Tal como informó la Superintentencia de Bancos, detrás del ataque se encuentran los Shadow Brokers, un grupo de hackers que apareció por primera vez en 2016, cuando publicaron varias filtraciones que afectaron a la Agencia de Seguridad Nacional (NSA). Pero el ministro Larraín desdramatizó la situación: “Pueden tener tranquilidad los usuarios. No ha habido uso fraudulento de esta información”. Consejo para la Transparencia instó a “avanzar en la discusión del proyecto de ley de datos personales que está en tramitación en el Senado”.
Un nuevo episodio vuelve a poner en duda la seguridad informática de la industria bancaria en el país. Esta vez, miles de datos de tarjetas de crédito de varias entidades financieras fueron filtrados.
«La Superintendencia fue notificada por diversas entidades fiscalizadas de una publicación en la red social Twitter, por medio de la cual se habría hecho público un archivo que contenía datos de un número aproximado de 14.000 tarjetas de crédito, pertenecientes a distintos emisores nacionales y extranjeros». Con este mensaje, la Superintendencia de Bancos confirmaba que el ataque sufrido el día de ayer sucedió a eso de las 17 horas. Sin embargo, la información se dio a conocer cuatro horas más tarde, recién cerca de las 21 horas de ayer martes 25 de julio.
Según el ente regulador, el ataque y la publicación fueron hechos por el grupo de cibercriminales autodenominado ShadowBrokers, que publicó el número de tarjeta, el número de seguridad (CVV) y la fecha de expiración de estos productos. Cabe señalar que esta información es suficiente como para poder realizar compras por internet.
El superintendente de Bancos, Mario Farren, aseguró esta mañana que «la primera evidencia indica que la información habría sido sustraída de un comercio porque se trata en realidad de al menos 12 bancos nacionales, clientes de 12 bancos nacionales. El número de tarjetas efectivamente es de aproximadamente 14.000», dijo la autoridad en Radio Cooperativa.
Farren también reconoció que «no existe ninguna garantía de que estas cosas no se repitan (…) La industria financiera se encuentra al debe».
«La Superintendencia se ha contactado con las entidades afectadas, a las que se les ha instruido tomar las medidas para resguardar a los clientes titulares de las tarjetas afectadas, comunicarse de forma clara y oportuna con ellos y tomar todas las acciones de seguridad necesarias para aclarar el origen del incidente», señaló la autoridad para que no cunda el pánico. Además, de acuerdo a información de la SBIF, la mayoría de las tarjetas de crédito afectadas se encuentran inactivas.
Si bien aún no hay mayores antecedentes respecto al ataque y los culpables, la Superintendencia aclaró que está en comunicación directa y constante con las instituciones, supervigilando las actuaciones al respecto para proteger a los clientes, sus datos y sus fondos. «Cuando se cuente con más información se entregará oportunamente al público», agregan.
Por su parte, la Asociación de Bancos (ABIF) señaló que “la información claramente no ha salido de los bancos nacionales, porque cada banco sólo conoce los datos de sus clientes“. Frente a la situación, entidades bancarias se han referido al tema a través de sus redes sociales.
Desde Itaú señalan que «se activaron protocolos de seguridad y se bloqueó preventiva y oportunamente las 51 tarjetas activas que correspondían a nuestros clientes. Nuestros equipos continúan monitoreando la situación», agregan.
Santander, por su parte, informó que «hemos hecho una exhaustiva revisión, no detectando operaciones sospechosas. Sin embargo, y como medida preventiva, procedimos a bloquear las tarjetas de cerca de 200 clientes, a quienes se está contactando». Lo mismo BCI, quienes afirmaron que por seguridad, «se realizó el bloqueo inmediato de las tarjetas de crédito cuyos datos fueron filtrados», confirmando que sufrieron la filtración de 1700 plásticos, de los cuales solo 270 estaban activas. Vale decir, «se trata de menos del 0,1% del total del parque BCI» , añadieron.
A estas medidas se sumó BancoEstado. «Informamos que de las 701 tarjetas pertenecientes a nuestra entidad, sólo 329 se encontraban activas y ya fueron bloqueadas. Se está contactando a los afectados», indicó.
Del mismo modo CMR Falabella; Banco de Chile (que aclaró que 497 de sus tarjetas activas se contemplan en el total); Scotiabank, que confirmó 67 tarjetas activas involucradas; BBVA Chile, con 157; y Banco Security, con 36 activas, informaron el bloqueo de las tarjetas de crédito y activación de protocolos de seguridad.
Cabe destacar que entre los números de cuentas filtrados se encuentran tarjetas de CMR Falabella, BBVA, BCI, Santander, Banco de Chile, BancoEstado, Banco Falabella, Entel Visa, Banco Galicia (de Argentina), Promotora CMR, Banco Ripley, Banefe, Itaú, Scotiabank, Edwards, Chase, Banco Pichincha (de Ecuador), BICE, Wells Fargo, Security, Credichile, Neteller, Corpbanca, Coopeuch, BCI Nova, Banco Paris, Presto, Banco Guayaquil, entre otros.
El Ministro de Hacienda, Felipe Larraín, quien lideró hoy la reunión del Consejo de Estabilidad Financiera, cuyo enfoque fueron materias de ciberseguridad aseguró que «pueden tener tranquilidad los usuarios. Los bancos han bloqueado casi el 100% de las tarjetas»
El secretario de Estado calmó las aguas y señaló que el episodio afectó a menos del 1% del universo de tarjetas emitidas en el país. «Con la información disponible podemos decir que este robo no ocurrió en el sistema bancario y no ha habido uso fraudulento de esta información», agregó.
Respecto a la demora en la respuesta e información emitida hacia los usuarios, Larraín señaló que la información llegó a eso de las 18 horas, cuando comenzó el contacto con gerentes de distintas entidades. A eso de las 21:30 horas, se envió comunicación a las instituciones involucradas para esclarecer las causas de la filtración y evaluar si hay filtraciones adicionales, por si lo ocurrido fue un elemento distractor para operar un fraude en alguna otra parte.
El titular de Hacienda reconoció que futuras medidas preventivas a tomar «no aseguran que esto no vuelva a ocurrir, pero generará una respuesta más rápida de parte de las entidades afectadas».
Frente a esta evidencia, el presidente del Consejo para la Transparencia, Marcelo Drago, sostuvo que el hecho pone en evidencia, una vez más, la urgencia de avanzar en una legislación moderna sobre protección de datos personales y ciberseguridad en nuestro país, instando a la autoridades a acelerar la tramitación de legislativa de la iniciativa de ley.
Para el titular del CPLT, el objetivo es evitar el pánico financiero, la incertidumbre en el mediano plazo y que el sistema bancario se deslegitime tras la masiva filtración que sufrió la banca. “Urge avanzar en la discusión del proyecto de ley de datos personales que está en tramitación en el Senado, a fin de establecer más y mejores estándares de seguridad para todos quienes tratan datos personales de la población», agregó.
Además, Drago señaló que si ya existiera una ley actualizada y la autoridad de protección de datos personales permitiría que ante situaciones como la ocurrida, tenga atribuciones de sancionar a los responsables, fiscalizar, entregar las garantías y resguardos a efectos de minimizar los efectos de la filtración de la información.
“En uso de sus atribuciones legales, la autoridad de control podría acceder a los locales de los responsables del tratamiento de datos (bancos e instituciones que administran las tarjetas de crédito), a efectos de verificar en las mismas instituciones cuáles son las brechas de seguridad existentes y ordenar que se adopten de inmediato las medidas de seguridad respectivas”, sentenció Drago.