Buena parte de la afectación que generó el hackeo al holding bancario estadounidense Capital One se pudo haber evitado si la compañia hubiera recurrido a soluciones de cifrado de datos robustas no solo para la información que considera particularmente sensible, sino para todos los datos de sus usuarios, de acuerdo con Israel Rosas, gerente de Comunicaciones para América Latina y el Caribe de Internet Society.

Este 29 de julio, Capital One anunció a través de un comunicado que había sido víctima de un hackeo por el que se extrajo la información de 100 millones de sus clientes en Estados Unidos y de 6 millones en Canadá.

“Nosotros vemos al cifrado como una herramienta legítima para proteger las comunicaciones y los datos de las personas. Si eliminamos el cifrado eliminamos la posibilidad de establecer comunicaciones seguras con los bancos o con nuestro doctor. Justo ahora que se descubre esta vulneración, nos llama la atención el hecho de que sus consecuencias pudieron haberse evitado si los datos hubieran estado cifrados”, dijo.

Rosas aseguró que este incidente es un llamado a las organizaciones acerca de que ningún sistema es infalible. “Por eso instamos a las organizaciones a que tomen en cuenta que cuando colectan y manejan datos de personas se están enfrentando a un tema complicado que puede tener implicaciones no solo para la organización sino para sus clientes”, dijo.

 

La Internet Society es una organización no gubernamental y sin fines de lucro que se encarga de desarrollar protocolos y estándares para el adecuado funcionamiento de la internet. Fue fundada en 1991 y desde entonces ha abordado temas como la neutralidad de la red, la privacidad y la llegada de cada vez más participantes al ecosistema digital.

Los hechos

Capital One anunció el 29 de julio pasado que había descubierto un acceso no autorizado a información de usuarios que habían solicitado tarjetas de crédito y de quienes ya contaban con uno de estos productos. La compañía avisó al Buró Federal de Investigaciones, quien realizó la detención de una residente de la ciudad de Seattle como presunta autora del hackeo.

“Según nuestro análisis hasta la fecha, este evento afectó a aproximadamente 100 millones de personas en los Estados Unidos y aproximadamente 6 millones en Canadá”, refirió la compañía.

Según el sitio especializado en seguridad de la información Security Boulevard, para realizar el hackeo, el atacante descubrió un servidor con un firewall mal configurado, con lo que tuvo acceso al dispositivo que almacena las credenciales (contraseñas) de almacenamiento en un servicio de nube provisto por Amazon Web Services. Gracias a estas contraseñas fue que el atacante pudo extraer la información que publicó en sus redes sociales y en GitHub.

Entre los datos filtrados se encuentran:

  1. Nombres, direcciones, códigos postales, números telefónicos, direcciones de correo electrónicos, fechas de nacimiento e ingresos percibidos de usuarios individuales y pequeños negocios que aplicaron para obtener una tarjeta de crédito entre 2005 y 2019.
  2. Calificaciones de crédito, límites de crédito, balances e historiales de pago, así como información de contacto de clientes.
  3. Fragmentos de información sobre transacciones de un total de 23 días entre 2016, 2017 y 2018.
  4. 140,000 números de seguridad social de usuarios de tarjetas de crédito.
  5. 80,000 números de cuenta vinculados con sus usuarios de tarjetas de crédito
  6. 1 millón de números de aseguramiento de usuarios canadienses.

De acuerdo con el banco, les ofrecerá a sus clientes monitoreo de sus créditos y protección contra robo de identidad de forma gratuita.

Repercusiones 

Aunque, según el holding bancario, “es poco probable que la información haya sido utilizada para cometer fraude o haya sido difundida por el autor del hackeo, tanto para Rosas como para Justin Fier, director de Analitica e Inteligencia de la compañía de ciberseguridad británica Darktrace lo mas probable es que los datos filtrados a través por este incidente ya estén en manos de otras personas.  

“A pesar que el autor ya ha sido identificado, eso no significa que el impacto de esta violación de datos haya sido prevenido. Revisando la línea de tiempo de cuando la atacante tuvo acceso, esta información probablemente ya se encuentra en la Dark Web. En la nueva era digital, los datos son dinero, y cuando caen en las manos incorrectas, se pueden esparcir como fuego entre la comunidad criminal”, refirió Fier en un comunicado.

De acuerdo con Israel Rosas, este tipo de situaciones no culmina con un número de registros filtrados en un incidente sino que dicha base de datos puede ayudar a establecer correlaciones que permiten otros delitos, como la extorsión y el robo de identidad.

“La recomendación que nosotros hacemos es que si se recaban datos personales con fines comerciales se haga solo por el tiempo necesario porque los criminales no van a tener acceso a los datos que no se tienen. Si el recabado de datos y el tratamiento ya cumplieron con sus fines, lo mejor es deshacerse de los datos y los que se requieran mantenerlos bajo mecanismos de cifrado”, sugirió.

[email protected]