La víctima del momento es Interbank. Desde que DarkWebInformer publicó la noticia acerca de que kzoldyck estaba ofreciendo en venta 3.7TB de datos exfiltrados del banco, los ojos de todo Perú y de una parte muy importante de toda América Latina cayeron en el banco. Y no era para menos, si recordamos que el atacante alega haber exfiltrado nombres, fechas de nacimiento, direcciones, números de teléfono, direcciones de email, números de tarjetas de crédito, números CVV de seguridad, nombres de usuario y claves en texto plano, credenciales de acceso vía API, así como credenciales para LDAP y Azure.
El banco no ha confirmado que la exfiltración haya incluido efectivamente todas esas diferentes clases de datos, limitándose a declarar que “alguna información correspondiente a un grupo de clientes” fue expuesta por un tercero no autorizado. Y, hasta donde llega nuestro conocimiento, nadie en la comunidad de ciberinteligencia ha tenido acceso a los datos exfiltrados para analizarlos, por lo que no es posible por el momento confirmar o desvirtuar lo afirmado por el atacante.
Sin embargo, si llega a ser cierto, la afectación para los clientes del banco reviste una gravedad enorme. Como medida básica de precaución, el banco ha debido cancelar y reemplazar TODAS las tarjetas de crédito cuyos datos hayan sido exfiltrados, resetear las claves de acceso a las cuentas de TODOS sus clientes cuya información haya sido exfiltrada, ha debido cambiar las credenciales de acceso vía API y aquellas usadas vía LDAP y Azure. Y más - aunque siendo realistas, es posible que el banco aún no tenga total claridad acerca de los datos exactos que fueron exfiltrados.
Si lo que afirma el atacante es cierto, en cuanto a que la exfiltración incluyó nombres de usuario y claves en texto plano, el banco tiene la obligación moral de ser transparente con sus clientes e informarles que esto ha ocurrido, porque de ellos con seguridad varios miles reutilizan sus claves en diferentes servicios y al caer su nombre de usuario y su clave en este ataque, es cuestión de tiempo para que éste u otro delincuente intenten hacer uso de esas credenciales para ingresar en otros servicios como cuentas en otros bancos, redes sociales, Netflix, Amazon, Spotify o cualquier otro en que uno pueda pensar. Es decir, potencialmente miles de usuarios del banco que reutilicen sus claves (cosa que uno NO se debe hacer pero que, tristemente, muchos hacen) pueden perder sus cuentas en otros servicios.
Afortunadamente para los usuarios de Interbank, el atacante no menciona haber exfiltrado datos biométricos, que son usados por el banco para identificar a los usuarios de algunos de sus servicios. Sin embargo, en el análisis post-mortem tras el ataque es obvio que el banco tiene la obligación de, entre otros muchos pasos a seguir, verificar e informar transparentemente si hubo alguna afectación a los registros biométricos de sus clientes. Los clientes tienen derecho de saber si sus datos biométricos están siendo ofrecidos en el bajo mundo de la delincuencia en línea.
Por ahora, desde afuera no podemos hacer más que monitorear lo que vaya informando el banco y estar disponibles en caso de que sea posible colaborar con las autoridades. Después de semejante momento tan difícil, es justo dejar a las directivas del banco en paz para que puedan rehacer su camino mientras colaboran con las autoridades en la investigación del ataque. En lugar de criticar al banco por haber sido victimizado, piense usted cuántas vulnerabilidades de alta severidad se pueden encontrar en el servidor web de su propia compañía o en su servidor de correo. O intente recordar la última vez en que su organización buscó elevar el nivel de preparación del personal para disminuir el riesgo de caer víctimas en ataques de phishing. Esta vez fue Interbank, la próxima vez puede ser usted.
Es interesante notar cómo, aparentemente, durante su negociación con el delincuente el banco insistía en su creencia de que un empleado suyo habría actuado como cómplice del atacante. La investigación policial confirmará esto. En sus últimos mensajes al atacante, el banco le dijo esto: “Apelamos a su sentido de la decencia para que considere apartarse de este asunto y siga hacia adelante. Con o sin su ayuda, tarde o temprano vamos a descubrir a su cómplice. Si usted decide apartarse ya, no vamos a contactar a la policía”. Si usted está negociando con un delincuente, tenga presente que apelar a su decencia puede no ser el mejor argumento: si el delincuente fuera una persona decente, no sería un delincuente.