Lecciones que deja el caso de Interbank sobre las brechas de seguridad
La filtración de datos de clientes del Interbank día atrás causó pánico y confusión. Sin embargo, el científico en computación Ragi Yaser Burhum, aclaró a Computerweekly que no se trató de un caso de ransomware, porque no hubo encriptación de archivos que se liberaron con el pago de un rescate. “Estamos ante un acceso indebido a la información sensible interna –como saldos y números de tarjetas de crédito– que ha sido copiada fuera del banco”, acotó.
¿Cómo fue eso posible? Ragi Y. Burhum comentó que la negociación real solo la conocen el usuario Kzoldyck, cibercriminal que difundió capturas de pantallas de la negociación en BreachForums, y el banco, que todavía no ha desmentido la publicación, lo cual induce a creer que las imágenes son verídicas. Muy probablemente hubo una tercera persona del banco involucrada, aunque no se sabe si por error o a propósito. “Es una fuga de información demasiado seria”, apuntó Burhum.
El hacker que afirma haber accedido a los datos de Interbank en el foro breachforums.st es presumiblemente un criminal que no habla español, y que tiene inglés como segundo idioma. El sujeto formaría parte de un grupo que hackeó las VPN del banco, no el almacenamiento interno en sí, estimó en un artículo el Dr. Julio Santiesteban Pablo, docente de Ciberseguridad de la Universidad Católica San Pablo.
¿Qué vendrá después?
Ante la terrible situación, de más está decir que el Minjus, la SBS (Superintendencia de Banca y Seguros), el Ministerio Público e Indecopi, órgano defensor del consumidor, iniciaron sus respectivas investigaciones. Para el 2 de noviembre, la SBS hizo una inspección física en las oficinas de la financiera, propiedad de Carlos Rodríguez Pastor, el hombre más rico del Perú, según Forbes, con una fortuna valorada en US$1.600 millones y negocios en retail, salud y educación. Indecopi, por su parte, inició visitas encubiertas a las agencias para verificar el respeto a los derechos de los consumidores en medio del caos.
El thriller tomó más fuerza a medida que pasaban las horas y los días porque empezaron a circular en las redes rumores de que el BCP (Banco de Crédito del Perú), Claro (proveedor de telefonía, que ya salió a decir que no han sido hackeados), la Reniec y otros también habrían sido hackeados, y sus datos estarían circulando por la web oscura. La especulación encontró el caldo de cultivo perfecto, sobre todo porque un estudio de la consultora Soluciones Virtuales Perú, citado por el diario Gestión, señaló que se han identificado 140 empresas de diferentes sectores que han sufrido una filtración de información.
Ragi Y. Burhum analizó la base de datos del BCP publicada en BreachForums, y explicó que se trata de un registro de llamadas de un call center entre octubre del 2020 y septiembre del 2023. Solo tiene números de teléfonos, por lo que no es tan alarmante. Sin embargo, aclaró que es preocupante que existan tantas filtraciones de datos en el país. “Cualquier filtración, sea de esta semana o de hace unos años, se tiene que tomar con seriedad”, remarcó.
Los problemas de ciberseguridad son constantes, a nivel global, porque existe toda una industria detrás dedicada a lucrar con esa información, comentó Burhum. El problema es que los ataques son cada vez más sofisticados, pero es más sencillo armarlos, gracias a la inteligencia artificial (IA). “¿Estamos invirtiendo lo suficiente en este sector en el Perú? Mi lectura es que no”, apuntó.
La incidencia del cibercrimen no es menor, y viene creciendo a un ritmo de mínimo 30 % anual, generando pérdidas por más de US$150 millones anuales, según la empresa Nuvo, especialista en protección de datos. El costo de un solo incidente es mucho mayor que el tiempo inoperante, porque luego vienen las multas y el daño a la reputación. Si bien la inversión en ciberseguridad de las empresas locales crecerá al menos 12 % anual, y llegará a los US$500 millones en 2028, según la Cámara de Comercio de Lima (CCL), esta cifra podría quedarse corta ante el avance de la criminalidad.
La Policía Nacional del Perú (PNP) ha informado que, entre enero y agosto del 2024, se han registrado 324 denuncias de atentados a la integridad de datos; 44 han sido agravadas y hubo una de tráfico ilegal de datos. Además, hubo 724 denuncias por accesos ilícitos y 61 por interceptación de datos informáticos.
Existen varias tareas pendientes como país. Erick Iriarte, abogado experto en ciberseguridad, ha recalcado que hace falta publicar el nuevo reglamento de la Ley de Protección de Datos Personales, el cual incluye nuevos factores por aplicar para mejorar la prevención de estos incidentes. A eso, se debe sumar un intenso trabajo en la cultura de ciberseguridad ciudadana.
Además, es evidente que no hay auditorías constantes en todos los negocios para evitar prácticas riesgosas que hagan fácil filtrar datos, añadió Ragi Y. Burhum. Los últimos eventos solo han puesto el dedo en la llaga y, si no hay cambios drásticos en el nivel de seguridad público y privado, los delincuentes que usen IA no tendrán problemas en lucrar a costa de todos los peruanos.
(computerweekly.com)
Les estaremos informando con mucho más detalle, en el marco del informe especial: “Soluciones de valor de Cloud Computing y Arquitecturas de IA, Machine Learning, Deep Learning, con innovadores modelos de negocio, soluciones de IOT, IOTI, soluciones de Automatización del hogar y soluciones de automatización de oficina. Infraestructura física, Cableado y gestión de cableado estructurado. POL (Passive Optical LAN). Ciberseguridad, infraestructura de conectividad: redes LAN, Wifi, etc y Buenas prácticas corporativas», que estamos preparando para nuestra edición 212 y publicaremos en el mes de noviembre.
Mantente conectado a nuestra revista Channel News Perú, haciendo clic aquí y suscribiéndote a nuestro newsletter para contenido de valor diario.