La Comisión Nacional Bancaria y de Valores (CNBV) confirmó la venta de una base de datos del Buró de Credito en la deep web (web profunda u oculta, en español), se trata de un hackeo que puso en riesgo la información de millones de clientes de créditos
La situación ilícita provocada por una vulnerabilidad fue detectada el 19 de diciembre de 2022, de acuerdo con un comunicado; sin embargo, la CNBV no descartó que los datos se hubieran puesto a la venta desde el año 2016.
Qué datos se pusieron en riesgo durante este hackeo
Es importante mencionar que este hackeo expuso los datos de cualquier persona que tenga algún tipo de crédito o financiamiento, incluidos los planes de renta de telefonía móvil hasta créditos hipotecarios. En la web profunda, los datos de una tarjeta de crédito tienen un costo de entre USD 6 y 10, de acuerdo con Kaspersky.
Al ingresar a la página del Buró de Crédito, aparece un cuadro de diálogo en el que se indica lo ocurrido a los clientes, en el mensaje, se informó que gran parte de la información ya había sido eliminada conforme a lo ordenado por la ley.
“Por estos motivos, los consumidores no necesitan hacer trámite alguno ante Buró de Crédito o con las entidades financieras y empresas que les hayan otorgado algún préstamo o crédito que adeuden actualmente (...) Deseamos señalar que la base de datos actual se encuentra protegida e inalterada.”, se pudo leer.
De igual forma, se proporcionó un enlace para que los clientes puedan consultar si su información estuvo comprometida ante el hackeo y se puso a la venta en la deep web.
Por otra parte, se recomendó a los clientes que existen dos servicios para tener controles adicionales sobre la información contenida en el Reporte de Crédito, es decir “Alértame” y “Bloqueo”.
Estos mecanismos son gratuitos y se pueden activar en la página oficial de esta entidad; sin embargo, también hay otras funciones que sí tienen un costo.
Ante los riesgos que podría representar esta venta ilegal de datos personales de millones de clientes, el Banco de México y la Comisión activaron un protocolo de monitoreo en el que se realizaron las siguientes acciones:
-La CNBV solicitó detalles a la Sociedad de Información Crediticia (SIC) para determinar las causas del incidente.
-El Banco de México y la CNBV le dieron seguimiento a las acciones y hallazgos realizados por el Buró de crédito, también se procuró la protección de los datos de la población en general.
-Desde diciembre de 2022, el Buró de Crédito contrató una empresa de ciberseguridad para evaluar sus sistemas informáticos, la conclusión fue que los sistemas actuales no han sido vulnerados.
“Sin embargo, no se puede descartar que la vulneración pudiera haberse realizado desde 2016 hasta antes del sistema utilizado actualmente”, se pudo leer en el comunicado del 22 de febrero.
Por otra parte, el 26 de enero de 2023 se realizó una Visita de Inspección Especial realizada por la Dirección General de Supervisión de Participantes en Redes y la Dirección General de Supervisión de Seguridad de la Información, esta investigación concluirá el 3 de marzo del año en curso y tendrá los siguientes objetivos:
-Evaluar el sistema de control interno que tiene implementado la Sociedad de Información Crediticia en materia de resguardo, seguridad física y logística de la información que reside en sus bases de datos.
-Identificar y evaluar los controles en materia de seguridad de la información implementados en la infraestructura tecnológica de la SIC, así como la existencia y la aplicación de las políticas de seguridad de la información, que ayuden a garantizar la disponibilidad, confidencialidad e integridad de la información.
Qué es la deep web o web profunda
En internet existen sitios web como Wikipedia, redes sociales y blogs que están indexados de forma pública para cualquier usuario. Esto significa que buscadores como Google o Bing pueden arrojarlos como resultados.
En cambio, las páginas que no se pueden encontrar de esta manera no están indexados, así que se deben usar navegadores diferentes tomo tor. para visitarlos, algunos de ellos se alojan en la intranet de empresas particulares para comunicación interna de sus empleados.
Esta ha sido una característica aprovechada por piratas informáticos y delincuentes para poner a la venta datos personales como historiales médicos, credenciales de servicios de suscripción, carnets de conducir escaneados e incluso la difusión de pornografía infantil o grabaciones de crímenes.