01/08/2019
EL lunes 29 de julio se confirmó uno de los mayores robos de datos de un banco, según The New York Times. Una pirata informática (hacker), que usaba el nombre de “erratic”, robó los datos de más de 100 millones de clientes de Capital One, uno de los diez mayores bancos de Estados Unidos.
Los afectados fueron 100 millones de clientes de Estados Unidos y 6 millones en Canadá.
En todo caso, “erratic” (una mujer de 33 años que se llama realmente Paige Thompson) cometió un error típico de los forajidos actuales: se comenzó a jactar de sus hazañas en las redes sociales. Como Pulgarcito, fue dejando un rastro de migas de pan que condujeron al FBI hasta su domicilio en Seattle, donde se encontraron datos de los archivos de Capital One en dispositivos digitales.
Ella incluso había organizado un grupo en la red social Meetup llamado Seattle Warez Kiddies, para “cualquier interesado en sistemas distribuidos, programación, hackeo y cracking” (vulnerar ilegalmente un sistema de seguridad).
Paige Thompson —quien se aprovechó de que el firewall estaba mal configurado— es una ingeniera de software que trabajó en Amazon Web Services (AWS), la empresa que alberga la base de datos de Capital One. (Rápidamente, Amazon aclaró que no era culpable de la intromisión: un vocero de AWS le señaló a Newsweek que esta empresa no estaba comprometida de ninguna manera en la intrusión y que había funcionado como se esperaba.)
Esto no evitó que continuara el debate sobre si los sistemas basados en la nube (“cloud”) son más vulnerables que los que tienen presencia física en las oficinas. En la conferencia Segurinfo 2017, Dmitry Bestuzhev (@dimitrybest), investigador de ciberamenazas en Kaspersky Lab, mostró lo fácil que era introducirse en un centro de datos basado en la nube.
Justo en estos días, la compañía de ciberseguridad Symantec dio a conocer el Reporte de Amenazas a la Seguridad en la Nube (CSTR), que realizó un sondeo a 1.250 encargados de tomar decisiones de seguridad. Muestra que las empresas han alcanzado un punto crítico: el 53% de toda la carga de trabajo de cómputo empresarial ha migrado a la nube. No obstante, las prácticas de seguridad difícilmente siguen el ritmo de este cambio: más de la mitad (54%) de las empresas admiten que es un desafío mantenerse a la vanguardia de las mejores prácticas de seguridad en la nube.
“Se habla de una mala configuración en un firewall (cortafuegos) de aplicación. Otros antecedentes describen que la atacante obtuvo acceso a una cuenta con privilegios, con nombre ‘WAF’ (Web Application Firewall)”, señaló Andrés Peñailillo, oficial de Seguridad de la Información (CISO) de la Universidad de Chile. “En cualquier caso, hubo un acceso no autorizado a una instancia IAM (Identity and Access Management), desde donde esta posible cuenta WAF fue descubierta. Ya obteniendo una cuenta con privilegios de acceso, el resto solo es descubrir hasta dónde se puede acceder o exfiltrar la información encontrada”.
En Chile no estamos ajenos a estos ataques. Según la empresa de ciberseguridad NovaRed, durante 2018 Chile sufrió un alza de 59% en ataques informáticos en relación con el año anterior.
La audiencia de Paige Thompson ante la justicia está programada para el jueves primero de agosto. Ella enfrenta cinco años de prisión y una multa de 250 mil dólares (más de 170 millones de pesos).
En Chile, si se juzgara a los responsables del ciberataque al Banco de Chile (que robaron 10 millones de dólares en mayo de 2018), su condena máxima sería de 541 días de pena remitida…
El Gobierno ha confirmado que este año enviará un proyecto de ley sobre ciberseguridad. La ley actual data de 1993.