Un regulador de Estados Unidos multó al proveedor de tarjetas de crédito Capital One Financial Corp con 80 millones de dólares por la violación de datos del año pasado que expuso la información personal de más de 100 millones de solicitantes de tarjetas de crédito estadounidenses.
La multa fue impuesta por la Oficina del Contralor de la Moneda (OCC), una oficina independiente dentro del Departamento del Tesoro de los Estados Unidos que gobierna la ejecución de las leyes relacionadas con los bancos nacionales.
Según un comunicado de prensa publicado por la OCC el jueves, Capital One no logró establecer una gestión de riesgos adecuada antes de migrar sus operaciones de TI a un servicio público basado en la nube, que incluía el diseño y la implementación adecuados de ciertos controles de seguridad de red, controles adecuados de prevención de pérdida de datos y disposición efectiva de alertas.
La OCC también dijo que el proveedor de la tarjeta de crédito también dejó numerosas debilidades en su almacenamiento de datos basado en la nube en una auditoría interna en 2015 y no pudo parchear las vulnerabilidades de seguridad, violando las «Directrices interinstitucionales que establecen estándares de seguridad de la información», que todos los bancos de EE. UU. debe cumplir.
Estas prácticas de seguridad inseguras y deficientes resultaron en una violación masiva de datos el año pasado cuando un solo pirata informático pudo robar información de tarjetas de crédito de más de 106 millones de clientes de Capital One.
Además de la información de la tarjeta de crédito, el pirata informático también logró robar aproximadamente 140.000 números de la Seguridad Social y 80.000 números de cuentas bancarias vinculadas a clientes estadounidenses y 1 millón de números de la Seguridad Social canadiense.
El hacker, identificado como la ex empleada de servicios web de Amazon Paige Thompson, también conocida como errática, de 33 años, fue arrestada luego de la violación y acusada de fraude y abuso informático, que conlleva hasta cinco años de prisión y una multa de 250.000 dólares.
La violación ocurrió después de que Thompson supuestamente explotó un firewall mal configurado en el servidor en la nube de Amazon Web Services de Capital One en marzo y robó sin autorización más de 700 carpetas de datos almacenados en ese servidor.
Además de la multa civil en dinero de 80 millones de dólares, la OCC también ordenó a Capital One Finance que mejore sus defensas de seguridad de ciberseguridad y presente un plan a la OCC dentro de los 90 días que describa cómo tiene la intención de hacerlo.
