Blog Widefense

Claves para entender la polémica fuga de información de 14 mil tarjetas de crédito

Escrito por Kenneth Daniels | 18-ene-23

Al menos 12 bancos afectados, decenas de usuarios en redes sociales preocupados y un “contexto de paranoia” pusieron en evidencia la necesidad de dar prioridad al área de la ciberseguridad

El pasado miércoles 25 de julio, datos de 14.007 tarjetas de créditos se filtraron en la red. Tras ello, distintos entes bancarios del país procedieron a bloquear los plásticos activos y los comentarios de usuarios descontentos no se hicieron esperar en las redes sociales.

A una semana del evento, y tras una entrevista realizada a nuestro gerente general, Kenneth Daniels, en el programa Qué hay de nuevo, transmitido por Radio Infinita, le contamos cuatro claves sobre el incidente y nuestra visión experta sobre cómo protegerse en estas situaciones.

Al menos 12 bancos nacionales afectados

De acuerdo con información preliminar publicada por la Superintendencia de Bancos e Instituciones Financieras (Sbif) el número de bancos afectados serían 12. Entre ellos, Bci, Banco de Chile, BancoEstado, Banco Santander, Itaú y Scotiabank.

Asimismo, publica el diario El Mercurio, cerca del 10% de los plásticos estaban vigentes, según la Asociación de Bancos e Instituciones Financieras (Abif), lo que se traduce en unas 1.600 tarjetas activas. En ese sentido, desde el BancoEstado se reportaron 701; Banco de Chile señaló que tenía 497 activas; el Bci habló de 270 y en Santander reconocieron 200 casos. Tal como se mencionó anteriormente, estas instituciones aseguraron que bloquearon todos los productos apenas se enteraron de la situación.

Por otra parte, Banco Itau y Scotiabank no dieron a conocer el número. Mientras tanto, la empresa Transbank, operadora de tarjetas, aseveró en un comunicado que la información filtrada no provenía de sus registros y que la seguridad de sus transacciones no estaba comprometida.

Expertos creen que hubo fuga de información y no hackeo

Distintos expertos rechazaron calificar el incidente como un hackeo a las entidades bancarias del país. Por su parte, Daniels, en entrevista con Radio Infinita, explicó que, al analizar la base de datos publicada por los cibercriminales, descubrió inconsistencias

En ese sentido, Daniels explicó que, contrario a lo que se decía en redes sociales, el caso parecía estar más relacionado con fuga de información -que ocurre cuando los datos son compartidos intencionalmente o por error y se filtran- y no con un hackeo, que se da cuando alguien vulnera deliberadamente las medidas de seguridad. Aún así, el experto aclaró que no descartaron del todo que hubiese otros elementos relacionados.

Usuarios y empresas deben tomar precauciones

Ante lo que calificó como un “contexto de histeria” por todos los acontecimientos que han ocurrido, Daniels recalcó que el caso tenía más que ver con una fuga de información y brindó una serie de recomendaciones para usuarios y empresas.

En ese sentido, señaló que, a la hora de hacer compras virtuales, es importante asegurarse de que el vendedor es confiable; hacer uso de los recursos que dan los emisores de tarjeta, como credenciales seguras y finalmente no perder de vista que los criminales están tanto en el mundo físico, como en el virtual.

Asimismo, señaló que, a pesar de lo que se cree, las empresas pequeñas también pueden ser víctimas de los cibercriminales. Por ello, deberían tener al día sus medidas de ciberseguridad.

“Todos los entes tienen algo que los cibercriminales quieren y eso se llama información. Aquí es donde entran en juego las empresas chicas que probablemente creen que no son objeto de ataques. No obstante, resulta que tienen datos relevantes de sus clientes”, señaló.

La ley de ciberseguridad está en deuda

Tras la filtración de los datos de las 14 mil tarjetas,Daniels reconoció la respuesta eficiente de la Superintendencia de Bancos y señaló que los emisores y operadores han tomado acciones previamente en términos de tarjeta de crédito.  No obstante, explicó que aún hace falta que el país se ponga al día en material legal, tal como lo ha hecho la Comunidad Europea con el Reglamento General de Protección de Datos (GDPR).

“En la actualidad quienes emiten y operan tarjetas almacenan datos de clientes y deben cumplir con la normativa PCI DSS que es muy exigente. Entonces, las acciones ahí ya se están tomando. Pero robar una tarjeta física debería ser penado igual que robar una tarjeta digital, o en un medio virtual. Y es el ámbito cibernético en el que aún está en deuda”, dijo.  

Al respecto, en días recientes, fuentes del gobierno confirmaron que impulsarán una nueva ley de ciberseguridad y crearan una Agencia Nacional contra Ataques Cibernéticos. Según el Mercurio, este proyecto ingresará al Congreso con “suma urgencia”, tras los eventos que han ocurrido en los últimos meses.

«Si consideramos una ley diseñada para un mundo de hace 25 años, sumada a que en el mismo período hemos vivido un desarrollo tecnológico inédito en la historia de la humanidad, un contexto legal como el actual puede resultar en una evidente ventaja para los cibercriminales”, señaló el titular de la Sbif, Mario Farren.

Finalmente, Daniels explicó que el riesgo siempre estará, pero una pérdida de confianza en el sistema podría estancar el país. Chile lidera la transformación digital en la región. Por ello, una nueva mirada al área de la ciberseguridad es esencial para el desarrollo nacional.

Lee más sobre fugas de información y cómo evitarlas aquí: https://www.widefense.com/que-es-una-fuga-de-informacion-y-como-protegerse/