La supervisión de seguridad podría tener habilitada las declaraciones juradas de Countrywide Breach

datos de clientes del prestamista de hipotecas para viviendas Countrywide probablemente pudo descargar y guardar los datos en un disco externo debido a un descuido del departamento de TI de la compañía. El viernes, Rene Rebollo, ex analista financiero sénior de Countrywide, fue arrestado por su presunto rol en robar datos de clientes y venderlos.

US Las declaraciones juradas de la Oficina Federal de Investigación muestran que Rebollo le dijo a los agentes especiales que él sabía que la mayoría de las computadoras en la oficina tenían una característica de seguridad que impedía el uso de una memoria USB. Sin embargo, descubrió que una computadora no tenía esta función.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

semanalmente, a menudo los domingos, Rebollo recopilaba los nombres de los clientes por solicitud de sus compradores y los descargan en su disco personal usando esa computadora en la oficina, según los documentos. Rebollo podría recopilar específicamente nombres de personas que rechazaron recientemente una oferta de un préstamo por Countrywide, por ejemplo.

Durante un período de dos años, Rebollo calculó que descargó aproximadamente 20,000 perfiles de clientes cada semana y vendió archivos con tantos nombres para EE.UU. $ 500, según la declaración jurada. Los perfiles incluyen números de Seguridad Social y otros detalles de contacto sobre las personas. Por lo general, enviaba por correo electrónico los datos en hojas de cálculo Excel a sus compradores, a menudo usando computadoras en las tiendas de copiado y centros comerciales de Kinko.

El propietario de Countrywide, Bank of America, no respondió a una solicitud de información sobre el tipo de seguridad emplea para prevenir este tipo de robo Según una declaración del FBI la semana pasada, Countrywide dijo que está analizando los datos robados para determinar si alguna identidad de los clientes se ha visto comprometida. Si lo han hecho, la compañía dijo que notificará a los clientes, según el comunicado del FBI.

Si bien no está claro qué tipo de seguridad emplea Countrywide que inhabilita el uso de memorias USB, puede usar software que incluya un agente en todos computadoras que los administradores de TI pueden configurar para controlar cómo se puede usar cada puerto en la computadora. Dichos productos pueden permitir a los administradores establecer reglas que permitan a ciertos empleados acceder a ciertos puertos, o establecer reglas que definan qué tipos de archivos se pueden copiar en ciertos puertos, dijo Pat Clawson, presidente y CEO de Lumension Security, una compañía que vende dicho software. Si este es el método que utiliza Countrywide, es posible que sus administradores no hayan instalado accidentalmente el agente en la computadora que Rebollo descubrió.

Pero se puede evitar ese tipo de vulnerabilidad, dijo Clawson. Las empresas deben tener políticas que requieran que se controle cualquier dispositivo que toque la red. "No importa si ese dispositivo es una computadora portátil o una computadora de mano, tiene que pasar por algún tipo de proceso de escaneo para encontrar si tienen todos los materiales necesarios antes de permitirles acceder a la red. Está claro que esto no sucedió aquí, "dijo.

Muchas compañías que manejan datos confidenciales también tienen sistemas que hacen cumplir las reglas de cifrado y evitan que la mayoría de los trabajadores copien datos confidenciales, señaló Clawson.

Algunas organizaciones han recurrido a métodos mucho más draconianos para tratar de prevenir este tipo de robo, dijo Clawson. Durante un tiempo, muchas agencias del gobierno de EE. UU. Llenaron puertos USB con pegamento caliente y clavaron tornillos de plástico en micrófonos en un esfuerzo por impedir el acceso a ellos, dijo.

El FBI recabó algunos de los datos supuestamente robados por Rebollo al trabajar con testigos confidenciales que aceptaron comprar los datos de uno de los clientes de Rebollo, Wahid Siddiqi, quien también fue arrestado la semana pasada. Los testigos luego entregaron los datos a los agentes del FBI. Countrywide comparó esas cifras provistas por el FBI con sus propias hojas de cálculo internas, confirmando que los nombres eran de sus clientes y se emparejaron con números precisos de la Seguridad Social.

En dos años, Rebollo calculó que ganó $ 50,000 a $ 70,000 en la actividad. Su salario en Countrywide era de $ 65,000 por año, según los documentos.

Rebollo inicialmente cooperó con agentes del FBI, describió sus acciones y les dio voluntariamente una de las computadoras de su casa y una memoria USB, según la declaración jurada. Pero luego pareció haber cambiado de opinión. Pocos días después de su reunión con los agentes, el abogado de Rebollo le dijo al FBI que había decidido revocar su consentimiento para registrar el disco y la computadora.

Rebollo, quien enfrenta hasta cinco años en una prisión federal si es declarado culpable, liberado con un bono de $ 80,000 la semana pasada a pesar de que no parece estar listo para renunciar a sus actividades, al menos de acuerdo con las declaraciones juradas. Los agentes del FBI dijeron que seis días después de hablar con Rebollo, cuando describió cómo robó y vendió los datos, llamó a un testigo que le ofreció venderle más nombres de clientes de Countrywide.