Por: Krisia Chacón Jiménez.   26 mayo
El Banco de Costa Rica confirmó que lista de tarjetas de crédito y débito publicada por una agrupación cibercriminal corresponde a plásticos emitidos por la entidad, sin embargo, enfatizó que dicha información no es suficiente para perpetrar fraudes. Foto: Rafael Pacheco.
El Banco de Costa Rica confirmó que lista de tarjetas de crédito y débito publicada por una agrupación cibercriminal corresponde a plásticos emitidos por la entidad, sin embargo, enfatizó que dicha información no es suficiente para perpetrar fraudes. Foto: Rafael Pacheco.

El Banco de Costa Rica (BCR) confirmó que el grupo cibercriminal Maze filtró una lista de tarjetas de sus clientes, pero la entidad aseguró que dicha información no es suficiente para poder efectuar algún tipo de fraude.

Así lo confirmó la intermediaria en una entrevista con La Nación el lunes 25 de mayo.

La lista publicada por Maze abarca unas 900.000 tarjetas que fueron filtradas, y no solo del BCR, sino también de otras entidades financieras.

En esta nota le explicamos todo lo que usted debe saber a raíz de esta fuga de información.

¿Qué hago si tengo una tarjeta con el BCR?

Los números de tarjetas expuestos, si bien es cierto en su gran mayoría son del BCR, también hay registros de otras entidades financieras como del Banco Nacional, Banco Popular y BAC, según los expertos de ciberseguridad consultados por EF.

Esta situación se debe a que la filtración de tarjetas se dio a través de un procesador de pagos del BCR que también aceptaba transacciones con otras tarjetas, explicó Esteban Jiménez, especialista en ciberseguridad de ATTI Cyber.

Los próximos tres meses serán clave para identificar si existirán estafas en las cuentas, por esta razón es necesario es que se tomen medidas de seguridad como:

1. Consultarle a las entidades financieras si sus datos fueron comprometidos o no. A través de la Ley 8968 de Protección de la Persona frente al Tratamiento de sus Datos Personales, los clientes tienen el derecho de solicitar esta información y deben recibir una respuesta fidedigna en el transcurso de cinco días hábiles.

2. No descargar ningún archivo con supuestos números de cuentas, ya que muchos de ellos están infectados con algún tipo de malware.

3. Active un token u otro dispositivo de doble factor de autenticación.

4. Establezca un monto límite diario en sus compras.

5. Puede solicitar que le inhabiliten las compras en el extranjero, pero debe saber que si tiene asociados a su cuenta el pago de servicios como Netflix o Spotify u otra plataforma internacional, se verían afectados.

6. Active las notificaciones en su celular o correo electrónico, de esta forma cada deducción que se haga de su tarjeta lo podrá conocer en tiempo real.

7. No ingrese información de sus cuentas en ninguna página web o aplicación de la cual no tenga certeza si es oficial.

8. No exponga sus cuentas de correo u otra información personal en comentarios en redes sociales con el fin de obtener un archivo con los números de tarjetas filtradas.

9. Extreme las medidas básicas de seguridad ya que los criminales aprovechan estas situaciones para hacer más ataques.

10. El banco no le va a pedir información de sus tarjetas ni por teléfono ni por correo.

11. Explore la oportunidad de cambiar el plástico de su tarjeta y más si no lo ha hecho desde el 2018.

¿Debo ir inmediatamente al banco?

No. En estos momentos no es recomendable acudir a hacer filas a las sucursales por la crisis de COVID-19. Recuerde que todas las gestiones anteriores las puede solicitar por los canales digitales de las intermediarias.

“Este tipo de casos debe manejarse con extrema precaución, ya que si una comunicación se saca de contexto puede creer pánico en la población y eso debe de evitarse a toda costa y mucho más en tiempos de una pandemia. No queremos tener mil personas haciendo fila en el banco preguntando si le robaron el dinero”, explicó César Bravo, especialista en ciberseguridad y líder de patentes de IBM para América Latina.

¿Qué tipo de información tienen los cibercriminales y cómo me afecta?

La información liberada por la agrupación Maze corresponde a transacciones efectuadas en 2018.

La lista divulgada por este grupo de hackers contiene más de cinco millones registros o transacciones que el procesador de pagos captó, es decir, pueden existir múltiples registros por una tarjeta única.

Sin embargo, según declaraciones del BCR, ese listado no contiene el CVC o código de seguridad, razón por la cual, es muy difícil que se puedan llevar a cabo fraudes.

“Respecto al archivo que anda en circulación, efectivamente, contiene información de tarjetas del Banco. Contiene información de tarjetas de hace más de dos años y medio. Son transacciones que corresponden a enero del 2018. Muchas son tarjetas inactivas que han ido siendo sustituidas por tecnologías chip”, confirmó a La Nación, Johnny Chavarría, gerente corporativo de tecnologías de información del BCR.

¿Quién es Maze?

Maze Team es una agrupación cibercriminal que ha sido reconocida internacionalmente por perpetrear robo de información y luego exigir dinero a cambio.

Se ha especializado principalmente a atacar entidades financieras.

Ellos utilizaban una infección llamada ChaCha ransomware, que luego evolucionó al Maze ransomware.

Inclusive el FBI emitió una alerta de urgencia en diciembre de 2019 sobre los peligros del ransomware Maze debido a que puede generar campañas de spam que suplantan la identidad de agencias gubernamentales y proveedores de seguridad.

"Estamos ante la fuga de información más grande relacionada a un ciberataque de este país”. Esteban Jiménez, fundador de ATTI Cyber.
¿Por qué Maze filtró información de tarjetas del BCR?

En el mundo cibercriminal existe una carrera por convertirse en la agrupación que logra consumar ataques y exhibirlos ante la web.

“Hemos visto una competencia internacional de hackers para ganar prestigio y reconocimiento a través de técnicas de “humillación”, es decir, revelarle al mundo que lograron robar información de otras entidades”, señaló Jiménez.

Con esas filtraciones, las agrupaciones generan mayores ganancias porque liberan información de gran calidad que se consume rápido en la deep web.

"Esto es un aprendizaje para todos, para la banca, para las entidades reguladoras y para los profesionales que trabajamos en el área. Además de ser un excelente recordatorio de la importancia de invertir en ciberseguridad”. César Bravo, especialista en ciberseguridad y líder de patentes de IBM para América Latina.
¿Qué está haciendo el banco al respecto?

El banco ya acudió a las instancias judiciales y la investigación se mantiene abierta.

“El BCR ha aportado a las autoridades judiciales toda la información necesaria (...) Como parte de los procesos constantes de la institución, sus equipos de expertos en seguridad informática del banco, en conjunto con consultores internacionales, realizan análisis, diagnósticos y mejoras constantes de los sistemas de control, custodia y seguridad”, indicó la entidad mediante un comunicado de prensa.

Cuando la información por parte de Maze fue revelada el 21 de mayo, la intermediaria negó cualquier tipo de filtración, no obstante, cuatro días después dio paso atrás y tanto la Superintendencia General de Entidades Financieras (Sugef) como el BCR, confirmaron la información.

El BCR aseguró que ya se comunicó con las otras entidades financieras que aparecen en los registros de Maze para que tomen las precauciones del caso.

Además dijo que se hará responsable ante un eventual daño económico de sus clientes, situación que según la entidad, no ha ocurrido.

¿Cuál es el protocolo de seguridad que debe seguir el banco?

A nivel internacional, cuando un banco es víctima de un ataque cibercriminal, tiene 72 horas para comunicar lo ocurrido y aplicar los protocolos de seguridad para proteger el patrimonio de sus clientes.

Además se habilitan líneas telefónicas exclusivas para atender dudas y se le comunica a cada persona si fue afectada o no y cuál es el siguiente paso para garantizar su resguardo.

En el caso del BCR, la entidad dijo que según la revisión que efectuaron, se confirmó que el 70% de las tarjetas que aparecen en la lista están inactivas, y cuando detectan que hay alguna activa, se le comunica al cliente que debe hacer un cambio del plástico.

¿Qué peso tiene esta filtración en temas de ciberseguridad?

Este caso de filtración de datos desnuda una vez más la carencia que tiene Costa Rica en cuanto a una legislación moderna acerca de cómo se deben enfrentar los ataques cibernéticos, la responsabilidad de las entidades y la protección para las personas.

Invertir en ciberseguridad no es solo invertir en tecnología, sino también en los procesos de contención de desastres y comunicación, así como en educación para los clientes.