Más de 100 millones de usuarios de Estados Unidos y seis millones de Canadá de la firma bancaria Capital One fueron afectadas este martes por un robo de datos. La compañía acaba de revelar que el pasado 19 de julio descubrió que una persona de fuera de la organización había accedido sin autorización a información personal de clientes que habían solicitado o tenían tarjetas de crédito.
Según Capital One, que es una de las diez principales entidades comerciales de Estados Unidos, en el ataque se tuvo acceso a un millón de números de la Seguridad Social de clientes canadienses, 140,000 en Estados Unidos, además de cerca de 80,000 números de cuentas bancarias vinculadas a las tarjetas de crédito. Pese a esto, la entidad destaca en un comunicado que, entre los datos robados, no hay números de tarjetas de crédito ni de credenciales de acceso.
El grueso de la información sustraída pertenece a consumidores y pequeños negocios que solicitaron algún tipo de tarjeta de crédito entre 2005 y principios de este mismo año, y se corresponde con información personal sobre el usuario que realizaba la solicitud, como su estado financiero –historial de pagos, límites de crédito o datos de contacto–, además del historial de transacciones realizadas en varios periodos entre 2016 y 2018.
El FBI arrestó ya a la persona que se considera responsable del delito. Se trata de Paige Thompson, una ingeniera de 33 años que había trabajado en Amazon, de acuerdo a las informaciones de BusinessInsider. Thompson realizó ya una primera comparecencia ante un tribunal de la misma localidad en la que había trabajado.
Según se explica en la denuncia, la sospechosa habría colgado información de su pirateo, que ocurrió entre el 12 de marzo y el 17 de julio, en GitHub. Otro usuario de la plataforma vio esta publicación y avisó a Capital One, con lo que se pudo rastrear la información hasta Thompson. Por el momento se desconocen los motivos de la ingeniera para realizar el ataque.
Desde la firma bancaria aseguran que ya han corregido la vulnerabilidad aprovechada para el robo de datos, y creen que la información sustraída no se ha empleado para prácticas fraudulentas ni se ha compartido, más allá de su publicación en GitHub. Se espera que el costo del incidente sea entre 100 y 150 millones de dólares.
