Una mujer fue acusada en la Corte del Distrito en Seattle por el ataque informático contra el banco estadounidense Capital One Financial, uno de los mayores emisores de tarjetas de crédito del país. Paige Thompson puso en riesgo la información personal de unos 106 millones de personas.
Las autoridades federales interrogan a una sospechosa, detenida el lunes, de lo que es una de las mayores transgresiones de seguridad a una de las principales instituciones financieras estadounidenses registradas hasta ahora.
Paige Thompson, quien utiliza el apodo “Erratic”, fue acusada de fraude y abuso informático en la Corte del Distrito en Seattle. La sospechosa compareció ante el tribunal y permanecerá detenida hasta el jueves.
Los agentes federales comenzaron a rastrear a Thompson después de que Capital One les notificó de una posible transgresión informática este mes.
El FBI registró la vivienda de Thompson el lunes y confiscó dispositivos digitales. Una búsqueda inicial mostró archivos que aludían a Capital One y “otras entidades que podrían haber sido objetivos de intrusiones tentativas o completas”.
Thompson fue ingeniera de sistemas en Amazon Web Services entre 2015 y 2016, unos tres años antes de que se produjera la intrusión.
Aunque Capital One utiliza ese servicio, no hay evidencia de que el sistema de Amazon en la nube haya estado involucrado en el ataque.
“AWS no estuvo comprometida de ninguna manera y funcionó como estaba diseñada”, dijo el martes un portavoz de la compañía. “El responsable tuvo acceso a través de una mala configuración de la aplicación web y no de la infraestructura subyacente basada en la nube. Como Capital One explicó claramente en su declaración, este tipo de vulnerabilidad no es específica de la nube”.
Capital One Financial Corp. fue notificado por un tercero el 19 de julio que sus datos aparecieron en el sitio de alojamiento de códigos GitHub, que es propiedad de Microsoft. El banco, con sede en McLean, Virginia, informó que notificó inmediatamente al FBI.
El FBI dijo que un usuario de Twitter que usaba el nombre “Erratic” envió a otro usuario mensajes directos en los que advirtió sobre la distribución de los datos del banco, incluyendo nombres, fechas de nacimiento y números de Seguro Social. Ese usuario reportó el mensaje a Capital One.
El banco indicó que es improbable que los datos se hubieran utilizado para fraudes, pero la investigación continúa.
La filtración afectó a unos 100 millones de personas en Estados Unidos y otros 6 millones en Canadá.
El banco señaló que la mayor parte de los datos hackeados consistían en información suministrada por personas y pequeñas empresas que solicitaron tarjetas de crédito entre 2005 y principios de 2019.
Además de datos como números de teléfono, direcciones de correo electrónico, fechas de nacimiento e ingresos declarados, la pirata cibernética también pudo tener acceso a las calificaciones crediticias, límites y saldos de crédito, así como a fragmentos de información de transacciones de un total de 23 días en 2016, 2017 y 2018.
“Aunque estoy agradecido de que la responsable haya sido capturada, lamento profundamente lo que ha ocurrido”, dijo el director ejecutivo de Capital One, Richard Fairbank. “Me disculpo sinceramente por la comprensible preocupación que este incidente debe estar causando a los afectados y me comprometo a hacer lo correcto”, agregó.
Un abogado de oficio al que se asignó la defensa de Thompson no respondió en un primer momento a un correo electrónico pidiendo comentarios.
Escuche este informe aquí: