Seguridad informática: teorías sobre la supuesta filtración de datos de usuarios del Banco Pichincha
La entidad bancaria ratifica que sus sistemas no han sido vulnerados. Expertos en seguridad manejan algunas teorías y mencionan las medidas se deberían tomar
El pasado 9 de febrero de 2021, las redes sociales hicieron eco de una supuesta filtración de información relacionada con el Banco Pichincha, Visa Titanium, Diners Club y Discover, tal como te explicamos aquí, la cual fue desmentida por la entidad bancaria, pero que aún deja muchas dudas.
Banco Pichincha desmiente supuesto hackeo en sus sistemas
Leer másLa información comenzó a circular en Twitter después de que Bank Security, dedicada a generar alertas de posibles vulneraciones a sistemas informáticos de bancos alrededor del mundo, alertara sobre el hecho.
“Un actor amenazante asegura haber robado 80 gigabytes de información sensible supuestamente relacionada al Banco Pichincha de Ecuador, Visa Titanium, Diners Club y Discover. Al parecer, incluye datos PII (Información Personal Identificable, por sus siglas en inglés), acceso a sistemas intranet y tarjetas de crédito”, señala el tuit redactado en inglés.
A Threat Actor claimed to have stolen 80GB of sensitive information allegedly related to the Ecuador-based 🇪🇨 Bank Banco Pichincha, Visa Titanium, Diners Club and Discover.
— Bank Security (@Bank_Security) February 9, 2021
The dump allegedly includes:
- customers & employees PII Data
- access to intranet systems
- credit cards pic.twitter.com/2BpRR9kBog
Bank Security le dijo a EXPRESO que el actor publicó miles de datos personales no cifrados de usuarios de las diferentes empresas en GitHub y Mega File Share para demostrar la filtración.
“También intentaron publicitarlos en Twitter pidiendo un rescate por la eliminación de esos datos. Ambas cuentas están ahora suspendidas y el material ya no está disponible. Hasta donde sabemos, el identificador utilizado por Threat Actor es nuevo en el panorama del cibercrimen y no sabemos quién está detrás de este ataque”, mencionó la compañía especializada en ciberdelitos y fraude bancario.
Y es que cerca de 280 megabytes de archivos de texto fueron subidos a Mega y difundidos a través de la cuenta de Twitter @CorpHotarus. La cuenta estuvo disponible hasta el mediodía del miércoles 10 de febrero de 2021.
“Fue suspendida y el link de Mega fue eliminado por los administradores de la nube. Ahora se encuentran en un servidor .onion en la Deep web”, resaltaron los investigadores a este diario.
LA VERSIÓN DEL BANCO PICHINCHA
La noche en que se filtró la supuesta información de Banco Pichincha, la misma entidad se pronunció sobre el tema. A través de un comunicado, la institución bancaria dijo que sus sistemas no habían sido vulnerados y que la información de los clientes se encontraba segura.
"La información de nuestros clientes se encuentra debidamente resguardada", señala el texto. Asimismo, Diners Club emitió también un pronunciamiento con el que enfatizó en que la supuesta vulneración de los sistemas informáticos es "totalmente falsa".
— Banco Pichincha (@BancoPichincha) February 10, 2021
Tras conocer el caso, EXPRESO solicitó una entrevista con un vocero de la entidad y recibimos la respuesta de Abel Castillo, vicepresidente de Comunicación del Banco Pichincha: "En relación a la información que está circulando en redes sociales, respecto a un supuesto robo de información, el Banco Pichincha ratifica que nuestros sistemas no han sido vulnerados. Los datos publicados en redes sociales corresponden a campañas comerciales que fueron gestionadas anteriormente y que no comprometen en absoluto la seguridad de los recursos financieros de nuestros clientes", señaló.
El vocero también agregó que "la seguridad es un pilar esencial para el banco" y que cumplen con la normativa vigente del sistema financiero. Así, con este antecedente, aseguró que tomarán las medidas pertinentes contra quienes quieran crear pánico financiero.
Al cuestionarle sobre la forma en la que se obtuvieron estos datos de las campañas comerciales, creadas por la entidad, contestó: "no sabemos (está en investigación), son campañas comerciales que se hicieron en el pasado", sin embargo, recalcó que los sistemas del Banco Pichincha no han sido vulnerados.
EN REDES
Cuando empezaron a compartirse los datos en redes sociales, se hablaba de datos "viejos", del 2019. Sin embargo, circulan capturas de febrero de 2021.
Ahí está del 2021, los datos no están ordenados por fecha pero hay información sensible y válida pic.twitter.com/ySh8g304CE
— proxy_v0id (@ProxyV0id) February 10, 2021
Cambiar la estrategia de ciberseguridad, una misión más que deja la pandemia
Leer másLOS EXPERTOS HABLAN
Jason Carbo, asesor IT sobre infraestructura y protección de datos, asegura que en Ecuador ya se han registrado varios ataques desde hace algunos años con datos de cuentas de millones de ecuatorianos, por lo que este caso no le resulta extraño o imposible.
Sin ir muy lejos, en septiembre de 2019, los datos de 20 millones de ecuatorianos fueron expuestos, con el caso Novaestrat. Entre la información comprometida había fechas de nacimiento, niveles de educación, estado civil, direcciones físicas y de correo electrónico y números telefónicos. Incluso se expuso información sobre sus familiares.
Carbo alega que en la Deep web existen servidores de datos de “millones de ecuatorianos” que se venden, por lo que en el país este tipo de cibercrimen dejó de ser un campo virgen desde hace tiempo.
En cuanto al caso más reciente, relacionado con Banco Pichincha, el experto defiende que la información que se ha compartido es real y que dos personas lo comprobaron ingresando a las bancas virtuales de usuarios de la entidad sin necesidad de claves, solo con los ‘tokens’ (llaves virtuales) que se difundieron en estos días.
Para él, según la información compilada, el presunto robo se basó en una extracción de respaldos de la información, mas no de un robo directo a la base de datos. Además, el experto critica que existe un vacío legal para poder denunciar este tipo de delitos públicamente debido a que eso “implicaría que como nosotros también descargamos la información, seríamos cómplices”.
- LOS FACTORES QUE AFECTAN A LA SEGURIDAD DIGITAL
Roberto Olaya, CEO de Hack Security Consultores, comenta que la mayoría de empresas, al tener una economía muy apretada por la pandemia, están tratando de optimizar la mayor cantidad de recursos, incluidos los de seguridad informática.
Por ejemplo: bajando de 15 a 10 servidores, quedándose con 2 desarrolladores en vez de 5 y así… “Y funcionalmente esas estrategias se adaptan a la necesidad de la empresa ya que sea ahorra dinero. Sin embargo, esta empresa se olvida de los factores de riesgo que tiene a su alrededor, como cortafuegos, antivirus y el factor humano”, sostiene.
Este último, a criterio del experto, es el riesgo más grande que existe.
Puedes tener claves de 16 dígitos, tokens, reconocimiento facial o lo que quieras, pero si existe un empleado mal pagado o que fue despedido y tuvo acceso a esa información; ten por seguro que ese empleado puede tener en sus manos una forma de venganza.
Son este tipo de brechas tanto humanas como tecnológicas, las que afectan a la seguridad, asegura Olaya. “Esto pasa desde la empresa más grande a la más pequeña” y añade que no existe sistema totalmente seguro, menos en un contexto en el que la información se encuentra “tan diversificada y compartida".
- LOS POSIBLES ESCENARIOS DE ESTE CASO
Las causas que pudieran generar un caso comprobado, similar al que supuestamente ocurre con Banco Pichincha, se podrían dividir en dos factores, a razón de Olaya:
- Humano: Proveedores que continuaron teniendo acceso a la información a pesar de terminar el contrato, empleados que fueron mal pagados o tuvieron algún problema.
- Aplicativo y de desarrollo: Muchas aplicaciones no son probadas o no son actualizadas, por lo que se genera una importante brecha de seguridad.
Por otro lado, el experto recuerda que también se podría dar el caso de un intento de daño corporativo. Es decir, personas que, pagadas por la competencia de una determinada empresa, buscan romper y hacer daño en los sistemas de esa empresa rival.
- EL NEGOCIO DETRÁS DE ESTO
El CEO de Hack Security Consultores explica que la venta de información de tarjetas de crédito es un negocio frecuente en la Deep web.
“Siempre en el mercado va a haber alguien dispuesto a comprar algo, en este caso hablamos de la data. Algo que quizá unos piensen que no les va a servir, a otros sí y le sacan beneficio", dice Olaya y añade un ejemplo hipotético:
Si yo tengo 1.000 números de tarjetas de crédito que oscilan entre los 1.000 y 5.000 dólares y voy a la Deep Web a ofrecerlas, en una hora las habré vendido.
¿Cómo afectó el COVID-19 a la realidad informática de Latinoamérica?
Leer másLos números de tarjeta de créditos suelen venderse en la Deep web entre los 10 y 15 dólares. El que recibe el beneficio de esa tarjeta podrá hacer compras en línea “hasta que lo atrapen o bloqueen la tarjeta”.
Haciendo una analogía con el narcotráfico, Olaya dice que ese dinero ilegal -en este caso virtual- que se consigue obteniendo una de esas tarjetas, no se podrá gastar en todo lo que uno quiera legalmente. “Si yo me quiero comprar un vehículo, difícilmente voy a poder hacerlo con este dinero porque de alguna manera tengo que demostrar cómo me lo he ganado”, pone de ejemplo.
En la internet profunda, con ese dinero suelen comprarse armas, drogas, videojuegos o acceso a servicios a nivel internacional, pero con la necesidad de una identidad falsa y con la certeza de que “llegará un momento en que te la bloqueen”.
“Si yo soy el vendedor y se te bloquean o no compras, para mi no hay problema. Yo ya te las habré vendido. Así es el negocio”, asevera.
Por otro lado, Olaya apunta a que cada vez se generan más métodos con los que los ciberdelincuentes sacan beneficios económicos sin dejar rastro, aunque estas modalidades aún no han tomado mucho protagonismo en Ecuador.
- ¿Y SI SE TRATA DE UNA TRAMPA?
Karina Astudillo, consultora de Seguridad IT y CEO de Consulting Systems, no descarta la posibilidad de que todo esto se trate de una trampa basada en la ingeniería social.
Puede jugar con el miedo de las personas el observar que sus nombres aparecen en una de esas listas difundidas, por lo que dan clic al enlace para comprobar que pasa.
Es ahí, dice Astudillo, cuando se puede dar la posibilidad de que el archivo que se descarga automáticamente con el enlace puede contener un ‘malware’ (software malicioso), que en algunos casos puede ser tan sofisticado que ni siquiera un antivirus actualizado lo puede detectar. “En ese momento pasas a estar infectado. No estabas hackeado, pero si consiguieron que te dejaras hackear”.
- ¿QUÉ PELIGRO REPRESENTA CAER EN UNA TRAMPA ASÍ?
La seguridad de datos es un asunto que no se ha tratado con seriedad suficiente en Ecuador. A pesar de que en el país ya se han registrado estas vulneraciones, aún no existe una ley de protección de datos. En septiembre de 2019, después del escándalo de Navestrat, se presentó un proyecto de Ley de Protección de Datos Personales. Sin embargo, el proyecto aún se encuentra en revisión para primer debate en la Asamblea Nacional.
Seguridad informática: Ecuador sigue con tareas pendientes
Leer másPara Astudillo y los demás expertos, implementar este tipo de leyes es fundamental para reforzar la cultura digital y poder acabar con algunos vacíos legales que a día de hoy se encuentran en la materia.
CONSEJOS
En cualquier caso... ¿Qué hacer para sentirme más seguro? EXPRESO te muestra una serie de tips, a través del conocimiento de los expertos consultados:
- Cambia las contraseñas de la Banca Móvil.
- Tu email debe tener un password único.
- Activa la autenticación de 2 pasos.
- Limita los montos de transferencias.
En caso de tener tarjetas:
- Permanece atento a las transacciones.
- No confíes en cualquier email que recibas y verifica los detalles de la dirección del email.
- Evita dar clic en links enviados por email.
- Usa un buen antivirus de pago.
También procura usar contraseñas que no contengan tus datos de cédula, fechas, nombres, apodos, mascotas, entre otros datos que pueden extraer a través de ingeniería social.