La conducta “errática” de Paige A. Thompson, la hacker que robó a Capital One
Hasta hace un par de días la cuenta de Twitter de Paige Adele Thompson estaba todavía activa. Su último tweet, sin embargo, lo había publicado el 16 de julio y decía lo siguiente: “¿Alguien podría ingresar a su gestor de dispositivos y bajo la pestaña ‘Ver’ seleccionar ‘dispositivos por conexión’ y luego expander los menús inferiores para encontrar su tarjeta de video y algunos otros dispositivos PCI y postear una captura de pantalla y enviármela? Estoy intentando entender las topologías PCIE un poco mejor”.
Thompson, una ingeniera en software de 33 años con residencia en la ciudad de Seattle, Washington, fue arrestada hace unos días luego de descubrirse que, aprovechando una fisura en los sistemas de seguridad del banco Capital One, logró tener acceso a datos confidenciales de alrededor de 106 millones de personas en Estados Unidos y Canadá, que habrían entregado dicha información a la institución bancaria como parte de los requisitos para obtener una tarjeta de crédito o un préstamo automotriz.
El escándalo reventó en los medios de comunicación de todo el mundo y empezó a ser considerado como una de las más grandes violaciones informáticas de la historia. La información a la que tuvo acceso Thompson comprende datos personales que de manera rutinaria Capital One solicita a sus clientes potenciales, tales como nombres, direcciones, códigos postales, números telefónicos, emails, fechas de nacimientos, comprobantes de ingresos y números correspondientes a la seguridad de los dos países implicados.
Sin embargo, Thompson, que se hacía llamar Erratic en su cuenta de Twitter, dejó un rastro de pistas que no se corresponden con la conducta típica de un hacker, amén de que en sus tweets y en la plataforma de chats privados conocida como Slack, dejó entrever los rasgos de una personalidad solitaria, rebelde y, cuando menos, alterada o, en su defecto, ingenua. Un dato más: hace unos años dejó de ser hombre para convertirse en mujer.
Thompson, que en su cuenta de Twitter solía publicar muchas fotos de su gato –en una de las cuales aparece abrazándolo acompañada de la leyenda “Te extraño muchísimo”–, decidió postear los datos obtenidos de Capital One en una página pública de GitHub, una plataforma de desarrollo colaborativo que sirve para alojar proyectos. Cuando los directivos del banco se dieron cuenta de la violación a su servidor y dieron aviso al FBI, a los agentes encargados del caso no les tomó mucho tiempo averiguar la identidad de la transgresora.
Del mismo modo, en un salón de chat de Slack, una plataforma originalmente creada con propósitos de comunicación interna, Thompson escribió el 27 de junio los nombres de la Universidad Estatal de Michigan, Vodafone, Capital One y el Departamento de Transportes de Ohio, luego de haber ingresado en lenguaje informático varias decenas de archivos. Hacia el final, luego de que un visitante del chat le recomendase “Mierda sospechosa, no vayas a prisión, por favor”, Thompson responde: “Jajajajajaja… soy como un iPredador en toda esta mierda. Tengo que sacarlo de mi servidor, por eso estoy archivándolo todo (lol), todo está encriptado”.
La fisura en el servidor de Capital One tuvo lugar durante los meses de marzo y abril de 2019, el banco no cayó en la cuenta de esto hasta el día 19 de julio, cuando un informante anónimo les hizo saber que alguien estaba subiendo su información a una página de GitHub. Como ya se dijo, cuando dieron aviso al FBI, a éste no le resultó difícil conectar todos los puntos.
Pasaron tres meses, sin embargo, antes de que alguien se diera cuenta y en todo ese tiempo Thompson no hizo lo que un hacker malintencionado habría hecho: vender la información a alguien y, por supuesto, cubrir sus huellas.
La mujer, que se unió a Twitter en junio de 2019, que sólo tenía 421 seguidores, que seguía a 200 usuarios y que en algo más de un mes publicó 882 tweets, escribió lo siguiente el 5 de julio: “Después de que esto termine voy a registrarme en un hospital psiquiátrico por un tiempo indefinido. Tengo una enorme lista de cosas que van a garantizar mi confinamiento involuntario del mundo. Y son del tipo que no pueden ignorar o evadir en una clínica mental. Nunca regresaré”.
Hay muchas preguntas sin respuesta todavía en relación al hackeo a Capital One y las motivaciones de Thompson, pero en la medida en que se ahonda en el asunto lo que parece relucir es que tenía serios problemas de personalidad, que acaso aprovechó una fisura en el servidor del banco provocada por una configuración errónea de los ingenieros de sistemas y que no tenía intenciones malignas de delinquir.
La cuenta de Twitter de Paige Adele Thompson fue dada de baja por la compañía hace un par de días. Está acusada de violación a la Ley de Fraude y Abuso Computacional y asistirá a su siguiente audiencia el próximo 1 de agosto. Es posible que un gato esté muriéndose de hambre en algún lugar de Seattle.
