Ataque contra Interbank: Usted puede ser el siguiente

Nadie en la comunidad de ciberinteligencia ha tenido acceso a los datos exfiltrados para analizarlos, por lo que no es posible por el momento confirmar o desvirtuar lo afirmado por el atacante

Agencias de Interbank registran largas colas luego de suspensión de datos. (Foto: Alejandro Aguilar)

La víctima del momento es Interbank. Desde que DarkWebInformer publicó la noticia acerca de que kzoldyck estaba ofreciendo en venta 3.7TB de datos exfiltrados del banco, los ojos de todo Perú y de una parte muy importante de toda América Latina cayeron en el banco. Y no era para menos, si recordamos que el atacante alega haber exfiltrado nombres, fechas de nacimiento, direcciones, números de teléfono, direcciones de email, números de tarjetas de crédito, números CVV de seguridad, nombres de usuario y claves en texto plano, credenciales de acceso vía API, así como credenciales para LDAP y Azure.

El banco no ha confirmado que la exfiltración haya incluido efectivamente todas esas diferentes clases de datos, limitándose a declarar que “alguna información correspondiente a un grupo de clientes” fue expuesta por un tercero no autorizado. Y, hasta donde llega nuestro conocimiento, nadie en la comunidad de ciberinteligencia ha tenido acceso a los datos exfiltrados para analizarlos, por lo que no es posible por el momento confirmar o desvirtuar lo afirmado por el atacante.

Sin embargo, si llega a ser cierto, la afectación para los clientes del banco reviste una gravedad enorme. Como medida básica de precaución, el banco ha debido cancelar y reemplazar TODAS las tarjetas de crédito cuyos datos hayan sido exfiltrados, resetear las claves de acceso a las cuentas de TODOS sus clientes cuya información haya sido exfiltrada, ha debido cambiar las credenciales de acceso vía API y aquellas usadas vía LDAP y Azure. Y más - aunque siendo realistas, es posible que el banco aún no tenga total claridad acerca de los datos exactos que fueron exfiltrados.

Según Interbank, la falla física se dio durante la noche del 29 de octubre y la madrugada del 30. Foto: composición Infobae/Freepik/Andina

Si lo que afirma el atacante es cierto, en cuanto a que la exfiltración incluyó nombres de usuario y claves en texto plano, el banco tiene la obligación moral de ser transparente con sus clientes e informarles que esto ha ocurrido, porque de ellos con seguridad varios miles reutilizan sus claves en diferentes servicios y al caer su nombre de usuario y su clave en este ataque, es cuestión de tiempo para que éste u otro delincuente intenten hacer uso de esas credenciales para ingresar en otros servicios como cuentas en otros bancos, redes sociales, Netflix, Amazon, Spotify o cualquier otro en que uno pueda pensar. Es decir, potencialmente miles de usuarios del banco que reutilicen sus claves (cosa que uno NO se debe hacer pero que, tristemente, muchos hacen) pueden perder sus cuentas en otros servicios.

Afortunadamente para los usuarios de Interbank, el atacante no menciona haber exfiltrado datos biométricos, que son usados por el banco para identificar a los usuarios de algunos de sus servicios. Sin embargo, en el análisis post-mortem tras el ataque es obvio que el banco tiene la obligación de, entre otros muchos pasos a seguir, verificar e informar transparentemente si hubo alguna afectación a los registros biométricos de sus clientes. Los clientes tienen derecho de saber si sus datos biométricos están siendo ofrecidos en el bajo mundo de la delincuencia en línea.

Por ahora, desde afuera no podemos hacer más que monitorear lo que vaya informando el banco y estar disponibles en caso de que sea posible colaborar con las autoridades. Después de semejante momento tan difícil, es justo dejar a las directivas del banco en paz para que puedan rehacer su camino mientras colaboran con las autoridades en la investigación del ataque. En lugar de criticar al banco por haber sido victimizado, piense usted cuántas vulnerabilidades de alta severidad se pueden encontrar en el servidor web de su propia compañía o en su servidor de correo. O intente recordar la última vez en que su organización buscó elevar el nivel de preparación del personal para disminuir el riesgo de caer víctimas en ataques de phishing. Esta vez fue Interbank, la próxima vez puede ser usted.

Es interesante notar cómo, aparentemente, durante su negociación con el delincuente el banco insistía en su creencia de que un empleado suyo habría actuado como cómplice del atacante. La investigación policial confirmará esto. En sus últimos mensajes al atacante, el banco le dijo esto: “Apelamos a su sentido de la decencia para que considere apartarse de este asunto y siga hacia adelante. Con o sin su ayuda, tarde o temprano vamos a descubrir a su cómplice. Si usted decide apartarse ya, no vamos a contactar a la policía”. Si usted está negociando con un delincuente, tenga presente que apelar a su decencia puede no ser el mejor argumento: si el delincuente fuera una persona decente, no sería un delincuente.

Más Noticias

Pamela Franco propone reunirse con Karla Tarazona en privado: “Somos adultas, se lo digo en su cara "

La cantante de cumbia invitó a la conductora de ‘Préndete’ a una reunión sin cámaras, con el fin de aclarar malentendidos y acusando a Janet Barboza de hacer comentarios hipócritas

Huelga en el Aeropuerto Jorge Chávez: sindicato anuncia paro de 48 horas durante el APEC

El Sindicato Nacional de Especialistas Aeronáuticos de CORPAC S.A. (Sineacor) anunció que tomará esta medida de fuerza para exigir el pago de bonos ordenados por arbitrajes que la empresa perdió ante sus trabajadores

Precio del dólar en Perú: Tipo de cambio se cotiza al alza tras victoria de Trump HOY, 6 de noviembre

Revisa el valor del dólar y su cotización en Bloomberg, el mercado paralelo, interbancario y Sunat. Así va la tendencia del tipo de cambio este año, según el Banco Central de Reserva (BCRP)

Así fueron las tres veces que un presidente de los Estados Unidos a visitó el Perú

Desde temas de seguridad hasta iniciativas de desarrollo, tres visitas presidenciales de EE. UU. han resaltado el valor estratégico de Perú, estrechando vínculos en momentos clave de la región.

¿Ley del gatillo fácil?: Dina Boluarte anuncia que policías y militares sean juzgados en el fuero castrense cuando usen sus armas

Advierten impunidad para los miembros de la PNP y FF.AA que comentan delitos de homicidio y lesiones. Así como, desprotección a la población de excesos de las fuerzas del orden. Cuestionan que el presidente del Poder Judicial y el fiscal de la Nación hayan estado presentes en la propuesta normativa que permite el retorno del fuero policial militar