Ataque contra Interbank: Usted puede ser el siguiente

Nadie en la comunidad de ciberinteligencia ha tenido acceso a los datos exfiltrados para analizarlos, por lo que no es posible por el momento confirmar o desvirtuar lo afirmado por el atacante

Guardar
Agencias de Interbank registran largas
Agencias de Interbank registran largas colas luego de suspensión de datos. (Foto: Alejandro Aguilar)

La víctima del momento es Interbank. Desde que DarkWebInformer publicó la noticia acerca de que kzoldyck estaba ofreciendo en venta 3.7TB de datos exfiltrados del banco, los ojos de todo Perú y de una parte muy importante de toda América Latina cayeron en el banco. Y no era para menos, si recordamos que el atacante alega haber exfiltrado nombres, fechas de nacimiento, direcciones, números de teléfono, direcciones de email, números de tarjetas de crédito, números CVV de seguridad, nombres de usuario y claves en texto plano, credenciales de acceso vía API, así como credenciales para LDAP y Azure.

El banco no ha confirmado que la exfiltración haya incluido efectivamente todas esas diferentes clases de datos, limitándose a declarar que “alguna información correspondiente a un grupo de clientes” fue expuesta por un tercero no autorizado. Y, hasta donde llega nuestro conocimiento, nadie en la comunidad de ciberinteligencia ha tenido acceso a los datos exfiltrados para analizarlos, por lo que no es posible por el momento confirmar o desvirtuar lo afirmado por el atacante.

Sin embargo, si llega a ser cierto, la afectación para los clientes del banco reviste una gravedad enorme. Como medida básica de precaución, el banco ha debido cancelar y reemplazar TODAS las tarjetas de crédito cuyos datos hayan sido exfiltrados, resetear las claves de acceso a las cuentas de TODOS sus clientes cuya información haya sido exfiltrada, ha debido cambiar las credenciales de acceso vía API y aquellas usadas vía LDAP y Azure. Y más - aunque siendo realistas, es posible que el banco aún no tenga total claridad acerca de los datos exactos que fueron exfiltrados.

Según Interbank, la falla física
Según Interbank, la falla física se dio durante la noche del 29 de octubre y la madrugada del 30. Foto: composición Infobae/Freepik/Andina

Si lo que afirma el atacante es cierto, en cuanto a que la exfiltración incluyó nombres de usuario y claves en texto plano, el banco tiene la obligación moral de ser transparente con sus clientes e informarles que esto ha ocurrido, porque de ellos con seguridad varios miles reutilizan sus claves en diferentes servicios y al caer su nombre de usuario y su clave en este ataque, es cuestión de tiempo para que éste u otro delincuente intenten hacer uso de esas credenciales para ingresar en otros servicios como cuentas en otros bancos, redes sociales, Netflix, Amazon, Spotify o cualquier otro en que uno pueda pensar. Es decir, potencialmente miles de usuarios del banco que reutilicen sus claves (cosa que uno NO se debe hacer pero que, tristemente, muchos hacen) pueden perder sus cuentas en otros servicios.

Afortunadamente para los usuarios de Interbank, el atacante no menciona haber exfiltrado datos biométricos, que son usados por el banco para identificar a los usuarios de algunos de sus servicios. Sin embargo, en el análisis post-mortem tras el ataque es obvio que el banco tiene la obligación de, entre otros muchos pasos a seguir, verificar e informar transparentemente si hubo alguna afectación a los registros biométricos de sus clientes. Los clientes tienen derecho de saber si sus datos biométricos están siendo ofrecidos en el bajo mundo de la delincuencia en línea.

Por ahora, desde afuera no podemos hacer más que monitorear lo que vaya informando el banco y estar disponibles en caso de que sea posible colaborar con las autoridades. Después de semejante momento tan difícil, es justo dejar a las directivas del banco en paz para que puedan rehacer su camino mientras colaboran con las autoridades en la investigación del ataque. En lugar de criticar al banco por haber sido victimizado, piense usted cuántas vulnerabilidades de alta severidad se pueden encontrar en el servidor web de su propia compañía o en su servidor de correo. O intente recordar la última vez en que su organización buscó elevar el nivel de preparación del personal para disminuir el riesgo de caer víctimas en ataques de phishing. Esta vez fue Interbank, la próxima vez puede ser usted.

Es interesante notar cómo, aparentemente, durante su negociación con el delincuente el banco insistía en su creencia de que un empleado suyo habría actuado como cómplice del atacante. La investigación policial confirmará esto. En sus últimos mensajes al atacante, el banco le dijo esto: “Apelamos a su sentido de la decencia para que considere apartarse de este asunto y siga hacia adelante. Con o sin su ayuda, tarde o temprano vamos a descubrir a su cómplice. Si usted decide apartarse ya, no vamos a contactar a la policía”. Si usted está negociando con un delincuente, tenga presente que apelar a su decencia puede no ser el mejor argumento: si el delincuente fuera una persona decente, no sería un delincuente.

Guardar

Más Noticias

¿Por qué regalar un libro en Navidad?: sorprende a tus hijos con estos increíbles títulos de autoras peruanas

A través de los libros, los niños no solo adquieren conocimientos, sino que también desarrollan habilidades importantes que les acompañarán durante toda su vida
¿Por qué regalar un libro

Trabaja en el sector saneamiento: Sunass abre convocatoria de trabajo y ofrece sueldos de hasta S/ 12 mil

Son ocho vacantes las disponibles en la oferta laboral de la Superintendencia Nacional de Servicios de Saneamiento (Sunass). Es posible postular hasta el 17 de enero de 2025
Trabaja en el sector saneamiento:

Juan José Santiváñez es el ministro del gobierno de Dina Boluarte con la mayor percepción negativa, superando incluso a Gustavo Adrianzén

A lo largo de su gestión como ministro del Interior ha enfrentado críticas por las medidas implementadas contra la inseguridad ciudadana, acciones irregulares dentro de la Policía Nacional y el pase al retiro del coronel Harvey Colchado, conocido por encabezar el allanamiento a la casa de Dina Boluarte
Juan José Santiváñez es el

¿Red de proxenetismo en el Congreso?: implicados podrían enfrentar penas de hasta 6 años de prisión

Según expertos, este delito involucra la participación activa de varias personas para facilitar actividades ilícitas relacionadas con la explotación sexual
¿Red de proxenetismo en el

System of a Down en Perú: su concierto logró el sold out y banda envía mensaje a sus fans

La banda estadounidense agradeció a sus fans luego de haberse agotado todas las entradas para su próximo concierto en Lima
System of a Down en
MÁS NOTICIAS