Capital One: ¿Cómo responder ante un ciberataque?

En la quincena de julio, el banco estadounidense Capital One declaró ante los medios que fue víctima de un ciberataque, en el cual se accedió a la información de más de 100 millones de clientes y solicitudes de tarjetas de crédito. Según distintos portales de noticias, este robo de información ya está siendo considerado como una de las brechas de seguridad más grandes de la historia, teniendo un impacto económico de hasta US$ 150 millones según el propio Capital One.

Sin embargo, esta brecha de seguridad tuvo una rápida respuesta por parte de la entidad financiera, logrando identificar a la supuesta persona responsable del ataque: Paige Thompson, ex empleada de un reconocido e-commerce, que ahora enfrenta un proceso legal que podría llevarla a prisión por 5 años y a pagar una multa de US$ 250,000.

A continuación, presentamos cuatro recomendaciones sobre la reciente brecha de seguridad ocurrida en Capital One:

1. El monitoreo activo basado en tecnología es fundamental para la identificación oportuna de situaciones irregulares: Este robo masivo de información no fue detectado por Capital One como parte de sus actividades de monitoreo o señales de alerta, posiblemente por la misma razón por la que hoy en día muchos procesos no tienen un monitoreo efectivo: demasiada información.

Hoy en día los sistemas informáticos registran diversas actividades de los usuarios a través de logs o pistas de auditoría: direcciones IP, fechas, accesos, registros modificados, entre otros. Sin embargo, aún no explotamos al máximo esta información de manera activa y suele ser omitida como parte del monitoreo o eliminada sin ser respaldada ni analizada.

Las tecnologías existentes a la fecha permiten cerrar esta brecha de seguridad a través de procesos automáticos que a) se alimentan de distintas fuentes de información, b) manejan grandes volúmenes de información, c) soportan datos no estructurados (como los logs de actividades en los sistemas) y d) notifican alertas de seguridad proactivas basadas en el aprendizaje de computadoras (también conocido como Machine Learning).

2. Las líneas de denuncia complementan y fortalecen el plan de monitoreo y detección: De acuerdo con las declaraciones, la entidad financiera tomó conocimiento de los hechos a través de un reporte realizado por un tercero el día 17 de julio de 2019 en uno de sus portales de reporte de incidentes denominado “Responsible Disclosure Program”.

Luego de vulnerar la seguridad, la atacante habría publicado en el portal tecnológico Github una serie de mensajes orientados a comunicar, de forma abierta, la filtración de datos que habría realizado. Para beneficio del banco, otro usuario de este portal leyó los mensajes de la atacante y decidió reportarlos directamente a Capital One iniciándose así el proceso de indagación.

Esta situación enfatiza la importancia de contar con canales de comunicación de situaciones de interés para las organizaciones, en los cuales los colaboradores y terceros (como en este caso) fungen de ojos y oídos. Es importante precisar que estos canales no reemplazan el monitoreo activo que debe realizar la empresa, sino que lo complementa a fin de fortalecer la detección de potenciales brechas de seguridad.

3. Las tecnologías en la nube proveen seguridad en la medida que se configuren adecuadamente: De acuerdo con Capital One, Paige Thompson habría accedido a la información de los clientes del Banco a través de la explotación de una mala configuración de un servidor ubicado en la nube contratada por la entidad financiera. A primera vista, esta situación podría interpretarse como un ejemplo de la inseguridad que se puede generar usando tecnologías en la nube; sin embargo, estos servidores requerían que el Banco se encargue de la administración y configuración de los servidores contratados. En otras palabras, una mala configuración puede ocurrir tanto en la nube como en los servidores tradicionales.

Si bien los servicios en la nube nos permiten lograr gran flexibilidad en la capacidad computacional, adecuándose al volumen requerido y reduciendo costos; es importante tener en cuenta que la seguridad no se obtiene mágicamente con un clic. A pesar de contar con servicios en la nube, es importante que esta tecnología pase por procesos de evaluación de seguridad (particulares para dichas tecnologías), que incluyen la activación de herramientas de control de acceso a recursos de la nube, mecanismos de seguridad como firewalls y proxy, alertas en tiempo real, análisis de vulnerabilidades, autenticación de múltiple factor (como el uso de tokens digitales), entre otros.

4. Los planes de respuesta ante incidentes deben ser puestos a prueba de forma periódica: Trabajar en la seguridad es clave, no obstante, ningún esfuerzo en seguridad por más grande que sea evitará por completo que una organización sea atacada. Por este motivo debemos también trabajar en prepararnos para responder adecuadamente ante un incidente de ciberseguridad.

En este caso, el banco fue notificado de la brecha el día 17 de julio de 2019, procediendo a activar un proceso de indagación y respuesta que, en el lapso de dos días, logró confirmar los hechos reportados. Durante los siguientes 10 días, realizó las indagaciones del caso y contactó a las autoridades, lo cual resultó en el arresto de Paige Thompson el 29 de julio de 2019.

Para lograr esta velocidad de respuesta es necesario contar con un plan documentado que describa los pasos a seguir en estas situaciones, así como realizar evaluaciones periódicas o simulaciones de ataques que permitan probar y mejorar nuestros planes en el tiempo. En adición, estos planes de respuesta deben incluir, entre otros elementos, el listado de personal clave a ser contactado, las herramientas forenses a utilizar que permitan mantener el valor probatorio de evidencias, así como el proceso para la toma y análisis de fuentes de información que permitan descubrir el vector del ataque.

Este reciente ataque cibernético nos ha vuelto a recordar lo expuesta que puede estar nuestra información, pero nos brinda también algunas recomendaciones a tener en cuenta para fortalecer nuestro nivel de seguridad corporativo: el monitoreo activo, los canales de denuncia y un plan de emergencia que, hoy en día, son más importantes que nunca.