Lectura 4:00 min
Instrucciones para robar un banco
A la programadora Paige A. Thompson le bastaron tres instrucciones de cómputo para tener acceso a la base de datos del banco Capital One y acceder a información personal de 106 millones de clientes de tarjetas de crédito de Estados Unidos y Canadá. Al menos eso dice la denuncia contra Thompson por ingresar sin autorización y obtener información confidencial en posesión de Capital One Financial Corporation. No existen detalles sobre esas tres instrucciones, pero por lo absurdo que parece el caso bien podrían ser las de 1. encender la computadora, 2. navegar por algún indexador de archivos de servidores en la nube, como los de Amazon Web Services, para encontrar la base de datos de Capital One y 3. hacer una copia de la información en su computadora personal.
Thompson —casualmente una exprogramadora de Amazon Web Services (AWS) que dejó la compañía hace tres años— ingresó con facilidad a los servidores que Capital One le renta a Amazon, uno de los mayores proveedores de cómputo en la nube (servicios de capacidad de cómputo y hospedaje de información para acceso remoto). Se cree que Thompson, de 33 años, obtuvo el acceso a través de un software de monitoreo de tráfico desarrollado por ingenieros de Capital One y ejecutado desde AWS. La historia apunta más a un error de configuración de seguridad que a un sofisticado esquema de hackeo y conspiración criminal. Thompson actuó con una ingenuidad bárbara en sus redes sociales (en Twitter, en un grupo de Slack y en una página del repositorio GitHub) que hace creer que desconocía la gravedad de la situación o que practicaba sin experiencia un pasatiempo del sector de la infoseguridad: navegar por bases de datos sin contraseñas.
La vulneración de Capital One se dio a conocer el lunes 29 de julio. Según el banco, uno de los mayores proveedores de tarjetas de crédito en Estados Unidos, la información expuesta se compone de nombres, direcciones postales, números telefónicos, correos electrónicos, años de nacimiento y reportes de ingresos. En algunos casos, dijo Capital One, se filtraron reportes crediticios, estados de cuenta, historiales de pago e información de contacto. La vulneración es casi comparable con la ocurrida en 2017 al buró de crédito Equifax, cuando fueron expuestos los datos de 140 millones de consumidores.
Si se trató de un error de configuración —cuya responsabilidad recae prácticamente en el equipo de tecnologías de la información de Capital One— estaremos ante un nuevo capítulo de un largo historial que se repite en cualquier parte del mundo, incluido México.
En la misma semana en que Capital One se lamentaba de la vulneración —sin calificarla como “hackeo”, como tampoco hizo el FBI cuando anunció la detención de Thompson, a quien identificó como una “trabajadora tecnológica de Seattle”—, la cadena mexicana Librería Porrúa tuvo que admitir que había expuesto en internet sin contraseñas ni medidas de seguridad los datos personales de 1.4 millones de sus clientes.
Antes hemos reportado aquí las filtraciones de datos personales provocadas por la proveedora de servicios de imagenología Hova Health en Michoacán, por la startup de contabilidad Enconta y por la consultora internacional KPMG. Otro caso para enmarcar es el del sitio de noticias Cultura Colectiva, que dejó a la vista de cualquier 540 millones de registros con información personal de sus seguidores en la red social Facebook. Todos con el mismo sello: una mala configuración de seguridad de la información que los ingenieros de estas compañías suben a los servidores en la nube que contratan.
A como se ven las cosas, no se necesita ser un hacker para robar un banco. Basta tener una computadora y saber buscar en los archivos indexados sin contraseña en servidores de Amazon —o de cualquier otro servicio en la nube, como Azure de Microsoft— para acceder a información confidencial en posesión de privados. ¿Mayores sanciones económicas pueden hacer que las compañías tomen en serio la seguridad de la información de sus clientes? El caso Facebook deja claro que no. ¿Y si además de castigar penalmente al supuesto hacker impusiéramos cárcel a los descuidados? Quizá otra historia contaríamos. Porque lo único cierto es que nadie ha aprendido nada de las vulneraciones conocidas y sólo estamos a la espera de la siguiente gran filtración.