Interbank reportó la caída de su sistema, que afectó tanto a su aplicativo bancario de operaciones, así como a su billetera digital Plin. Más tarde, la entidad bancaria confirmó que algunos datos de un grupo de sus clientes habían sido expuestos por un tercero sin autorización.
Esta situación generó que tome fuerza un trascendido en las redes sociales sobre un posible ataque cibernético a la entidad bancaria, que habría tenido su origen en la famosa Dark Web. Por tanto, ¿qué medidas deberían considerar las empresas para evitar ser víctimas de estos ataques?
LEA TAMBIÉN: Interbank y Plin: usuarios reportan nueva caída de las aplicaciones
Dark Web
En principio, es importante explicar el término que se conoce como “Dark Web”, que es una porción de internet que intencionalmente es oculta a los motores de búsqueda tradicionales y tiene mecanismos especiales para su ingreso, como IP enmascaradas y accesibles sólo con un navegador especializado, lo que permite a los delincuentes informáticos mantenerse en el anonimato.
En este conjunto de sitios ocultos existen diversos foros, y es precisamente en uno de ellos en donde se popularizó el mensaje de un usuario con el seudónimo “Kzoldyck”, quien se atribuye el ataque a Interbank.
Este usuario afirmó tener más de 3.7 terabytes (TB) de datos de tres millones de personas, los cuales serían: nombres, fecha de nacimiento, direcciones, teléfonos, correos, datos de tarjetas, CVV, contraseñas, credenciales de API internas, LDAP, credenciales de acceso a la base de datos del banco en Azure, transacciones bancarias, saldos en Tunki.
LEA TAMBIÉN: Indecopi inició monitoreo a Interbank ante las fallas operativas presentadas hoy
Prevención
“Definitivamente, sí es posible que una filtración de datos tenga este tamaño. Los ciberdelincuentes son expertos en hallar vulnerabilidades. Si la aplicación del banco no está funcionando correctamente, el fabricante debe explicar que en el tiempo que este aplicativo demora en actualizar para corregir errores, va a estar vulnerable a los hackers”, dice Otto Vidal, ingeniero de software y gerente general de Lidera Digital.
Por tanto, considera el experto que es “recomendable hacer estudios de seguridad internos en las empresas que usan estos aplicativos. Es decir, contratar a profesionales que intenten hackear la aplicación, para conocer sus vulnerabilidades; así como otros mecanismos como inyección de códigos maliciosos”.
LEA TAMBIÉN: Sancionan a Interbank por no tomar medidas de seguridad en operaciones no reconocidas
Recomendaciones
A continuación, una serie de recomendaciones que brinda Alejandro Morales, jefe del área de Derecho y Nuevas Tecnologías en TYTL Abogados:
1. Definir y reconocer incidentes de seguridad de datos: Un incidente de seguridad en datos personales ocurre cuando se compromete la confidencialidad, integridad o disponibilidad de la información. Esto incluye accesos no autorizados, pérdidas o destrucción de datos, lo que impacta los derechos de los clientes. Reconocer un incidente a tiempo permite a la empresa responder con rapidez y mitigar posibles daños.
2. Notificar a las autoridades: En el sector financiero, la Resolución SBS 504-2021 obliga a notificar a la Superintendencia de Banca, Seguros y AFP (SBS) de manera inmediata.
Morales indica que, aunque actualmente no existe un protocolo detallado, un nuevo proyecto de reglamento establece pautas específicas que ayudarán a las empresas. Para la notificación a la Autoridad Nacional de Protección de Datos, las empresas deben incluir:
- Describir la naturaleza del incidente, especificando los tipos de datos y el número aproximado de titulares afectados.
- Proveer el nombre y los datos de contacto del oficial de datos personales o un punto de contacto para más información.
- Detallar las posibles consecuencias del incidente en la seguridad de los datos.
- Describir las medidas tomadas para mitigar los efectos negativos y remediar la vulneración de seguridad.
LEA TAMBIÉN: Usuarios en redes reportan caída de la app de Interbank
3. Realizar un análisis forense para prevenir futuras vulneraciones: Morales señala que, según la legislación, la empresa debe efectuar un análisis forense para determinar las causas del incidente y tomar las medidas para su gestión. El informe resultante de dicho análisis debe estar a disposición de la Superintendencia, el que debe tener un contenido ejecutivo y también con el detalle técnico correspondiente.
4. Fortalecer las medidas de seguridad: Después de un incidente, revisar y fortalecer las medidas de protección de datos es una prioridad. Esto puede incluir el uso de autenticación de múltiples factores, controles de acceso y respaldos periódicos, así como establecer trazabilidad en los sistemas para asegurar que solo el personal autorizado acceda a información sensible. La inclusión de cláusulas de confidencialidad en contratos con proveedores también es fundamental para reducir riesgos externos.
5. Capacitar al personal para una gestión eficaz de Incidentes: Morales destaca la importancia de la capacitación continua del personal en temas de seguridad de datos personales. Según el Decreto de Urgencia 007-2020, contar con un equipo capacitado es crítico, especialmente en sectores sensibles como el financiero y el de salud. “Un equipo entrenado reduce errores humanos y mejora la respuesta ante posibles incidentes de seguridad”, agrega Morales.
6. Informar a los titulares de los datos: Aunque actualmente no es obligatorio notificar a los afectados y siempre que afecte derechos fundamentales o libertades de las personas, hacerlo refuerza la confianza de los clientes y ayuda a mitigar riesgos reputacionales.
Escribo sobre política, economía y afines. Periodista con nueve años de experiencia en prensa escrita, radio y televisión.
Comienza a destacar en el mundo empresarial recibiendo las noticias más exclusivas del día en tu bandeja Aquí. Si aún no tienes una cuenta, Regístrate gratis y sé parte de nuestra comunidad.
