Violación masiva de datos de tarjetas en Capital One
Se dice que la web oscura es un mercado que vale cientos de miles de millones. Y ahora, si solicitó una tarjeta de crédito Capital One y fue una de las 100 millones de personas cuya información de cuenta puede haber sido pirateada, su información personal podría estar en la web oscura y venderse por menos de lo que paga por el recibo de su coche.
¿Cómo engañaron a Capital One?
El truco de Capital One fue presuntamente perpetrado por Paige Thompson, una residente de Seattle de 33 años. La acusan de «fraude y abuso informático», y tendrá una audiencia el 1 de agosto. Los hechos, según el banco:
- Thompson obtuvo acceso a 1 millón de números de la Seguridad Social y 80.000 números de cuentas bancarias.
- También tuvo acceso a un número no revelado de nombres, direcciones, líneas de crédito, saldos y otra información no divulgada.
- Thompson aprovechó fragmentos de datos de transacciones.
- Los ataques pueden haber incluido clientes que solicitaron estas tarjetas a partir del 2005.
La vulnerabilidad al sistema que permitió que ocurriera el hack se hizo pública en abril, pero no fue hasta julio, después de ser alertado por un investigador externo, que Capital One se dio cuenta y comenzó a responder.
Capital One espera que el incidente genere «costos incrementales de aproximadamente 100 a 150 millones en 2019», según la compañía. «Los costos esperados dependen en gran medida de las notificaciones de los clientes, el monitoreo del crédito, los costos tecnológicos y el soporte legal».
Este es el último de una serie aparentemente interminable de hacks, incluidos los hacks de Marriott, el hack de Equifax y el hack de Sony, que son en gran medida el resultado de compañías que no protegen adecuadamente la información de los ciudadanos.
Donde termina esa información varía, desde Rusia a Corea del Norte a lugares desconocidos.
¿Qué pasó con los datos de Capital One que se perdieron?
La red oscura es el mundo de la clandestinidad criminal, donde los datos son comprados y vendidos por actores criminales, incluidos los estados nacionales, y se utilizan para financiar actividades delicitivas.
Un estudio de 2019 de la Universidad de Surrey indicó que el número de listados oscuros en la web que podrían dañar a una empresa ha aumentado en un 20 por ciento desde 2016.
Pero la web oscura también es un mercado para comprar y vender números de tarjetas de crédito, armas, credenciales de suscripción robadas, contraseñas de cuentas de Netflix y más.
Una cuenta premium de Netflix «de por vida» cuesta 6 euros, pero también puedes contratar a alguien para que entre en el ordenador de alguien. El cielo es el límite.
Y por ahora, es seguro asumir que la información personal robada y los números de seguridad social de los solicitantes de Capital One también se pueden encontrar en la web oscura, al menos hasta que se demuestre lo contrario.
¿Por qué nos robaron nuestra información? ¿A donde se fué?
«Lamento profundamente lo que sucedió», dijo Richard Fairbank, CEO de Capital One, en un comunicado de prensa. «Pido disculpas sinceramente por la comprensible preocupación que este incidente debe estar causando a los afectados y estoy comprometido a corregirlo».
Los expertos en ciberseguridad no escuchan estas palabras. «¿No aprendimos nada de Equifax?», Pregunta Bob Sullivan, anfitrión del podcast Breach. “La declaración de la compañía utiliza un lenguaje absurdamente retorcido: ‘No se comprometieron los números de la Seguridad Social… aparte de 1 millón de números del Seguro Social’. ¿Cuándo aprenderán las empresas a ser sinceros con las personas cuando ocurren estos incidentes?
Ahí radica el quid de la cuestión.
Nuestros datos están siendo robados, vendidos y comprados con muy poca conciencia de la seguridad pública. El problema es triple: las personas deben aprender a protegerse mejor, los gobiernos deben aprender a proteger mejor a los ciudadanos y las empresas deben aprender a proteger mejor los datos de las personas.
La semana pasada, la Comisión Federal de Comercio llegó a un acuerdo con Equifax para pagar 125 euros a los ciudadanos afectados por el ataque de 2017, totalizando hasta 425 millones en restitución.
Se prevé que esto le costará a Equifax más de 700 millones en total. Y los ataques cibernéticos le cuestan a los bancos más que cualquier otra industria: hasta 1 billón de dólares por año y creciendo a medida que la tasa de ataques aumenta rápidamente, según Accenture.
Para combatir estos ataques, las empresas deben desarrollar sistemas de seguridad que puedan soportar los ataques y responder rápidamente a ellos. Esto significa utilizar las últimas tecnologías para detectar y evitar posibles ataques. Y eso comienza con la IA.
¿Que puedes hacer para protegerte?
Según Capital One, la compañía «notificará a las personas afectadas a través de una variedad de canales» y «pondrá a disposición de todos los afectados el monitoreo de crédito gratuito y la protección de la identidad». ¿Pero es eso suficiente?
Si crees que te ha afectado el hack, sigue estas estrategias simples:
- Inscríbase en alertas de texto o correo electrónico para rastrear la actividad de la cuenta.
- Controle sus tarjetas de crédito para detectar actividades inusuales o sospechosas.
- Llame al número que figura en su tarjeta si observa algo inusual.
- Informe los correos electrónicos sospechosos de actividad de phishing al equipo de seguridad de Capital One: abuse@capitalone.com. No responda a correos electrónicos sospechosos, elimínelos después de reenviarlos a Capital One y no responda a llamadas telefónicas sospechosas.
Violación masiva de datos de tarjetas en Capital One
