Por: Dr. Julio Santisteban Pablo, docente de Ciberseguridad del Departamento de Ciencia de la Computación de la Universidad Católica San Pablo.
El miércoles 30 de octubre, fue un día de muchas dudas e incertidumbres para los clientes de Interbank, uno de los bancos más importantes de nuestro país, pues ha suspendido sus servicios y los usuarios no pueden efectuar ninguna operación. Pero, ¿se trata sólo de una falla operativa o es algo mucho más complejo?
Interbank ha reconocido que un tercero ha tenido acceso a los datos de sus clientes. El problema que ahora afronta es un hackeo y chantaje cibernético millonario. El hacker, (que usa el sobrenombre de Kzoldyck), argumenta haber estado en conversaciones con la administración del banco por las dos últimas semanas y que luego lo insultaron por Telegram y rompieron todo diálogo con él. De allí su represalia publicando parte de los datos robados.
La amenaza del hacker es filtrar los datos de 3 millones de clientes del banco. Su pedido para no hacerlo es de 4 millones de dólares, a lo que el banco no ha accedido y si bien tuvo conversaciones con él, fue con la intención de identificarlo, según refieren varias noticias.
Aquí nuestro análisis inicial, según las publicaciones hechas por el supuesto hacker en el foro breachforums.st y de las acciones tomadas por el banco Interbank.
Primero: Analizando el discurso del hacker podemos deducir que es un individuo educado, que tiene al inglés como segunda lengua y no habla español. La palabra “reason”, por ejemplo, no es utilizada correctamente en su discurso, de allí nuestra deducción de que este idioma no es su lengua materna.
Segundo: En cuanto al banco Interbank, sus acciones de cerrar las sucursales demuestran que existe un riesgo en los medios de comunicación, entre las sucursales y la central bancaria, particularmente, en su VPN (red privada virtual). Esta sería la razón más probable por la que tomó la decisión de cerrar sus agencias.
Tercero: Esto nos indica que el hacker ha tenido acceso a las comunicaciones del banco y no, necesariamente, acceso a su infraestructura de almacenamiento de datos. Es por esta razón que la administración de Interbank no aceptó sus demandas, porque su análisis de penetración de intrusos en su infraestructura salió sin alertas. Entre tanto, el hacker penetró su VPN, el cual es proveído por un tercero. Él sólo tiene acceso a datos periféricos, ya que en ningún momento ha indicado que ha actualizado algún dato en las bases de datos de Interbank y, como lo indica el mismo hacker, ha tomado meses de su tiempo.
Hasta el mediodía del 31 de octubre, Interbank sigue poniendo actualizaciones a su sistema y sus servicios no están disponibles, esto indica que no han resuelto la vulnerabilidad o violación a sus sistemas de seguridad y sus canales de servicios siguen comprometidos.
No es el primer caso en el mundo de ataques a corporaciones, en muchos casos se pagan las demandas millonarias, usualmente en criptomonedas. No sabremos el detalle técnico del ataque, ya que representaría una vulnerabilidad para el banco comunicar dicha violación.
A pesar de este hackeo a Interbank, que representa un impacto alto a sus operaciones, el banco tiene que medir el riesgo de seguir perdiendo datos, resolver la vulnerabilidad o pagar. Deberían estar en la capacidad de resolverlo técnicamente.
Es recomendable que los clientes mantengan registro de su último balance y de sus operaciones. Sin duda el banco está en la obligación legal de reconocer el saldo y movimientos reales de los clientes. El problema a futuro es que las tarjetas de crédito están comprometidas y se recomienda remplazarlas.
Este hackeo no lo provocó un solo individuo, se trata de un grupo de criminales que utilizan tecnologías ya establecidas para aprovecharse de vulnerabilidades conocidas. En este caso en particular son debilidades conocidas de lo contrario, no estarían atacando otras corporaciones más lucrativas.
No todo es técnico, gran parte de los ataques tienen un componente humano, donde hacen uso de la ingeniería social para hacer su trabajo de reconocimiento y de inteligencia. Donde la víctima, sin conocimiento, divulga información privada y crítica de las operaciones de la institución.
En cuanto a los hackers será muy difícil atraparlos, Interpol tendrá que trabajar desde otro ángulo para identificarlos.
No confundamos ataques a instituciones gubernamentales con un ataque dirigido a una corporación donde los niveles de seguridad son muy altos y la recompensa para el hacker es más lucrativa y real.