Foto: NBC News

La firma financiera estadounidense, Capital One, deberá pagar una multa de USD$ 80 millones, tras permitir la filtración de millones de datos de usuarios después de ser víctima de un hackeo masivo en 2019.

Capital One deberá pagar una multa de USD$80 millones, a el organismo regulador en EE.UU., luego que una investigación arrojara que la firma expuso la información de más de 100 millones de tarjetas de créditos de sus usuarios al no contar con las medidas de seguridad pertinentes en 2019, de acuerdo con un reporte de Wall Street Jorunal.

La Oficina del Contralor de la Moneda (OCC, por sus siglas en inglés), publicó su investigación donde revela que Capital One permitió el hackeo a los datos de usuarios, puesto que la compañía “estaba consciente de sus prácticas de seguridad no eran las mejores”.

Del mismo modo, la investigación señala que la Junta Directiva no tomó acciones al respecto: “no tomó acciones efectivas para hacer responsable a la gerencia”, señalan en el documento:

La OCC tomó estas acciones basándose en la falla del banco en establecer procesos de evaluación de riesgos efectivos antes de migrar operaciones importantes de tecnología de la información al ambiente de nube pública y en la falla del banco en corregir las deficiencias de manera oportuna.

Deficiencias en protocolos de seguridad de Capital One

Tal como señalan informes en 2019, la empresa financiera Capital One estaba siendo víctima de una filtración de datos masiva de usuarios desde abril de ese mismo año, sin embargo, la empresa alega que no se dio cuenta del hackeo sino hasta julio de 2019, debido a que alguien indicó que pudo acceder a los datos privados de la empresa en GitHub.

Capital One comenzó a sospechar luego de que un participante de un grupo de discusión aseguró haber obtenido grandes cantidades de datos de los clientes de la firma. Aunque la compañía fue notificado sobre el hackeo el 19 de julio, el banco informó a los usuarios solo a principios de agosto.

Responsable del hackeo

En su momento, un informe de la FBI señala que dio con una  ex-ingeniera de Amazon Web Services,  llamada Paige A. Thompson, fue responsable del hackeo, quien además lo publicó en su grupo de Slack, quien se hizo con los datos de 100 millones de tarjetas de crédito e información privada de los usuarios del hosting bancario al encontrar una vulnerabilidad en un “software mal configurado”.

La investigación de FBI, en 2019, determinó que entre los registros filtrados destacan los números de cuentas bancarias de los usuarios y sus números de Seguridad Social, fue cuando Capital One confirmó que muchos de estos datos no estaban encriptados, dando como resultado un gran fallo de seguridad interna:

Aunque parte de la información en esas solicitudesse ha encriptado, otra información, incluidos los nombres, las direcciones, las fechas de nacimiento y la información de los solicitantes con respecto a su historial de crédito, no se ha encriptado.

Tras esta medida, Capital One deberá reunirse periódicamente para reportar avances a nivel de seguridad señalan en el documento, además deberá aplicar e indicar un plan de acción que tomará para mejorar las medidas de seguridad bancaria.

Capital One responde

Por su parte, Capital One respondió a The Verge,  indicando sus medidas de seguridad antes y después del hackeo del 2019:

Los controles que la compañía puso en marcha antes del incidente del año pasado nos permitió proteger nuestros datos antes de que la información del cliente pudiera ser utilizada o difundida y ayudó a las autoridades a arrestar rápidamente al hacker.

Desde el incidente, la compañía ha invertido importantes recursos adicionales para fortalecer aún más nuestras ciberdefensas y ha logrado un progreso sustancial en el cumplimiento de los requisitos.

Uno de los mayores hackeos

El hackeo a Capital One se encuentra entre una de las violaciones de datos más grandes en la historia de Estados Unidos e Internet, asimismo, la ingeniera informática accedió a unos 140,000 números de seguridad social y 80,000 números de cuentas bancarias, entre otros datos privados sensibles.

En 2017, Equifax sufrió el robo de información sobre 147 millones de personas y debió a pagar a los reguladores una multa de unos US$ 700 millones.