LEER TAMBIÉN: Interbank y Plin: lo que debes hacer si eres cliente y la supuesta “negociación” con el hacker
El perpetrador digital dijo tener más de 3,7 terabytes de datos de tres millones de usuarios de Interbank. Nombres completos, fechas de nacimiento, direcciones, teléfonos, correos, datos de tarjetas, CVV, contraseñas, credenciales de API internas, LDAP, transacciones bancarias, saldos en Tunki, entre otros.
Por su parte, Interbank reportó que los datos fueron expuestos por un tercero sin su autorización. Como respuesta, detalló que desplegaron medidas adicionales de seguridad, incluyendo un monitoreo especial, tanto de las operaciones como de la información de los clientes. Asimismo, al día siguiente informó que la mayoría de sus canales ya se encontraban operativos.
A fin de desentrañar lo que realmente sucedió, entidades como el Ministerio Público, la SBS, Indecopi y la Autoridad Nacional de Protección de Datos (ANPD) del Minjusdh tomaron cartas en el asunto e iniciaron una investigación.
Cabe mencionar que el usuario Kzoldyck restringió el acceso a la información en el foro a cambio de un pago de créditos. No obstante, compartió datos sensibles de las cuentas de algunos usuarios. Es precisamente en uno de estos archivos compartidos en el que de acuerdo con un informe de Ojo Público estaría la clave para dar con la forma en que fue vulnerada la seguridad digital de la entidad bancaria.
El citado medio sostiene que a través de una investigación y varias entrevistas con expertos en seguridad digital y el análisis de información difundida, pudo establecer la probable ruta que estaría detrás de la sustracción de información de los clientes del banco. Según sostiene, la información filtrada por este “tercero” fue conseguida con el uso de credenciales internas para ingresar a los servidores de Interbank —no fue un hackeo, sino una filtración—. Estos servidores estaban en posesión de New Relic, una compañía internacional dedicada al monitoreo y análisis de datos.
¿Qué tanto se aproxima a la verdad?
Eduardo Quesquén, gerente de tecnología en Moventi, indicó a El Comercio que generalmente las empresas utilizan servicios avanzados de seguridad de proveedores de clase mundial especializados que cuentan con políticas definidas y acuerdos de niveles de servicio (SLA). Sobre las responsabilidades en este tipo de casos dijo que si bien puede ser compartida, mayormente predomina en la entidad bancaria.
“La responsabilidad se define entre la entidad y los proveedores, en cada caso; sin embargo, la responsabilidad ante la SBS sigue siendo de la entidad”, precisó.
En tanto, Quesquén comentó que al percatarse de algún tipo de intento de vulneración de su sistema digital de almacenamiento de datos, las entidades bancarias están sujetas a los lineamientos que entrega la SBS. Existen diferentes normativas pero existe una llamada “Resolución 504-2021″ de la SBS donde señala que las entidades deben contar con un plan de gestión de seguridad y que deben informar los riesgos identificados a la SBS, sostuvo.
Por su parte, Dilmar Villena, director ejecutivo de Hiperderecho, señaló que se debe comunicar al Centro Nacional de Seguridad Digital los incidentes de seguridad digital. También deben reportar y colaborar con la autoridad de la protección de datos personales cuando verifiquen un incidente de seguridad digital que involucre datos personales, que pueden terminar en casos de estafa o extorsión.
“La ley no establece un plazo específico, pero se entiende que deben hacerlo apenas tengan conociendo del incidente”, resaltó. Asimismo, subrayó que es muy común que las entidades utilicen servicios avanzados de seguridad de proveedores de otras partes del mundo. “En la normativa peruana se le conoce como el encargado de tratamiento de datos personales”, detalló.
En cuanto a las responsabilidades cuando ocurre alguna filtración en este tipo de casos, Villena explicó que tanto el titular del banco de datos como el encargado tienen la obligación de cumplir con la Ley de Protección de Datos Personales y su Reglamento. En caso de filtración, se debe analizar las medidas tomadas (tanto por el encargado como por el titular) para resguardar la información y el cumplimiento del principio de seguridad. De acuerdo a ello, se evaluará quién tiene la responsabilidad.
LEER TAMBIÉN: La obra en malecón de Punta Hermosa que podría causar daños irreversibles como en La Herradura
“No toda filtración o brecha de seguridad implica una infracción. Será una infracción en tanto no se hayan tomado las medidas necesarias para evitar dicha filtración”, dijo.
Por otro lado, Eduardo Luna, director general de la ANPD, dijo que actualmente existe la Ley N° 29733, Ley de Protección de Datos Personales, y su Reglamento, los cuales no establecen los pasos que debe seguir una entidad para reportar las brechas de seguridad, sin embargo, esto sí se encuentra previsto en el proyecto del nuevo Reglamento de la Ley que está a la espera de su aprobación.
“Por otro lado, el Decreto de Urgencia Nº 007-2020 (artículo 9, literal e) señala las obligaciones de los proveedores de los servicios digitales, y dentro de estas obligaciones contempla el deber de reportar y colaborar con la autoridad de la protección de datos personales cuando verifiquen un incidente de seguridad digital que involucre datos personales; además de notificarlo al Centro Nacional de Seguridad Digital a cargo de la PCM”, explicó.
En el caso Interbank, Luna detalló que hasta el momento, de acuerdo a lo informado por la propia entidad financiera, se ha tomado conocimiento de que se habría producido una brecha de seguridad que habría expuesto datos de clientes; no obstante, aun se desconoce la magnitud (cantidad) de afectados y específicamente el tipo de datos expuestos.
“Se ha pedido formalmente información el mismo día del evento y se ha realizado hasta dos visitas de fiscalización por parte de la Autoridad Nacional de Protección de Datos Personales, a través de su dirección competente”, acotó.
Respeto a lo indicado por el medio Ojo Público, sostuvo “no se puede confirmar lo indicado toda vez que aún se están realizando las investigaciones correspondientes”. Agregó que la ANPD tiene 90 días hábiles para hacerlo y puede ampliarse a 45 más, según la complejidad del caso.
“En general, la responsabilidad administrativa es atribuible al titular del banco de datos personales que es la entidad que determina la finalidad y contenido del banco de datos personales, el tratamiento de estos y las medidas de seguridad. Todo eso se determina el curso de las investigaciones y en el trámite del procedimiento sancionador, según sea el caso”, añadió.
La supuesta negociación
De acuerdo con información revelada por el usuario Kzoldyck en el foro en mención, tras filtrar la data se comunicó con Interbank e Intercorp por correo electrónico para buscar un acuerdo económico a cambio de no exponer la información, pero este al parecer no habría sido cumplido por la entidad bancaria.
“A pesar de afirmar que realizarían el pago solicitado, cancelaron el acuerdo sin ninguna razón. Incluso después de advertirles repetidamente y de demostrar que podía acceder a sus cuentas bancarias, hicieron la vista gorda ante la filtración de datos”, contó. “Les advierto, abandonen Interbank de inmediato; los problemas de seguridad dentro son de un nivel aterrador”, agregó.
LEER TAMBIÉN: ‘La Bestia’ se enfrentó al tráfico de Lima: la travesía del auto blindado que trasladó a Joe Biden
El usuario también añadió imágenes de presuntos correos intercambiados con personal ejecutivo del grupo Intercorp. En estos, supuestamente se aprecia conversaciones entre ambas partes, donde Kzoldyck pedía el pago de US$ 4 millones a cambio de entregar la información de los clientes.
Los correos datan de al menos el pasado 22 de octubre, pero según en la versión compartida por el usuario del foro, las negociaciones habrían durado cerca de 20 días. Dado que el banco presuntamente se habría negado a su requerimiento, el perpetrador digital señala que como represalia decidió liberar los datos de millones de clientes a los que tuvo acceso, supuestamente a través de un “infiltrado” en el banco.
Antecedente en Miraflores
No es la primera vez que la información de miles de peruanos es expuesta en BreachForums. A inicios de este mes, se reveló que nombres completos, números de DNI y de teléfono, dirección, correos y otros datos personales de más de 82 mil vecinos de Miraflores circulaban desde agosto en este sitio web.
Uno de los afectados fue incluso el propio alcalde del distrito, Carlos Canales. Además de datos personales como su celular y correo electrónico, se filtró su historial de impuestos. Además, se divulgó información sobre el catastro del distrito, exponiendo así datos e imágenes de los predios de los vecinos.
LEER TAMBIÉN: Vecinos de Miraflores reciben mensajes extorsivos tras filtración de datos personales
Como informó El Comercio, el autor de la publicación en el foro, cuyo nombre de usuario es ExKase20, indicó que una “vulnerabilidad en el sistema de la Municipalidad de Miraflores” permitía ver la información confidencial. En esa línea, el portal La Encerrona señaló que la comuna dejó expuestos los datos de sus vecinos en seis enlaces de acceso público.
