MaksymFilipchuk - stock.adobe.co

Thriller a la peruana: El hackeo de Interbank

Llenos de pánico vivieron este año la fiesta de las brujas los clientes del banco peruano, cuando se enteraron de que los datos de millones de ellos habían sido filtrados y estaban a la mano de cibercriminales, no solo en la dark web, sino a pedido en redes sociales.

A fines del siglo pasado, era común comprar por pocos centavos las bases de datos de los clientes de los bancos peruanos en la Av. Wilson, una calle del centro de Lima, Perú. Todos sabían lo que ahí sucedía, pero nadie lograba controlarlo. Ante esta ilegal costumbre, donde los vendedores y compradores eran cómplices, se creó la Autoridad Nacional de Protección de Datos Personales (ANPD), que depende del Ministerio de Justicia (Minjus) y que impuso multas de hasta 100 UIT (S/ 5.150.000 o US$1,4 millones) en caso de faltas graves.

Mucha agua ha pasado bajo el puente desde entonces, pero el principal cambio es la forma cómo se comete este delito: ahora todo es digital y en línea. En julio del 2023, se detuvo a sospechosos de comercializar los datos personales de 30 millones de peruanos, en un caso conocido como “zorrito Run Run”, que remeció Lima en mayo del 2022. El grupo tenía 350 integrantes y cobraba hasta S/120 (US$ 32) por datos personales que incluían la firma y huella digital. Esta detención, sin embargo, no impidió que obtener datos personales de la Reniec (Registro Nacional de Identificación y Estado Civil) siga siendo muy sencillo, y se sigan comercializando en la dark web, o por Telegram y WhatsApp.

Empero, al cierre de octubre se ha vivido una historia de terror digna de Halloween. Todo empezó el 20 de octubre, cuando Plin, la billetera móvil que usa Interbank, tuvo un fallo. Algunos usuarios de dicho banco, que tiene unos ocho millones de clientes, experimentaron dificultades para ingresar a su aplicativo, pero el problema no pasó a mayores. No era la primera vez que el sistema “se caía”. El terror se desató diez días después, cuando circularon por las redes sociales mensajes supuestamente escritos por un hacker, anunciando que tenía los datos de tres millones de clientes del banco.

Pesadilla en los sistemas del banco

Cientos de historias terroríficas empezaron a circular por las apps de mensajería. Que habían despedido semanas antes a un jefe de seguridad, que un practicante entró a una página indebida y usurparon su clave –que además era muy sencilla–, que el secuestrador estuvo negociando dos semanas con el banco para que le pagaran US$4 millones por 3,7 terabytes de datos –que implican operaciones por US$1,700 millones–, que tenían el CCV de las tarjetas y credenciales APIs del banco, y más.

El pavor fue mayor cuando Interbank reconoció que le habían sustraído datos de sus clientes, cerró la atención presencial en sus agencias y el 31 de octubre interrumpió toda su operación durante un par de horas para “salvaguardar a sus clientes”, señalando que “tu seguridad es nuestra prioridad”. El CEO de Interbank, Carlos Tori, dio una declaración por YouTube denunciando que habían sido víctimas de un extorsionador, pidió disculpas y explicó que hubo dos problemas: uno operativo y otro de seguridad.

Aun cuando diversos expertos explicaron en la televisión que el dinero de los ahorristas seguía en el banco, y que la acción inmediata necesaria era cambiar las contraseñas o el plástico (las tarjetas de débido y crédito), mucha gente se llenó de miedo y amenazó con retirar su dinero de Interbank. De hecho, en una temida corrida bancaria, durante el fin de semana de inicios de noviembre, miles colmaron las agencias del banco buscando retirar su dinero o hacer el cambio de sus tarjetas. 

El suceso produjo mucho pánico y confusión. El científico en computación Ragi Yaser Burhum, aclaró a Computerweekly que no se trató de un caso de ransomware, porque no hubo encriptación de archivos que se liberaron con el pago de un rescate. “Estamos ante un acceso indebido a la información sensible interna –como saldos y números de tarjetas de crédito– que ha sido copiada fuera del banco”, acotó.

¿Cómo fue eso posible? Ragi Y. Burhum comentó que la negociación real solo la conocen el usuario Kzoldyck, cibercriminal que difundió capturas de pantallas de la negociación en BreachForums, y el banco, que todavía no ha desmentido la publicación, lo cual induce a creer que las imágenes son verídicas. Muy probablemente hubo una tercera persona del banco involucrada, aunque no se sabe si por error o a propósito. “Es una fuga de información demasiado seria”, apuntó Burhum.

El hacker que afirma haber accedido a los datos de Interbank en el foro breachforums.st es presumiblemente un criminal que no habla español, y que tiene inglés como segundo idioma. El sujeto formaría parte de un grupo que hackeó las VPN del banco, no el almacenamiento interno en sí, estimó en un artículo el Dr. Julio Santiesteban Pablo, docente de Ciberseguridad de la Universidad Católica San Pablo. 

¿Qué vendrá después? 

Ante la terrible situación, de más está decir que el Minjus, la SBS (Superintendencia de Banca y Seguros), el Ministerio Público e Indecopi, órgano defensor del consumidor, iniciaron sus respectivas investigaciones. Para el 2 de noviembre, la SBS hizo una inspección física en las oficinas de la financiera, propiedad de Carlos Rodríguez Pastor, el hombre más rico del Perú, según Forbes, con una fortuna valorada en US$1.600 millones y negocios en retail, salud y educación. Indecopi, por su parte, inició visitas encubiertas a las agencias para verificar el respeto a los derechos de los consumidores en medio del caos. 

El thriller tomó más fuerza a medida que pasaban las horas y los días porque empezaron a circular en las redes rumores de que el BCP (Banco de Crédito del Perú), Claro (proveedor de telefonía, que ya salió a decir que no han sido hackeados), la Reniec y otros también habrían sido hackeados, y sus datos estarían circulando por la web oscura. La especulación encontró el caldo de cultivo perfecto, sobre todo porque un estudio de la consultora Soluciones Virtuales Perú, citado por el diario Gestión, señaló que se han identificado 140 empresas de diferentes sectores que han sufrido una filtración de información. 

Ragi Y. Burhum analizó la base de datos del BCP publicada en BreachForums, y explicó que se trata de un registro de llamadas de un call center entre octubre del 2020 y septiembre del 2023. Solo tiene números de teléfonos, por lo que no es tan alarmante. Sin embargo, aclaró que es preocupante que existan tantas filtraciones de datos en el país. “Cualquier filtración, sea de esta semana o de hace unos años, se tiene que tomar con seriedad”, remarcó.

Los problemas de ciberseguridad son constantes, a nivel global, porque existe toda una industria detrás dedicada a lucrar con esa información, comentó Burhum. El problema es que los ataques son cada vez más sofisticados, pero es más sencillo armarlos, gracias a la inteligencia artificial (IA). “¿Estamos invirtiendo lo suficiente en este sector en el Perú? Mi lectura es que no”, apuntó.

La incidencia del cibercrimen no es menor, y viene creciendo a un ritmo de mínimo 30 % anual, generando pérdidas por más de US$150 millones anuales, según la empresa Nuvo, especialista en protección de datos. El costo de un solo incidente es mucho mayor que el tiempo inoperante, porque luego vienen las multas y el daño a la reputación. Si bien la inversión en ciberseguridad de las empresas locales crecerá al menos 12 % anual, y llegará a los US$500 millones en 2028, según la Cámara de Comercio de Lima (CCL), esta cifra podría quedarse corta ante el avance de la criminalidad.

La Policía Nacional del Perú (PNP) ha informado que, entre enero y agosto del 2024, se han registrado 324 denuncias de atentados a la integridad de datos; 44 han sido agravadas y hubo una de tráfico ilegal de datos. Además, hubo 724 denuncias por accesos ilícitos y 61 por interceptación de datos informáticos.

Existen varias tareas pendientes como país. Erick Iriarte, abogado experto en ciberseguridad, ha recalcado que hace falta publicar el nuevo reglamento de la Ley de Protección de Datos Personales, el cual incluye nuevos factores por aplicar para mejorar la prevención de estos incidentes. A eso, se debe sumar un intenso trabajo en la cultura de ciberseguridad ciudadana.

Además, es evidente que no hay auditorías constantes en todos los negocios para evitar prácticas riesgosas que hagan fácil filtrar datos, añadió Ragi Y. Burhum. Los últimos eventos solo han puesto el dedo en la llaga y, si no hay cambios drásticos en el nivel de seguridad público y privado, los delincuentes que usen IA no tendrán problemas en lucrar a costa de todos los peruanos.

Investigue más sobre Gestión de la seguridad