones para robar un banco

A la programadora Paige A. Thompson le bastaron tres instrucciones de cómputo para tener acceso a la base de datos del banco Capital One y acceder a información personal de 106 millones de clientes de tarjetas de crédito de Estados Unidos y Canadá. Al menos eso dice la denuncia contra Thompson por ingresar sin autorización y obtener información confidencial en posesión de Capital One Financial Corporation. No existen detalles sobre esas tres instrucciones, pero por lo absurdo que parece el caso bien podrían ser las de 1. encender la computadora, 2. navegar por algún indexador de archivos de servidores en la nube, como los de Amazon Web Services, para encontrar la base de datos de Capital One y 3. hacer una copia de la información en su computadora personal.

Thompson —casualmente una exprogramadora de Amazon Web Services (AWS) que dejó la compañía hace tres años— ingresó con facilidad a los servidores que Capital One le renta a Amazon, uno de los mayores proveedores de cómputo en la nube (servicios de capacidad de cómputo y hospedaje de información para acceso remoto). Se cree que Thompson, de 33 años, obtuvo el acceso a través de un software de monitoreo de tráfico desarrollado por ingenieros de Capital One y ejecutado desde AWS. La historia apunta más a un error de configuración de seguridad que a un sofisticado esquema de hackeo y conspiración criminal. Thompson actuó con una ingenuidad bárbara en sus redes sociales (en Twitter, en un grupo de Slack y en una página del repositorio GitHub) que hace creer que desconocía la gravedad de la situación o que practicaba sin experiencia un pasatiempo del sector de la infoseguridad: navegar por bases de datos sin contraseñas.

La vulneración de Capital One se dio a conocer el lunes 29 de julio. Según el banco, uno de los mayores proveedores de tarjetas de crédito en Estados Unidos, la información expuesta se compone de nombres, direcciones postales, números telefónicos, correos electrónicos, años de nacimiento y reportes de ingresos. En algunos casos, dijo Capital One, se filtraron reportes crediticios, estados de cuenta, historiales de pago e información de contacto. La vulneración es casi comparable con la ocurrida en 2017 al buró de crédito Equifax, cuando fueron expuestos los datos de 140 millones de consumidores.

Si se trató de un error de configuración —cuya responsabilidad recae prácticamente en el equipo de tecnologías de la información de Capital One— estaremos ante un nuevo capítulo de un largo historial que se repite en cualquier parte del mundo, incluido México.

En la misma semana en que Capital One se lamentaba de la vulneración —sin calificarla como “hackeo”, como tampoco hizo el FBI cuando anunció la detención de Thompson, a quien identificó como una “trabajadora tecnológica de Seattle”—, la cadena mexicana Librería Porrúa tuvo que admitir que había expuesto en internet sin contraseñas ni medidas de seguridad los datos personales de 1.4 millones de sus clientes.

Antes hemos reportado aquí las filtraciones de datos personales provocadas por la proveedora de servicios de imagenología Hova Health en Michoacán, por la startup de contabilidad Enconta y por la consultora internacional KPMG. Otro caso para enmarcar es el del sitio de noticias Cultura Colectiva, que dejó a la vista de cualquier 540 millones de registros con información personal de sus seguidores en la red social Facebook. Todos con el mismo sello: una mala configuración de seguridad de la información que los ingenieros de estas compañías suben a los servidores en la nube que contratan.

A como se ven las cosas, no se necesita ser un hacker para robar un banco. Basta tener una computadora y saber buscar en los archivos indexados sin contraseña en servidores de Amazon —o de cualquier otro servicio en la nube, como Azure de Microsoft— para acceder a información confidencial en posesión de privados. ¿Mayores sanciones económicas pueden hacer que las compañías tomen en serio la seguridad de la información de sus clientes? El caso Facebook deja claro que no. ¿Y si además de castigar penalmente al supuesto hacker impusiéramos cárcel a los descuidados? Quizá otra historia contaríamos. Porque lo único cierto es que nadie ha aprendido nada de las vulneraciones conocidas y sólo estamos a la espera de la siguiente gran filtración.

Hackeos a empresas privadas

• Hackear un casino: lecciones de MGM y Caesars en Las Vegas (9 de octubre, 2022)
• Hackear a Rackspace (14 de diciembre, 2022)
• Hola, me robaron tus datos personales… Atte. Twitter (15 de agosto, 2022)
• Lecciones del hackeo a McDonald’s México (2 de mayo, 2022)
• Hay más usuarios afectados por hackeo a Mercado Libre (23 de abril, 2022)
• Lecciones del hackeo a Mercado Libre (13 de marzo, 2022)
• Lecciones del hackeo a YoTePresto (16 de agosto, 2020)
• Lecciones del hackeo a iVoy (10 de agosto, 2020)
• Lecciones del hackeo a Bitso (11 de junio, 2020)
• Hoteles Marriott: salvados por el coronavirus (4 de junio, 2020)
• Capital One: Instrucciones para robar un banco (5 de agosto, 2019)
• Empleados de KPMG México descargaron facturas del SAT sin autorización y vulneraron datos personales de sus clientes (19 de abril, 2019)
• Lecciones del hackeo a los hoteles Marriott (10 de diciembre, 2018)
• ¿Cuánto pagará Uber en México por el hackeo de datos personales? (1 de octubre, 2018)
• Enconta expuso estados de cuenta y otros datos personales de sus clientes en la nube de Amazon (24 de septiembre, 2018)
• Hova Health: a la vista de quien sea, los datos personales sensibles de ciudadanos de Michoacán (20 de agosto, 2018)
• Uber: el negocio, por encima de la seguridad de usuarios y choferes (3 de diciembre, 2017)
• Lecciones del hackeo a la consultora Deloitte (9 de octubre, 2017)
• Lecciones del hackeo al buró de crédito Equifax (11 de septiembre, 2017)
• Hackear las elecciones (9 de junio, 2017)
• Yahoo: Hit me, baby, one more time (24 de enero, 2017)

Comentarios