Derechos

Hotarus Corp: datos bancarios filtrados, ¿qué puede hacer el ciudadano de a pie?

Un grupo de piratas informáticos asegura tener una base de datos considerable de información personal de clientes del Banco Pichincha. Los primeros reportes de este hecho comenzaron a salir a la luz el pasado 9 de febrero de 2021 y, hasta este viernes 12, más de 1 gigabyte de información había sido subido a Internet. Analizamos la información filtrada y verificamos su veracidad.

12 de febrero de 2021

Por Valentín Díaz

Pasajes de avión, el alquiler de un vehículo, consumos de compras y tarjetas de crédito… Estos son algunos de los registros de clientes del Banco Pichincha que fueron filtrados a través de redes sociales.

Los cerca de 280 megabytes de archivos de texto fueron subidos a una nube en Mega y difundidos a través de la cuenta de Twitter @CorpHotarus. La cuenta estuvo disponible hasta el mediodía del miércoles 10 de febrero de 2021. Después, fue suspendida, y el link de Mega fue eliminado por los administradores de la nube. Ahora se encuentran en un servidor .onion en la deep web.

Hasta la noche del jueves 11 de febrero de 2021, esta dirección ya tenía 1 gigabyte de información. Cada dos horas se suben nuevos documentos, que incluyen tokens de tarjetas bancarias.

La información comenzó a circular en Twitter después de que @Bank_Security, dedicada a generar alertas de posibles vulneraciones a sistemas informáticos de bancos alrededor del mundo, alertara sobre el hecho. «Un actor amenazante asegura haber robado 80 gigabytes de información sensible supuestamente relacionada al Banco Pichincha de Ecuador, Visa Titanium, Diners Club y Discover. Supuestamente incluye datos PII (Información Personal Identificable, por sus siglas en inglés), acceso a sistemas intranet y tarjetas de crédito», señala el tweet redactado en inglés.

A Threat Actor claimed to have stolen 80GB of sensitive information allegedly related to the Ecuador-based 🇪🇨 Bank Banco Pichincha, Visa Titanium, Diners Club and Discover.

The dump allegedly includes:
– customers & employees PII Data
– access to intranet systems
– credit cards pic.twitter.com/2BpRR9kBog
— Bank Security (@Bank_Security) February 9, 2021

La cuenta de Twitter de @CorpHotarus tenía apenas tres tuits. En un link en la biografía, hay un canal de Telegram. «13 días para hacer el pago o llegar a una negociación para el rescate de información», dice uno de los tweets redactado en un inglés precario. Podría no ser esta la lengua nativa de los extorsionadores.

Al descargar la información del link de Mega, aparecen 11 archivos de texto distribuidos en cuatro carpetas: Banco Pichincha, Discover Card, Diners Club y Visa Titanium. Para la descarga de esta información, La Barra Espaciadora accedió a través de una máquina virtual, con el uso de una VPN y desde Tor Browser, con el fin de evitar malware o rastreo.

El banco niega vulneración de sus sistemas

Unas horas después de que la información comenzara a ser viral, el Banco Pichincha emitió un comunicado: «Nuestros sistemas no han sido vulnerados y la información de nuestros clientes se encuentra debidamente resguardada, bajo estrictos estándares internacionales de protección de datos».

La Barra Espaciadora accedió a testimonios de personas que habían encontrado sus datos personales en los logs filtrados.

Uno de estos casos es el de Andrés Mogro, desarrollador, quien respondió al tweet del banco. «Los datos los publicaron, los descargué y sí están mis datos, cédula, nombres y correo electrónico».

En el registro aparece su nombre completo, su número de cédula, su dirección de e-mail y detalles de su tarjeta de crédito.

Otra persona que resultó afectada es Vanessa Castro. «Acabo de ver una base de datos y sí está mi información y la de muchísimas personas», dijo también en un tweet.

Al igual que con Andrés, en el archivo aparecen los nombres completos de Vanessa, su número telefónico, su correo electrónico y el tipo de tarjeta de crédito.

En otros casos aparece información más sensible, como direcciones exactas de los domicilios de los clientes.

$30 millones en BTC

Dentro de los archivos hay un archivo de texto que contiene las demandas del grupo que intenta extorsionar al banco. Piden $30 millones en bitcóins (BTC) y amenazan con publicar el resto de la base de datos en caso de no efectuarse el rescate. Esta práctica es conocida como ransom, rescate en inglés. (No confundir con ransomware, que es cuando un agente malicioso logra acceder a los archivos de una entidad, los encripta y -a cambio de la llave de desencripción- pide un rescate).

Esta cuenta intenta hacer creer que los datos fueron hackeados del sistema del banco. Sin embargo, los documentos bien podrían haber sido filtrados desde algún trabajador del banco.

Este tipo de interacciones -desde cuentas fantasma en Twitter- por parte de hackers o grupos de hackers es común. En 2016, un grupo denominado Shadow Brokers anunció a través de Twitter que había logrado robar herramientas de hackeo desarrolladas por la Agencia de Seguridad Nacional de Estados Unidos (NSA, por sus siglas en inglés). Ellos usaron una cuenta de Twitter para anunciar el robo de estas y para ponerlas en venta. La venta de algunas de estas herramientas derivó, unos años más tarde, en uno de los ataques ransomware más conocidos de la historia, Wannacry.

Reflexiones de un experto

La Barra Espaciadora habló con un ecuatoriano que ha dedicado su carrera a la ciberseguridad y la privacidad de datos, quien prefirió no ser identificado, pero por facilidades narrativas llamaremos ‘Víctor’. Para él, la filtración plantea varios dilemas. Uno de ellos es el dinero que piden los atacantes: «No hay garantía de que dejen de chantajear al banco incluso después de recibir el rescate».

Por otro lado está la magnitud de los datos que el grupo asegura tener. 80 gigabytes podrá parecer poco, pero hay que recordar que son archivos de texto sin formato. En los cerca de 60 megabytes de la supuesta muestra, hay 11 archivos de texto. En cada uno de estos archivos hay alrededor de 30.000 entradas. «Es probable que tengan mucha más información. ¿Qué tanto están vulnerados los sistemas del banco?», se pregunta Víctor.

«Podrían incluso tener acceso al código fuente de los sistemas del banco, que podrían modificar y dejar abiertas puertas para futuros ataques. También podrían idenfiticar fallas actuales y ver cómo atacarlas», asegura.

Por todo esto, agrega, «es importante que el banco haga una auditoría extensiva de todos sus sistemas informáticos». Y, por otro lado, enfatiza: «Esto que le pasa al Pichincha, le podría estar pasando a otros bancos».

¿Qué puedes hacer como usuario para proteger tu privacidad?

Lo primero que debes hacer -apenas termines de leer esta nota- es cambiar tus contraseñas, tanto de tu banca electrónica, como del PIN de banca móvil y -por qué no- de tu tarjeta también

Lo ideal es que utilices un gestor de contraseñas para almacenar tus nuevas claves. Hay algunos: Dashlane, que es muy práctico y viene con una extensión para navegadores que hace que ni siquiera tengas que ingresar tus datos, la aplicación los ingresa por ti y hace el log-in sola. Hay también otras como Keeper o Bitwarden. Hay opciones gratuitas y open source como la última mencionada y otras que son pagadas, para todo tipo de necesidades.

Tu nueva clave debe ser lo más aleatoria posible. Dashlane, de hecho, tiene una función integrada para generación de caracteres aleatorios. También hay otros generadores como Secure Password Generator.

El Banco Pichincha no permite agregar caracteres especiales en sus contraseñas (!»#&%). Pero -de todos modos- es posible generar contraseñas aleatorias sin estos caracteres, mezclando mayúsculas con minúsculas y números.

El nombre de tu mascota o de tus hijos, tu fecha de nacimiento, fechas importantes en tu vida… Todos estos son datos que no deben ir en tus contraseñas. Como ves, no son difíciles de encontrar. Y cuando un hacker planea descifrar tu contraseña, este tipo de detalles son sus primeros intentos.

Ojo que la misma contraseña para todas tus cuentas es uno de los errores más graves que puedas cometer. En este caso, si alguien tiene acceso a una de tus cuentas, tiene acceso a todas. Si ya sabes el dato de los gestores de contraseñas, nunca más vas a tener el problema de no recordar tus claves y, por esto, será innecesario que se repitan en tus distintas cuentas.

Mantén tu software siempre bien actualizado, pues en las actualizaciones puedes encontrar parches para ciertos fallos de seguridad que pudieran surgir.

Aléjate de los pop-ups y anuncios. No hagas click en ellos y evita los sitios que estén llenos de estos.

Verifica que la página por la que navegas tiene protocolo HTTPS. Es muchísimo más seguro que HTTP.

Utiliza una VPN, sobre todo si visitas sitios que recolectan tu tráfico web. Hay muchas opciones: NordVPN, ExpressVPN. ProtonVPN tiene un plan que es gratuito, aunque limitado. Para cuestiones cotidianas basta y sobra. Al usar Tor, también garantizas el anonimato de tu conexión. No es recomendable usar estos dos servicios si es que estás ingresando a tu banca web o móvil. Esto, pues el banco puede detectar una conexión desde otro país y malinterpretarlo como un intento de hackeo.

*Seis días después de esta publicación, el jueves 18 de febrero, el Banco Pichincha emitió el siguiente comunicado para reconocer que el acceso no autorizado ocurrió pero en los sistemas de un proveedor, a pesar de que en su momento lo habían negado. Sin embargo, reiteran que no hay evidencias de afectación o acceso a los sistemas de la institución.