Por GENE JOHNSON
SEATTLE, Washington, EE.UU.
Agencia (AP)
Un ataque informático contra el banco estadounidense Capital One Financial, uno de los mayores emisores de tarjetas de crédito del país, puso en riesgo la información personal de unas 106 millones de personas, y en algunos casos la presunta hacker obtuvo números de Seguro Social y cuentas bancarias.
Las autoridades federales interrogan a una sospechosa, detenida ayer, de lo que es una de las mayores transgresiones de seguridad a una de las principales instituciones financieras estadounidenses registradas hasta ahora.
Paige A. Thompson, quien utiliza el apodo «Erratic», fue acusada de un delito de fraude y abuso informático en la Corte del Distrito en Seattle. La sospechosa compareció ante el tribunal y permanecerá detenida hasta una vista el jueves.
Los agentes federales comenzaron a rastrear a Thompson después de que Capital One les notificó de una posible transgresión informática este mes.
El 18 de junio, Thompson envió un mensaje en Twitter a otro usuario diciendo: «Básicamente me he colocado un chaleco con bombas, dejando caer (grosería) papeles de Capitol One y admitiéndolo».
El FBI registró la vivienda de Thompson ayer y confiscó dispositivos digitales. Una búsqueda inicial mostró archivos que aludían a Capital One y «otras entidades que podrían haber sido objetivos de intrusiones tentativas o completas».
Thompson fue ingeniera de sistemas en Amazon Web Services (AWS) entre 2015 y 2016, unos tres años antes de que se produjera la intrusión.
Aunque Capital One utiliza ese servicio, no hay evidencia de que el sistema de Amazon en la nube haya estado involucrado en el ataque.
«AWS no estuvo comprometida de ninguna manera y funcionó como estaba diseñada», dijo hoy un portavoz de la compañía. «El responsable tuvo acceso a través de una mala configuración de la aplicación web y no de la infraestructura subyacente basada en la nube. Como Capital One explicó claramente en su revelación, este tipo de vulnerabilidad no es específica de la nube».
Capital One Financial Corp. fue notificado por un tercero el 19 de julio que sus datos aparecieron en el sitio de alojamiento de códigos GitHub, que es propiedad de Microsoft. El banco, con sede en McLean, Virginia, dijo que notificó inmediatamente al FBI.
El FBI dijo que un usuario de Twitter que usaba el nombre «Erratic» envió a otro usuario mensajes directos en los que advirtió sobre la distribución de los datos del banco, incluyendo nombres, fechas de nacimiento y números de Seguro Social. Ese usuario reportó el mensaje a Capital One.
El banco dijo que era improbable que los datos se hubieran utilizado para fraudes, pero la investigación continúa.
La filtración afectó a unas 100 millones de personas en Estados Unidos y otras 6 millones en Canadá.
El banco dijo que la mayor parte de los datos hackeados consistían en información suministrada por personas y pequeñas empresas que solicitaron tarjetas de crédito entre 2005 y principios de 2019.
Además de datos como números de teléfono, direcciones de correo electrónico, fechas de nacimiento e ingresos declarados, la hacker también pudo tener acceso a las calificaciones crediticias, límites y saldos de crédito, así como a fragmentos de información de transacciones de un total de 23 días en 2016, 2017 y 2018.
«Aunque estoy agradecido de que el perpetradora haya sido capturada, lamento profundamente lo que ha ocurrido», dijo el director ejecutivo de Capital One, Richard Fairbank. «Me disculpo sinceramente por la comprensible preocupación que este incidente debe estar causando a los afectados y me comprometo a hacer lo correcto», agregó.
Un abogado de oficio al que se asignó la defensa de Thompson no respondió en un primer momento a un correo electrónico pidiendo comentarios.