Necrológicas
  • Arsenio José Campos Soto
  • Emilia Sánchez Saldivia
  • Carlos Chandía Vargas
  • Adriana Henseleit de Martínez

“Falla de seguridad” de CorreosChile habría filtrado datos bancarios de 14 mil clientes

Por Agencias viernes 27 de julio del 2018

Compartir esta noticia
386
Visitas

Comienzan a salir a la luz las primeras pistas sobre el posible origen de la masiva filtración de datos bancarios que este miércoles afectó a 14 mil clientes de 12 bancos del país.

Los mismos responsables (que se hacen llamar TheShadowBrokers) dijeron que la información fue obtenida mediante los ‘portales de pago’ directamente asociados a los bancos.

Sin embargo, no especificaron cuales serían dichos portales de pago.

Todos los ojos están puestos ahora en Correos de Chile, luego de que usuarios acudieran a las redes sociales para manifestar una posible conexión entre sus datos robados y el servicio de Casilla en Miami de la empresa.

Este servicio permite a los clientes adquirir productos directamente en Estados Unidos, para ser posteriormente enviados a nuestro país.

Carlos Oliva, desarrollador de software independiente y miembro de la consultora Sigma 5, es uno de los especialistas que investigó esta posibilidad.

Según relató, “anoche contactamos a varios afectados que aparecían en el listado y todos coincidían con ser clientes del servicio de casillas de CorreosChile en Miami”.

Indagando, encontró que, de la misma forma, el sitio pide los mismos datos que fueron filtrados.

“Solicita directamente los datos de tarjeta de los usuarios, nombre titular, número, fecha vencimiento, CVV (código de seguridad) y nombre emisor, que son justamente los que se filtraron”, indicó.

Esta debilidad haría una diferencia con este servicio respecto de la gran mayoría de los comercios, dijo, puesto que estos tienden a operar directamente con Transbank a través de Webpay.

La misma empresa se manifestó inmediatamente al respecto. En público, confirmaron a través de Twitter que se encontraban investigando la situación.

Más tarde, ante los cuestionamientos, dijo haber analizado la situación y descartó que la filtración haya tenido que ver con sus sistemas.

Sin embargo, hay varios motivos por los que los especialistas siguen sospechando.

Por ejemplo, en privado habrían eliminado el principal rastro que parece inculparles, pero que fue registrado por el informático Fernando Lagos en la misma red social.

“La Api de Correos de Chile permite consultar las tarjetas de crédito, sin embargo, en algunos casos el número viene vacío y en otros muestra los últimos 4 dígitos. Sí muestra el CVV, nombre del titular, banco y fecha de expiración”.

El ingeniero chileno Javier Godoy Núñez, quien actualmente trabaja en Estados Unidos como experto en comercio electrónico, también investigó.

Explica que efectivamente ellos tenían en la página un conector que otorgaba la posibilidad de modificar la tarjeta de los clientes que tenían iniciada la sesión y al mismo tiempo obtener la información de vuelta.

“Eso creo que pudo haber sido lo que obtuvo esta persona que lo publicó por Twitter”, dijo, refiriéndose a Fernando Lagos.

Indicó que, si bien CorreosChile habría estado exponiendo la información de forma “segura”, mostrando sólo los datos del usuario que tenía su sesión iniciada, tendrían una API (sistema que permite comunicar datos hacia otras aplicaciones) que permitía ver la información sin tapujos.

Es decir, sin siquiera ocultar algunos dígitos o mostrar sólo los últimos 4 como se suele hacer para evitar brechas de seguridad.

“Eso es peligroso porque ¿qué pasa cuando una persona tiene acceso a esa cuenta?”, cuestionó el experto. “En una empresa el gerente, los secretarios, tienen acceso a la cuenta pero no a la tarjeta, pero ¿que pasa si se meten a la Casilla Miami y se encuentran con que pueden acceder a todo eso?”.

Calificó esto como “una falla de seguridad enorme”.

“Lo chistoso”, sostuvo, “es que los de Correos se dieron cuenta de que en Twitter se divulgó eso y de inmediato eliminaron toda referencia a esa Aoi en el código fuente de la página (lo que los usuarios ven)”.

Las críticas a la cuestionada casilla no acaban ahí, ya que Godoy también pudo ver reclamos de clientes a los que se hicieron cargos en sus cuentas tras usar el servicio. “Les salieron compras en otros lados que nunca ellos habían hecho con sus tarjetas de crédito”.

Sernac ofició a 18 entidades financieras por filtración de datos de tarjetas de crédito

El Servicio Nacional del Consumidor (Sernac) ofició a 18 entidades financieras por la filtración de datos de 14 mil tarjetas de crédito ocurrida durante la tarde de este miércoles.

Las entidades involucradas son BCI/BCI Nova, Santander/Banefe, BancoEstado, Banco Ripley, CAR S.A., CMR Falabella, Banco Falabella, Banco de Chile/Edwards/CrediChile, Itaú-Corpbanca, Banco Internacional, Créditos Comerciales Líder, Consorcio, Scotiabank, BBVA, Security, Cencosud, Coopeuch, Solucard (Tricot) y Banco Bice.

El director de la entidad, Lucas del Villar, recalcó que estas empresas son “emisores de tarjetas para los efectos de recabar información del volumen total de afectados, de tarjetas que están vigentes, las causas que originaron esta filtración de datos y sobre todo, de cuáles son las medidas de mitigación que han adoptado, que se han bloqueado de forma preventiva las tarjetas que están vigentes”.

“Adicionalmente, hemos revisado que hay unos reclamos de personas que han tratado de contactarse con su emisor de tarjetas, sea bancario o no bancario, con el fin de bloquearlas y obtener nuevas tarjetas de crédito y han tenido algún tipo de dificultad con ellos”, sostuvo.

La autoridad llamó a las empresas a revisar especialmente los casos que puedan afectar a consumidores que están en el extranjero y hayan sufrido el bloqueo de sus tarjetas para que puedan emitir un nuevo plástico y contar con las soluciones oportunamente.

En paralelo, el gobierno confirmó que creará una mesa de trabajo para coordinar materias de ciberseguridad con las entidades bancarias, con el fin de evitar que se repitan situaciones de estas características.

 

Ministro de Hacienda y filtración masiva: “No ha habido uso fraudulento de esta información”

El ministro de Hacienda, Felipe Larraín, se refirió al masivo hackeo de tarjetas de crédito chilenas tras la reunión mensual -que estaba programada- del Consejo de Estabilidad Financiera, que cuenta con representantes de la SBIF, el Banco Central y otras entidades.

Tras el encuentro, el titular de la cartera confirmó que la filtración implicó 2.488 tarjetas activas de crédito y débito.

En tanto, recalcó que se trata de una cifra menor en relación al tamaño del mercado chileno, ya que la información divulgada incluye a 1 de cada 10.000 tarjetas emitidas en nuestro país.

Acto seguido, defendió la seguridad de los bancos y subrayó que “el robo no ocurrió en el sistema bancario” y que “no ha habido uso fraudulento de esta información”.

Asimismo, aseguró que, tras el episodio, la SBIF se comunicó con los bancos y les exigió establecer las causas, informar a los clientes, bloquear las tarjetas, informar a la opinión pública, y evaluar si hay filtraciones adicionales de información.

Esto último, debido a que es necesario “determinar si este fue (o no) un elemento distractor”.

“No está en riesgo la estabilidad del sistema financiero ni la cadena de pagos”, dijo, aunque admitió que este tipo de hechos afectan la confianza y la tranquilidad con que la gente opera en el sistema.

Para mitigar aquellos temores, los bancos y el ministro han señalado que ya se bloqueó cerca del 100% de las tarjetas afectadas.