El hacker de Capital One elude la cárcel en un caso penal

December 13, 2024 | 5 minutes read
El hacker de Capital One elude la cárcel en un caso penal

Si bien los hackers y ciberdelincuentes que vulneran los sistemas de seguridad de una empresa en particular rara vez se enfrentan a cargos penales cuando son detenidos, ha habido ciertos casos en los que una persona ha sido acusada por su presunto papel en la facilitación de una violación de datos. Con todo esto dicho, Paige Thompson, un ex ingeniero de Amazon que estuvo involucrado en un hackeo de los sistemas de seguridad del holding bancario estadounidense Capital One hace varios años en 2019, fue sentenciado recientemente a “tiempo cumplido y cinco años de libertad condicional por violar una ley anti-hackeo conocida como la Ley de Fraude y Abuso Informático.” Para contextualizar, la violación de datos que supuestamente causó Thompson afectó a nada menos que 100 millones de clientes de Capital One.

Con este fin, las acciones de Thompson dieron lugar a que la información financiera de dichos clientes fuera revelada al público en general, incluyendo números de cuenta, números de tarjetas de crédito, direcciones postales y de correo electrónico y números de la seguridad social, entre otra información pertinente. Posteriormente, Capital One se vio obligada a resolver una serie de demandas colectivas relacionadas con clientes que vieron comprometida su privacidad personal en el transcurso de la brecha que se produjo, ya que “el fiscal de EE.UU. Nick Brown dijo que Thompson “hizo más de 250 millones de dólares en daños a empresas y particulares.” Por estos motivos, se estima que la brecha que sufrió Capital One en 2019 es una de las mayores que se han producido en la historia del país.

La violación de datos de Capital One en 2019

A este último respecto, además de la brecha que sufrió Capital One en 2019, Paige Thompson también habría hackeado los sistemas de seguridad de hasta otras 30 empresas. Para lograrlo, los fiscales han afirmado que Thompson construyó una herramienta de software en su calidad de ingeniera empleada por la multinacional tecnológica Amazon que estaba diseñada para identificar cuentas mal configuradas pertenecientes a empleados que trabajaban para grandes corporaciones como Capital One. Una vez que Thompson era capaz de identificar con precisión una cuenta mal configurada, podía acceder al sistema interno de una empresa haciéndose pasar por una empleada legítima, lo que le permitía exponer los datos personales de millones de consumidores.

En respuesta a sus acciones, Thompson fue arrestada por su papel en el hackeo de los sistemas de seguridad de Capital One en julio de 2019. Además, el abogado de Thompson contrarrestó las acusaciones que se hicieron contra ella alegando que sus acciones estaban destinadas a ser tomadas como un ataque de “sombrero blanco”, también conocido como un hack ético de un sistema de seguridad bajo la premisa de identificar vulnerabilidades de seguridad que pueden estar presentes dentro del software o hardware que una empresa emplea a diario. Del mismo modo, muchas empresas pagarán a los hackers de sombrero blanco una recompensa por sus esfuerzos, ya que estos ataques pueden ayudar a las empresas en cuestión a evitar violaciones de seguridad más importantes a largo plazo.

Capital One se niega a pagar la recompensa

Sin embargo, cuando Capital One se negó a pagar a Thompson la recompensa que sus abogados afirman que buscaba, al parecer optó por publicar “código relacionado con la vulnerabilidad en línea y copió información personal proporcionada por 100 millones de personas que habían solicitado tarjetas de crédito de Capital One, según alegan los fiscales federales”. En consecuencia, estos millones de personas se vieron sometidas al robo de sus identidades personales a través de la dark web, ya que cualquier delincuente o malhechor podría haber accedido a este código y, a su vez, a los números de la seguridad social y a la información de las cuentas financieras de los clientes que se vieron afectados por la brecha.

Las filtraciones de datos y la preocupación por la privacidad

A pesar de que las violaciones de datos se han convertido en algo muy habitual en el siglo XXI, el caso de Paige Thompson y Capital One pone verdaderamente de manifiesto la falta de poder que tienen los consumidores estadounidenses sobre su información personal. Por ejemplo, aunque muchas empresas pueden considerar los ataques de piratas informáticos como beneficiosos para su cuenta de resultados en determinadas circunstancias, la forma en que un ciberdelincuente lanza un ciberataque no cambia el hecho de que personas inocentes verán vulnerada su intimidad en el proceso. De este modo, aunque Thompson cumplirá varios años de libertad condicional por su papel en el ciberataque de Capital One de 2019, las consecuencias adversas del suceso seguirán afectando a los afectados por la violación de datos que provocó durante años.

En general, la mayoría de los hackers que logran vulnerar los sistemas de seguridad de una empresa u organización lo hacen sin ser descubiertos. Debido a este hecho, los trabajadores tienen pocas vías de recurso cuando se ven afectados por una violación de datos, ya que hay poco que se pueda hacer para recuperar la información personal que ha sido revelada al público en general una vez que se ha cometido el acto. Por estas razones, es imperativo que el gobierno federal de EE.UU. promulgue en un futuro próximo algún tipo de legislación exhaustiva sobre la privacidad de los datos, ya que los ciudadanos estadounidenses merecen cierto nivel de protección en lo que respecta a las violaciones de datos.

Related Reads

canada-facial-recognition-new-calls-for-regulation
December 13, 2024 | 5 minutes read
Canadá, reconocimiento facial, peticiones de regulación

Los defensores de la privacidad en Canadá piden al gobierno federal que establezca restricciones y leyes sobre el uso de la tecnología de reconocimiento facial.

Conozca Más »
data-warehouses-new-privacy-laws-and-business
December 13, 2024 | 5 minutes read
Almacenes de datos, nuevas leyes de privacidad y empresas

Un almacén de datos se define como un depósito de datos generados y recogidos por los distintos sistemas operativos de una empresa.

Conozca Más »
the-payment-application-data-security-standard-pa-dss
December 13, 2024 | 4 minutes read
Norma de seguridad de datos de aplicaciones de pago (PA-DSS)

La PA-DSS hace referencia a un conjunto de requisitos orientados a ayudar a los proveedores de software a mantener seguras las aplicaciones de pago.

Conozca Más »
what-is-tiny-ml-what-are-its-business-applications
December 13, 2024 | 5 minutes read
¿Qué es Tiny ML? ¿Cuáles son sus aplicaciones empresariales?

Tiny ML es un campo del aprendizaje automático que estudia modelos ejecutables en dispositivos pequeños y de baja potencia, como microcontroladores.

Conozca Más »
data-anonymization-privacy-and-business-security
December 13, 2024 | 5 minutes read
Anonimización de datos, privacidad y seguridad empresarial

La anonimización de datos protege la información personal al modificarla para que no se pueda identificar a una persona.

Conozca Más »
what-is-a-data-flow-diagram-privacy-compliance
December 13, 2024 | 5 minutes read
¿Qué es un diagrama de flujo de datos? La privacidad

Los mapas de flujo de datos son un método para trazar el flujo de datos a través de un proceso o físicamente a través de una red con fines de privacidad.

Conozca Más »