Maze, un grupo de ciberdelincuencia reconocido internacionalmente aseguró, en mayo pasado, haber vulnerado los sistemas de seguridad del Banco de Costa Rica. Además, publicó información personal como números de cuenta y los seis primeros dígitos de tarjetas de crédito y débito de los clientes del banco.

Aunque esa entidad bancaria inicialmente señaló que se trataba de informaciones extraoficiales y hasta de extorsión. Finalmente reconoció que: “en los últimos días ha circulado por medio de canales digitales, información relacionada o listados que muestran números de tarjetas, las cuales en algunos casos coinciden con nuestros registros”.

A pesar de que recalcaron que la evidencia preliminar demuestra que sus “sistemas informáticos no han sido vulnerados”, comunicaron que con la información publicada por los delincuentes no se podrían realizar fraudes, ni tampoco clonar tarjetas con tecnologías chip”.

Algunos clientes preocupados por sus datos recurrieron a realizar consultas en línea en listas facilitadas por terceros, para saber si su información fue comprometida o no, sin embargo, Miguel Ángel Mendoza, especialista en Seguridad Informática de ESET Latinoamérica comentó que esa no es la mejor opción.

“Cuando se presentan este tipo de incidentes, siempre es recomendable que la institución encargada de manejar los datos personales notifique de la situación, de las amenazas asociadas y de las medidas que han tomado para mitigar los riesgos, tanto para la institución misma como para los usuarios”, aclaró.

Según Mendoza, en las manos equivocadas esos datos “pueden ser utilizados con diferentes propósitos, desde fraudes o extorsiones, hasta su comercialización para que otras personas puedan aprovecharse de la información sensible”.

¿De qué tipo de ataque se trata?
El experto de ESET explicó que lo ejecutado por Maze se trata de una técnica conocida como doxing, la cual consiste en obtener datos confidenciales de las víctimas y amenazar con hacerlos públicos, a menos de que se pague. Se utiliza como una medida de presión y extorsión para que el usuario u organización afectado evite la publicación de la información robada.

Además, comentó que sin tener los detalles del suceso, “destaca que, si este tipo de acciones se realizan por personas realmente preocupadas por la seguridad y protección de los datos personales (intención que inicialmente se supone tenía Maze), resulta ilógico que hagan pública la información, ya que esto invariablemente afecta a los usuarios”.

Miguel Ángel Mendoza explicó que “es importante señalar que los operadores de Maze comenzaron a incluir casos ransomware (código malicioso usado para extorsionar a sus víctimas) junto con doxing desde mayo de 2019.

“Después de algunos meses (en octubre del año pasado para ser precisos), innovaron con la inclusión de la filtración de información de la víctima como parte de la amenaza, en caso de que el rescate para recuperar los archivos cifrados no hubiese sido efectuado. Sin el afán de especular, el grupo Maze distribuye ransomware principalmente”, dijo Mendoza.

¿Qué hacer si sus datos fueron comprometidos?

Una de las recomendaciones ofrecidas por el mismo BCR es: “no ingresar a sitios web no oficiales, ni autorizados los datos de la tarjeta de débito o crédito, ni de forma parcial y mucho menos completa, porque estos sitios no son autorizados por el BCR”.

Mientras que otra de las recomendaciones ofrecidas por el experto de ESET fue: revisar los estados de cuenta para comprobar que no se hayan realizado movimientos no autorizados.

Se aconseja revisar los estados de cuenta para comprobar que no se hayan realizado movimientos no autorizados.

Miguel Ángel Mendoza, ESET Latinoamérica.

Además, para aquellas personas que utilizan la banca móvil o banca en línea Mendoza aconsejó: “configurar las cuentas para bloquear las tarjetas hasta el momento de realizar una operación, así como configurar los mecanismos de autenticación, como los tokens o algún otro factor de autenticación. Si se tiene certeza de que los datos han sido comprometidos, solicitar el cambio de tarjetas”.

Sobre ese punto, el BCR notificó a sus tarjetahabientes que el trámite no tendría costo y que podría solicitarse sin trasladarse a la institución, por medio de canales como el correo electrónico: CentroAsistenciaBCR@bancobcr.com, al teléfono 2211-1111 y al WhatsApp 2211-1135.

Es importante que las operaciones se realicen desde dispositivos de confianza y que cuenten con medidas de seguridad para evitar que la información se pueda comprometer por otra vía, como el malware que roba información bancaria, por ejemplo.

¿Qué se puede aprender sobre esta situación?

El experto de ESET lo resumió así:

-Las organizaciones pueden identificar que deben destinar más recursos para salvaguardar la información de los clientes, ya que, a pesar de utilizar y poseer los datos, los dueños de la información son los usuarios.

-Este tipo de incidentes generan diversas afectaciones, como daño a la reputación, a la productividad, violaciones de datos, accesos no autorizados, interrupción de las operaciones, pérdida de ventaja competitiva y pérdidas financieras. A esta lista de daños se suman las multas o penalizaciones a las cuales puede hacerse acreedora la organización, como resultado del tipo de información comprometida.

-En el caso de que la brecha de datos ya esté confirmada, la situación no se resuelve negándola; es necesario que se apliquen medidas de respuesta a incidentes, que permitan conocer la forma.