Recientes fallas de seguridad en la red de un comerciante vinculado a Mastercard han puesto en riesgo datos sensibles de los usuarios de tarjetas de débito emitidas por seis bancos de Estados Unidos. Entre la información comprometida se encuentran nombres, números de tarjeta y fechas de vencimiento, aunque no se han reportado accesos no autorizados a los sistemas internos de las instituciones bancarias. A pesar de esto, los datos expuestos podrían ser utilizados para realizar transacciones fraudulentas, lo que ha generado preocupación entre los clientes.
Los seis bancos afectados—Mainstreet Bank, Savers Bank, The Village Bank, Watertown Savings Bank, Webster Five Cents Savings Bank y Eagle Bank—se han enfrentado al reto de comunicar efectivamente el incidente a sus clientes. Esto ha incluido el envío de notificaciones detallando los posibles riesgos y las medidas a tomar. El incidente ha puesto de relieve la necesidad de fortalecer las infraestructuras de seguridad en el ecosistema bancario y en los comercios asociados.
De acuerdo con el portal financiero The Daily Hold, cada banco ha adoptado diferentes estrategias para abordar el problema y mitigar riesgos. Eagle Bank y Savers Bank están reemplazando automáticamente las tarjetas afectadas. Por su parte, Webster Five Cents Savings Bank ha decidido emitir nuevas tarjetas de manera obligatoria, aunque sin detallar el origen específico de la brecha.
Watertown Savings Bank permite que los clientes soliciten una tarjeta nueva si lo consideran necesario, mientras que Mainstreet Bank está instando a sus usuarios a tomar precauciones adicionales al monitorear sus cuentas y ofrece tarjetas de reemplazo bajo petición.
Varios bancos han recomendado a sus clientes estar especialmente atentos al monitoreo de sus cuentas por un periodo de 12 a 24 meses. Esta vigilancia es crucial para identificar cualquier actividad sospechosa que pueda derivarse del acceso no autorizado a los datos. Además, se insta a reportar inmediatamente cualquier transacción no reconocida.
La vulnerabilidad se detectó en una red de pagos operada por un comerciante asociado a Mastercard, aunque la identidad del comerciante no ha sido revelada públicamente. Según los informes presentados por los bancos, el acceso no autorizado ocurrió entre agosto de 2023 y mayo de 2024, lo que expone un período prolongado durante el cual los datos pudieron haber estado disponibles para actores malintencionados. A pesar de esta exposición, los bancos afectados han subrayado que sus propios sistemas no fueron comprometidos.
El impacto económico y operativo de este incidente varía entre los bancos afectados. Por ejemplo, Eagle Bank, con activos totales valorados en 615 millones de dólares, ha destacado por su respuesta rápida al ofrecer reemplazos automáticos de tarjetas y guías detalladas a sus clientes.
No es un caso aislado
Este tipo de incidentes no es un fenómeno aislado dentro del sector bancario y financiero de Estados Unidos. En los últimos años, múltiples instituciones han enfrentado desafíos similares debido a brechas de seguridad en terceros proveedores. Por ejemplo, en 2019, la cadena de supermercados Target sufrió un ataque que comprometió datos de tarjetas de crédito y débito de más de 40 millones de clientes. Asimismo, en 2021, la plataforma de comercio electrónico Shopify informó que un empleado malintencionado obtuvo acceso no autorizado a datos de pago de miles de clientes.
El historial de estos eventos ha llevado a las instituciones financieras a reforzar sus medidas de ciberseguridad y a colaborar con las autoridades para mitigar el impacto de futuros ataques. Sin embargo, el desafío persiste debido al aumento en la sofisticación de los ciberataques y la dependencia de terceros en el procesamiento de datos financieros.