TRABAJO DE RESOLUCIÓN

DE PROBLEMAS.
“CASO CAPITAL ONE”

ASIGNATURA: GESTIÓN DE RIESGO OPERACIONAL.

PROFESORA: MARICEL GALDAMES.
INTEGRANTES:
• PABLO ALARCÓN.
• MARTIN CAMPUSANO.
• BRIAN MEDINA.
• VICENTE SEGOVIA.
FECHA DE PRESENTACIÓN: 14/04/2021
 1.- INTRODUCCIÓN.

2.- RESEÑA DEL CASO.

3.- DIAGRAMA DE ISHIKAWA.

ÍNDICE 4.- MATRIZ DE FACTORES DE RIESGO OPERACIONAL.

5.- CONCLUSIONES.

6.- BIBLIOGRAFÍA.
INTRODUCCIÓN
• A continuación explicaremos el caso del banco Capital One, en el que una trabajadora de Amazon
Web Services, utilizó una vulnerabilidad en el servidor de Capital One para robar información. En
este trabajo buscamos poder analizar este caso de manera detallada, con el objetivo de ver las
distintas características, factores y causas de esta situación de riesgo.
 • Este hecho fue protagonizado por Paige Thompson, o también conocida como
“Erratic”, una mujer de 33 años, ingeniera en sistemas de Seattle, ella llegó a
trabajar en Amazon Web Services, que almacenaba la base de datos del Banco
Capital One.
• Básicamente, en este caso fue robada información de más de 105 millones de
personas (Pertenecientes en mayoría a EE.UU. y también, en menor cantidad,
canadienses).
• Esta información refería a calificaciones e historiales crediticios, además los
números de seguridad social de los clientes, robó decenas de millones de
RESEÑA DEL solicitudes de tarjetas de crédito que clientes y pequeñas empresas habían
solicitado desde 2005 y hasta 2019.

CASO. • Dentro de los datos robados, se evidencian 140 mil números de seguridad social y
80 mil números de cuentas bancarias. Añadiendo que el Banco Capital One es el
tercer mayor emisor de tarjetas de crédito de los Estados Unidos.
• El Banco declaró que esta falla de seguridad tendrá un costo de 150 millones de
dólares. Es por eso que se considera el mayor ataque cibernético respecto a los
datos bancarios de la historia.
• La información del FBI es, Thompson tuvo acceso a los datos confidenciales a
través de una "configuración incorrecta" de un firewall en una aplicación web. Eso
permitió a la “Cracker” comunicarse con el servidor donde Capital One estaba
almacenando su información y, finalmente, obtener los archivos de los clientes.
DATOS ROBADOS.
• Información de más de 105 millones de personas.
• Decenas de millones de solicitudes de tarjetas de crédito de
clientes y pequeñas empresas que habían sido solicitadas desde
2005 hasta 2019.
• 140 mil números de seguridad social.
• 80 mil números de cuentas bancarias.
 MANO DE MÉTODOS. MEDIO
OBRA. AMBIENTE

Paige Thompsom. Ineficientes pero Reputación.

correctos.

Capacidad en Fallo de protección de Desconfianza.

datos.
programas y hackeos.

DIAGRAMA DE ROBO DE
INFORMACIÓN A
ISHIKAWA. CAPITAL ONE.
Vulnerar el firewall no Dar confianza a sus
fue problema. clientes.
Amazon.

Conocimiento del Inversión en seguridad. Proveedor de

almacenamiento de
almacenamiento.
datos.

MATERIA
MAQUINARIA. MEDICIÓN.
PRIMA.
PROBLEMA
PRINCIPAL

• Robo de información al
Banco Capital One, en el que
la Ingeniera Paige
Thompson, trabajadora de
Amazon, quien entregaba
servicio de seguridad al
Banco, logró robar datos de
más de 105.000.000 de
personas.
MEDIO
AMBIENTE
La reputación de Capital One
como también la de Amazon, se
vio bastante afectada, generando
desconfianza en sus clientes, no
hay certeza de que estarán
seguro nuestros datos en el
almacenaje de dicha empresa
(Amazon).
MÉTODOS.
El hecho de que Capital One confiara en
Amazon parecía ser lo mejor que podían
hacer, pero por una simple falla de un
firewall, se generó un problema mayor,
como es el hackeo de sus datos de
clientes, siendo este unos de los firewall
más prestigiosos de la empresa.
MANO DE OBRA.
• Paige fue trabajadora de Amazon, por lo cual ella
tenía la experiencia y sabía con certeza cuáles eran
los puntos débiles de esta empresa.
• Extraña y sospechosamente, uno de los puntos que
menos se esperan que genere problemas, se
desconfiguró y para ella fue un acceso libre para
hacer lo que ella se le diera la gana.
MAQUINARIA.
• Paige Thompson estuvo
vinculada como trabajadora de
Amazon, por lo tanto tenía
absoluto conocimiento de cómo
y donde se almacenaban los
datos del banco.
• Dado su avanzado conocimiento,
vulnerar un firewall no fue
problema para ella.
 MEDICIÓN.

• Como evaluación final se hizo una

inversión de 150 millones de
dólares para garantizar la
seguridad de todos los clientes
del Banco.
MATERIA
PRIMA.

• Amazon, fue quien

prestó el servicio de
proveedor de seguridad
digital.
• Una empresa externa al
Banco, desde la cual
Thompson hizo el
hackeo.
 MATRIZ DE FACTORES DE RIESGO OPERACIONAL.
Categoría de tipo de eventos (n°1)
Fraude externo.
Incidencias en el negocio y fallos en los
sistemas.
Definición
Pérdidas derivadas algún tipo de
actuación encaminada a
defraudar, apropiarse de bienes
indebidamente o soslayar la
legislación, por parte de un
tercero.
Pérdidas derivadas de
interrupción en los negocios o
por fallas en los sistemas.  Banco de chile tuvo que deshabilitar
Categoría Ejemplos de actividades
(n°2)
Seguridad de Robo de información por parte de
los sistemas. Grupo Lazarus, vulnerando los
sistemas, el robo de información
solo fue para distraer e ingresar
SWIFT para robar US$10 millones.
Hurto y fraude
Robo de US$10 millones, a través de
vulneración de los sistemas.
Sistemas. Inhabilitación de los sistemas, por
un el todo el periodo de tiempo que
9000 puestos de trabajo, mientras
intentaban detener la fuga de datos.
Categoría de tipo de Definición
eventos (n°1)
Ejecución, entrega y Pérdidas derivadas de errores en el
gestión de procesos. procesamiento de operaciones o en la
gestión de procesos, así como de
relaciones con contrapartes comerciales
y proveedores.
Ejecución, entrega y Pérdidas derivadas de errores en el
gestión de procesos. procesamiento de operaciones o en la
gestión de procesos, así como de
relaciones con contrapartes comerciales
y proveedores.
Categoría (n°2) Ejemplos de actividades
Recepción, Falta de mantenimiento en sistemas de
ejecución y seguridad y también en el sistema SWIFT,
mantenimiento que es el sistema que se utiliza para
de operaciones transferencias de altos montos a otros
bancos o al extranjero.
Gestión de Acceso no autorizado de externos a través
cuentas de de un ransware (secuestro de datos), este se
clientes. utilizo robar información de los clientes
tanto internos como externos.
 • Las soluciones que daría serian haber monitoreado el
riesgo el mes antes cuando se reportó sospecha de hurto,
de esa forma se pudo haber mitigado el riesgo mucho
Posibles antes, y también haberse preocupado mas por que los
sistemas estuvieran configurados de la forma correcta, en
Soluciones. este caso “firewall”.
• Haber evaluado bien el riesgo sobre la nube a la cual
subirían su información (Amazon Web)
Conclusión.

• Este fue un trabajo que nos gustó mucho hacer, en el cual aprendimos y nos dimos
cuenta de que los riesgos generalmente no derivan de un solo factor, son varios.
• Aprendimos también la importancia que tiene saber manejar el riesgo operacional
de la manera correcta; ya que, si no son bien manejados, estos podrían generar
grandes impactos negativos; sobre todo si es un fraude.
• Es necesario ser precavido en cuanto a esto, ya que, si es así, la empresa se vería
favorecida. Creemos que es importante tener esto en cuenta como futuros
profesionales.
 • https://cincodias.elpais.com/cincodias/2019/07/30/companias/15
64472254_513394.html

BIBLIOGRA • https://elpais.com/economia/2019/07/30/actualidad/156445142
3_752478.html#:~:text=El%20banco%20estadounidense%20Capit
al%20One,solicitantes%20de%20tarjetas%20de%20cr%C3%A9dito
FÍA. .
• https://www.clarin.com/mundo/pirata-informatica-hackea-capital
-one-mayor-violacion-datos-bancarios-historia_0_3MkllC5Q8.html
• https://www.infobae.com/america/tecno/2019/07/30/como-suce
dio-el-hackeo-al-banco-capital-one-uno-de-los-mas-grandes-de-lo
s-ultimos-tiempos/
• (189) Capital One
sufre el hackeo de los datos de más de 100 millones de clientes - YouTube
 FIN DE LA GRACIAS POR SU ATENCIÓN.
PRESENTACIÓN.