11 preguntas sobre el ‘hackeo’ al BCR

¿Cuál es el interés de algunas personas en “promocionar” este ataque y hacer una campaña de miedo contra un banco en específico?

Este artículo es exclusivo para suscriptores (3)

Suscríbase para disfrutar de forma ilimitada de contenido exclusivo y confiable.


Ingrese a su cuenta para continuar disfrutando de nuestro contenido


Este artículo es exclusivo para suscriptores (2)

Suscríbase para disfrutar de forma ilimitada de contenido exclusivo y confiable.


Este artículo es exclusivo para suscriptores (1)

Suscríbase para disfrutar de forma ilimitada de contenido exclusivo y confiable.

A pesar de ser un crítico de las malas actuaciones de los gobiernos y distintos casos de corrupción, también hay momentos donde esa actitud crítica debe usarse para analizar las acciones que buscan afectar nuestro país o a sus instituciones.

Desde hace meses se ha llevado a cabo una intensa campaña de extorsión contra uno de los bancos más emblemáticos de este país, un banco que, si bien es cierto, ha estado en el ojo del huracán durante los últimos años, también es una entidad que nos pertenece a todos los costarricenses. Tenemos la responsabilidad de defenderla.

Muchos se preguntarán: ¿por qué debemos proteger al Banco de Costa Rica (BCR), que recientemente fue manchado con supuestas tintas de corrupción? Se me ocurren muchas respuestas, pero, sin lugar a dudas, la más llamativa es que esa institución está cubierta por la garantía del Estado. Si algo malo le pasa a esa entidad financiera, el impacto lo pagaríamos todos nosotros.

Mi objetivo no es darle una posición respecto a este hackeo, mi verdadera intención es ofrecerle una serie de factores objetivos −y con base tecnológica− para que usted, desde la comodidad de su casa, saque sus propias conclusiones.

1- El grupo de hackersasegura que tuvo la posibilidad de provocar grandes daños al BCR. Sin embargo, en su comunicado aclara que no lo hicieron porque el “daño sería muy grave” para esa institución.

2- Desde hace meses este grupo de hackers−que se autodenomina Maze− afirma tener pruebas de haber accedido a los sistemas de bases de datos de las tarjetas de débito y crédito del BCR.

Maze dijo haber enviado las pruebas al banco en varias ocasiones sin recibir respuesta. Aquí salta una pregunta: ¿Realmente la gerencia del banco recibió prueba fehaciente de dichos accesos? Si es así, las autoridades competentes no tardarán en confirmar el hackeo y aplicar todo el peso de la ley sobre los involucrados, incluyendo las penas establecidas en la Ley de Delitos Informáticos.

3- ¿Creen ustedes que los jerarcas, así como todos los encargados ciberseguridad, redes y sistemas del banco se quieran exponer a una pena de cárcel solo por no admitir que fueron hackeados? Recordemos que fue el mismo BCR el que puso esta amenaza en conocimiento de la Fiscalía, la cual no dudo va a redundar en un exhaustivo trabajo de investigación.

4- ¿Cuál es el interés de algunas personas en “promocionar” este ataque y hacer una campaña de miedo contra un banco en específico?

5- Al inicio se le informó a la ciudadanía que el BCR había sido hackeado desde finales del 2019, manchando el nombre de la institución y creando pánico entre sus clientes. Sin embargo, la reciente publicación de las “pruebas” −una base de datos con números de tarjetas (la mayoría vencidas), entre otras informaciones− muestra que se trató de un ataque a un procesador de tarjetas y no directamente al BCR, y que ese ataque sucedió en el 2017, no a finales del 2019 como querían hacernos pensar.

6- El archivo expuesto con los números de tarjetas muestra datos que corresponden a plásticos de varios banco nacionales e internacionales, entonces, ¿por qué se ataca sólo al BCR?

7- Estas pruebas pueden parecer convincentes para el público, pero, −aquí les revelo un secreto de seguridad bancaria que todos deberíamos conocer− ¿sabía usted que cualquier persona puede capturar esa misma información con solo poner un teléfono celular cerca de su bolso o billetera?

Las tarjetas con tecnología contactless están enviando la información de su tarjeta al “aire” en tiempo real, es decir, que con solo programar una aplicación “hechiza” en un celular y acercarla a su billetera, yo mismo podría capturar los datos de su tarjeta. Me refiero al número completo del plástico, la fecha de vencimiento, entre otra información.

8- Si el objetivo de los que están promoviendo este ataque en Costa Rica es “ayudar a la población” entonces, ¿por qué mejor no promover soluciones a vulnerabilidades conocidas que afectan todas las tarjetas?

9- Si este grupo de hackers es tan “noble” como se hacen pasar, entonces, ¿por qué mejor no expusieron la información, por ejemplo, de los correos electrónicos del cementazo?

10- Al parecer algunas personas se apresuraron en crear aplicaciones donde usted puede consultar si su tarjeta fue vulnerada, mi pregunta es: ¿qué sentido tiene darle los datos de su tarjeta a un tercero para que este verifique si fue hackeada?

11- ¿Es realmente coherente crear este tipo de miedo en la sociedad en medio de una pandemia?, ¿quiénes ganarían y quiénes perderían ante la histeria colectiva que llevaría a cientos de personas a retirar depósitos y cerrar cuentas por desconfianza?

Recuerden los cibercriminales son oportunistas y utilizan el miedo y el sentido de urgencia para lanzar sus ataques −algo muy similar a lo ocurre con quienes crean noticias falsas en redes sociales−.

Decirle a la ciudadanía, en plena pandemia, que su dinero esté en riesgo por un ataque a su banco suena, de primera entrada, como un escenario perfecto para crear una extorsión (máxime cuando esa entidad ha sido recientemente cuestionada y su credibilidad puede no ser la mejor).

Espero que estos argumentos le sirvan para que pueda evaluar de la manera más objetiva lo que está pasando y así tomar las mejores decisiones.