Seguro que recuerdas el caso de Capital One, una de las intrusiones informáticas más graves de 2019 por los clientes afectados (más de 100 millones) y por la aparente fragilidad de los sistemas de ciberseguridad de este banco.
Capital One, con sede en McLean, Virginia, ha sido uno de los principales defensores del uso de servicios en la nube en el sector bancario. Lleva años migrando un porcentaje cada vez mayor de sus aplicaciones y datos a la nube y planea eliminar todos los centros de datos propios para finales de 2020.
En julio de 2019, el FBI detuvo a una antigua empleada de Amazon Web Services bajo cargos de fraude informático. Esta ingeniera de sistemas explotó una vulnerabilidad y una configuración deficiente en el cortafuegos de los servidores del banco. Las consecuencias fueron letales y otro suceso que añadir a la colección de robo de datos de grandes empresas.
Capital One confirmó la intrusión y dijo que afectó a unos 100 millones de personas y empresas en Estados Unidos y 6 millones más en Canadá. La información personal robada incluía nombres, fechas de nacimiento, direcciones, números de teléfono y direcciones de correo electrónico. También se obtuvieron números de seguridad social de 140.000 personas unos 80.000 números de cuentas bancarias.
Un comando ejecutado en el cortafuegos, gracias a una configuración deficiente de la seguridad del mismo, permitió a la intrusa obtener credenciales de una cuenta de administración. Con ello, pudo acceder a los datos bancarios almacenados bajo contrato por la empresa de computación en la nube Amazon Web Services. No se trató de una vulnerabilidad ni violación de AWS, sino una grave vulnerabilidad de la infraestructura de Capital One.
Multa a Capital One
El regulador OCC, una oficina independiente dentro del Departamento del Tesoro de los Estados Unidos responsable de la ejecución de las leyes relacionadas con los bancos nacionales, ha impuesto a Capital One una multa de 80 millones de dólares y le ha ordenado que mejore sus defensas de ciberseguridad y presente un plan a la OCC en un plazo de 90 días que describa cómo tiene la intención de hacerlo.
Según el dictamen, Capital One no estableció una gestión de riesgos adecuada antes de migrar sus operaciones de TI a un servicio público basado en la nube, que incluía el diseño y la implementación adecuados de ciertos controles de seguridad de red, controles adecuados de prevención de pérdida de datos y disposición efectiva de alertas.
La OCC explicó que el proveedor también dejó numerosas debilidades en su almacenamiento de datos basado en la nube y violó las directrices de los estándares de seguridad de la información con el resultado de una violación masiva de datos.
La entrada OCC impone a Capital One una multa millonaria y exige que mejore sus defensas cibernéticas es original de MuySeguridad. Seguridad informática.