Jonathan Mondaca Escobar

La periodista Gloria Echiburú Zapata estaba en su trabajo cuando este Diario le consultó si ella era parte de los 14 mil clientes bancarios del país que resultaron afectados por la filtración de los datos sensibles de su tarjeta de crédito.

Aunque la mañana de ayer sabía de este hecho, el quehacer de su jornada le impidió verificar si su número de tarjeta, el código de seguridad y la fecha de expiración de la misma circulaban libremente por internet. "Le pedí a mi hijo que revisara en la casa y me mandara fotografías de los documentos de ese tipo que tengo", explicó la profesional.

Minutos más tarde y al chequear las fotos que llegaron a su teléfono, constató que la serie de una de sus tarjetas coincidía con los números del documento filtrado por el grupo 'ShadowBrokers' (ver página 3).

Echiburú sostuvo que se sintió totalmente insegura al comprobar que sus datos estaban de manera precisa y textual en un archivo de texto y que en ese momento, podían ser utilizados por cualquier persona para realizar compras en línea.

La tarjeta en cuestión era una Mastercard que si bien no utilizaba, estaba activa.

"Llamé a la tienda Paris y me fui de espaldas. Me dijeron que tenía que agradecer la filtración y que este documento se entregara porque así se alertaba a los clientes y ellos podían tomar precauciones. O sea, tengo que agradecer la filtración de mis datos porque así me entero de que soy vulnerable", dijo con sarcasmo.

Bloqueo

Tras el bloqueo del documento, la periodista manifestó su molestia por lo sucedido y aseguró que ahora tiene muchas más dudas respecto de la seguridad de sus datos en el futuro.

Sobre todo, porque desde la tienda le dijeron que no se preocupara, ya que la mayoría de las tarjetas de la filtración ya no están en uso o fueron bloqueadas.

"Por mucho que eso sea así, tus datos no tienen por qué estar dando vueltas en Internet. En minería hay una ley que hace responsable a la empresa mandante de situaciones que pudieran ocurrir con un subsidiario, aquí eso no debería ser distinto", reclamó.

Otro antofagastino cuya información bancaria también fue parte de la filtración es Ivo Simunovic Traub.

"Me avisaron anoche (miércoles) unos familiares que vieron la noticia. Empecé a llamar al banco y estaban las líneas saturadas, intenté con la aplicación del celular, pero tampoco tuve éxito", manifestó.

El ingeniero comercial precisó que esperó hasta la mañana de ayer (jueves), para revisar su estado bancario. Cuando verificó que su cuenta no registraba movimientos.

Ya mucho más tranquilo comenzó a analizar los datos, percatándose que la serie de números publicada en internet asociada a su nombre, correspondía a una tarjeta vencida.

"Vi que no era la tarjeta que actualmente uso en el Banco de Chile, entonces por descarte supe que no estaba afectado", puntualizó Simunovic.

Para el ingeniero, lo sucedido es un riesgo propio que implican los avances tecnológicos que al mismo tiempo, también se preocupan de evitar que esta clase de episodios se repitan.

Simunovic confiesa a que a sus 39 años, hace mucho dejó de ir a bancos u otras instancias para efectuar sus pagos mensuales.

"Finalmente estas herramientas ofrecen una accesibilidad tan útil, como poder pagar todas tus cuentas a través de internet con tu tarjeta. Ya no tienes que ir al banco ni andar con todos los billetes en tu bolsillo", reconoció.

Estas debilidades, continuó, van apareciendo con el uso de los nuevos sistemas, pero confía en que con el paso del tiempo serán superadas.

Paul Beltrán, ingeniero civil en Computación y docente de Informática en Inacap desde 2008, explicó que "no hay que entrar en pánico" tras lo sucedido, pero sí ser muy conscientes de dónde estamos entregando nuestros datos.

Recomienda que al momento de realizar una compra por Internet, siempre será mucho más seguro utilizar sitios con el sistema Transbank o Paypal. "Estas empresas no almacenan datos, validan la información y rechazan o aprueban la transacción. Las compañías deben tomar resguardo y los usuarios tener cuidado, no cliquear links que exijan información bancaria y asegurarse que la conexión es segura".

"Me dijeron (del banco) que tenía que agradecer la filtración y que este documento se entregara porque así se alertaba a los clientes y ellos podían tomar precauciones. O sea, tengo que agradecer la filtración de mis datos porque así me entero de que soy vulnerable".

Gloria Echiburú,, usuaria afectada"

"Me avisaron anoche (miércoles) unos familiares que vieron la noticia. Empecé a llamar al banco y estaban las líneas saturadas, intenté con la aplicación del celular, pero tampoco tuve éxito. (Luego) vi que no era la tarjeta que actualmente uso en el Banco de Chile".

Ivo Simunovic,, usuario afectado"

2.446 tarjetas permanecían como activas, según la información entregada ayer, del total de las 14.071 cuyos datos sensibles fueron filtrados en internet.

17 horas del miércoles la Superintendencia de Bancos informó que fue notificada de una masiva filtración de datos en la red social Twitter. El grupo que se autoadjudicó esta acción es 'ShadowBrokers'.

3.200 reclamos recibió el Sernac el año pasado por casos asociados a clonación de tarjetas o fraudes bancarios. La autoridad ha señalado que los bancos deben responder a sus clientes.

El escándalo de Facebook sobre el uso de información destinada al diseño de campañas políticas y ahora, la filtración de tarjetas de crédito de 14 mil clientes bancarios en Chile.

Estos dos hechos tienen un común denominador, el valor y la responsabilidad que involucran los datos personales que circulan por Internet.

Thiago Marques, analista de seguridad en Kaspersky Lab. (reconocida compañía especializada en seguridad informática), habla sobre la última filtración que afectó a miles de clientes y entrega algunas recomendaciones para evitar caer en sitios que roben información sensible.

Respecto de la filtración de los datos de tarjetas de créditos de diferentes empresas bancarias, ¿cómo puede obtenerse esta información, dónde se aloja para que puedan acceder a ella?

-Respecto a este caso en particular no han sido publicados detalles de cómo lograron tener acceso a los datos. Sin embargo, en términos generales, normalmente los atacantes logran tener acceso a la infraestructura de la institución utilizando algún tipo de vulnerabilidad, ya sea para tener acceso a la red o extraer información de algún servicio externo.

Adicionalmente, a menudo el compromiso se da por medio de una infección de malware diseñado a medida para evadir los sistemas de seguridad del banco. Estos casos se llaman ataques dirigidos. Es decir, ataques cuando el malware se fabrica a medida con una seguridad absoluta y acertada de traspasar las soluciones de seguridad de la víctima ya que se conocen antes de lanzar el ataque.

¿Qué medidas pudieron tomar los usuarios para evitar esta filtración o, aquí la responsabilidad es de quien almacena la información?

-Es complicado decir ya que no conocemos los detalles de cómo pasó el ataque y cómo lograron obtener la información. Basado en lo que se sabe de los datos exfiltrados, lo más probable es que sea algún tipo de ataque direccionado a quien almacena la información y no a los usuarios, pero no es posible afirmar nada en este momento.

En términos generales, la responsabilidad del usuario está cuando la tarjeta se usa en el dispositivo personal del usuario. En caso de que el compromiso se de en cualquiera de las instancias que no pertenecen al usuario final, ya la responsabilidad es de otros y no del usuario final.

¿Qué mensaje podría estar tras lo sucedido, si quienes obtuvieron todos estos datos no retiraron dinero desde las tarjetas (hasta el momento no hay ningún caso)?

-Pueden ser diferentes razones cómo solamente una acción de hacktivismo con objetivo de protesta por algo en específico, así como también para crear una nube de humo mientras algo más grande se pasa por detrás.

¿Qué tan común es que alguien pueda tener acceso a toda esta información, son hechos aislados o los casos son más seguidos de lo que se quisiera?

-Desafortunadamente, estos casos son más comunes de lo que se quisiera. El robo de datos privados de usuarios ha pasado muchas veces con diferentes instituciones, no solamente del sector financiero pero también de tiendas y servicios en línea. Muchos de los datos de usuarios que son filtrados muchas veces son negociados en el mercado negro, al alcance de cualquier persona malintencionada.

¿Desde el punto de vista de la seguridad, qué deben hacer los usuarios para evitar que sus datos sean robados?

-Es importante estar atento a dónde están enviando sus datos personales, principalmente cuando se realiza algún tipo de transacción en línea. Mantener su equipo siempre actualizado y con una solución de seguridad robusta que lo proteja de ataques.

Adicionalmente, hay que habilitar las notificaciones en tiempo real de cualquier compra o transacción que se dé en la tarjeta de crédito. De modo que si los datos de la tarjeta son extraviados y alguien les da uso, el usuario se dé cuenta instantáneamente y pueda llamar al banco para bloquearlo, evitando que se hagan compras mayores.

La Superintendencia de Bancos afirmó ayer que la filtración de datos de 14.071 clientes bancarios, ocurrida el miércoles, se originó, según información preliminar, en "un comercio internacional". La trazabilidad del incidente se originó en que no se han detectado vulneraciones de emisores ni operadores de tarjetas de crédito locales.

El ataque fue efectuado por el grupo "ShadowBrockers", quienes divulgaron en redes sociales los números de las tarjetas, el código de seguridad y su fecha de expiración, provocando alarma en el sistema financiero ante los posibles daños económicos a los clientes bancarios.

Un grupo de 2.446 tarjetas estaban activas, por lo que los emisores de esos instrumentos comenzaron a comunicarse con sus clientes afectados.

La SBIF informó que, por ahora, "no se ha detectado una vulneración de los sistemas de las entidades financieras ni de los operadores de tarjetas" y agregó que trabaja junto a las entidades con tarjetas afectadas "arduamente para identificar el origen de la brecha".

De acuerdo a la SBIF, el hecho de que la información revelada corresponda a varios emisores distintos permitiría apreciar que se trató de una base de datos relativamente antigua, que contiene mayoritariamente tarjetas inactivas de cuentas cerradas, de emisores que ya no existen e incluso de titulares que ya fallecieron.

El Sernac informó que ayer ofició a 18 empresas emisoras de tarjetas para recabar información por la filtración masiva de datos bancarios de 14 mil clientes. "Ellas tienen 10 días para responder los antecedentes que el Sernac ha solicitado para cruzar la información y poder continuar con esta investigación para determinar la responsabilidad", indicó el director del organismo, Lucas del Villar.

Para apaciguar los temores del mercado y de los clientes, el ministro de Hacienda, Felipe Larraín, afirmó que el ataque no afectó el sistema financiero local, pero evidenció una falta de inversión en ciberseguridad en este sector.

"No estamos en presencia de un problema sistémico. No está en riesgo la estabilidad del sistema financiero ni la cadena de pagos", enfatizó Larraín en conferencia de prensa, intentando poner paños fríos a una situación que provocó preocupación a todo nivel.

"Nos preocupa este tipo de incidentes, porque afectan la confianza y la tranquilidad con la cual las personas utilizan y operan en el sistema financiero", agregó Larraín.

El ministro apuntó también a la baja inversión en sistemas de ciberseguridad que se registra en el sistema bancario local. "Es un tema que tenemos que abordar, porque de alguna manera estos temas están ahí y de repente nos ocurren estos casos y es importante que estemos preparados y trabajemos en conjunto. Vamos a tener que invertir más en ciberseguridad", sostuvo Larraín.

Marcos Vieyra, gerente comercial de Citrix en Chile, aseguró que es necesario un "cambio de enfoque. Los métodos antiguos -como cambiar la contraseña o actualizar el antivirus- ya no bastan porque el la tecnología evolucionaron, se requieren nuevas estrategias.