La delgada línea entre un hacker y un insider: El caso Interbank

CiberseguridadNoticias

En octubre de 2024, Interbank sufrió un ataque cibernético significativo que dejó al descubierto información sensible de millones de sus clientes. Este artículo detalla los eventos cronológicos, los métodos utilizados por los hackers, y las vulnerabilidades explotadas, con el objetivo de entender mejor este caso y aprender de sus lecciones.

Línea Cronológica de los Eventos

  1. Acceso Inicial y Brecha de Seguridad: El 30 de octubre de 2024, se detecta un acceso no autorizado a los sistemas de Interbank. El responsable del ataque (bajo el nombre de Kzolyck), utilizando posiblemente credenciales comprometidas, logró acceder a datos sensibles de algunos clientes. Este evento marcó el inicio de la crisis de seguridad para la entidad financiera, que rápidamente escaló debido a la naturaleza de los datos expuestos. (Infobae).
  2. Extorsión y Negociaciones Fallidas: Tras obtener los datos (casi 4 TB), el autor del ataque contactó a Interbank en un intento de extorsión, exigiendo una suma considerable de dinero para no hacer pública la información. La entidad bancaria intentó establecer medidas de contención mientras rechazaba la negociación, optando por no ceder a las demandas.
  3. Publicación de Datos: Ante la falta de cooperación de Interbank, el responsable del ataque procedió a filtrar los datos en la deep web. Ofreció la información expuesta a un precio accesible, aumentando la vulnerabilidad de los clientes afectados y generando un alto riesgo de fraudes y otros crímenes digitales.
  4. Difusión de Evidencias y Mensajes: Como prueba de su acceso, el autor del ataque compartió capturas de pantalla y correos electrónicos interceptados, buscando así generar mayor presión mediática sobre Interbank. Estas pruebas se dirigieron a medios de comunicación y circularon en redes, en un esfuerzo claro por desprestigiar al banco y maximizar el impacto del incidente.
  5. Respuesta Oficial de Interbank: El 31 de octubre de 2024, el gerente general Carlos Tori se pronunció públicamente para asegurar a los clientes que las cuentas y productos financieros no estaban comprometidos, y que el banco había implementado medidas de seguridad adicionales para contener el incidente. Esta respuesta fue clave para intentar calmar a los usuarios y mantener la transparencia en medio de la crisis (Exitosa Noticias).
  6. Investigación por la Fiscalía y Venta de Datos: La Fiscalía de Ciberdelincuencia de Perú inició una investigación preliminar para identificar a los responsables del incidente y establecer las consecuencias legales del ataque. Mientras tanto, el hacker comenzaron a vender los datos expuestos en foros especializados, haciendo que la información de los clientes estuviera disponible para cualquier interesado en comprarla (RPP).
  7. Comparecencia en el Congreso y Refuerzo de Seguridad: El 5 de noviembre de 2024, representantes de Interbank comparecieron ante la Comisión de Defensa del Consumidor en el Congreso peruano. Zelma Acosta-Rubio, vicepresidenta de Asuntos Corporativos, aseguró que se habían reforzado las medidas de seguridad y que los fondos de los clientes no estaban en riesgo, buscando así restaurar la confianza en la institución financiera (Gestión).

Métodos Utilizados en el Hackeo

  1. Extorsión Digital: Este ataque se basó en la extorsión mediante la amenaza de divulgación de información sensible. Aunque no se trató de un ransomware tradicional que cifrara los sistemas, la presión sobre el banco fue similar: se exigió un pago en efectivo para mantener los datos a salvo.
  2. Filtración de Datos Masiva: Kzoldyck logró acceder y filtrar datos sensibles que incluían nombres, números de cuenta, direcciones de correo electrónico, contraseñas, y detalles de tarjetas de crédito. Esta información fue divulgada en foros de la deep web para su venta.
  3. Apoyo Interno (Infiltración): El hacker afirmó que contaba con un infiltrado dentro de Interbank que facilitó el acceso a los sistemas. Aunque esto no fue confirmado por el banco, este tipo de infiltración interna es un método común para burlar las defensas de las organizaciones desde adentro.

Vulnerabilidades Explotadas por el Hacker

  1. Falta de Cifrado de Datos Sensibles: Una de las principales fallas identificadas fue la falta de un cifrado adecuado para los datos almacenados. La información parecía estar en texto plano, facilitando la obtención y divulgación de los datos por parte del atacante.
  2. Deficiencias en la Autenticación: La falta de un sistema de autenticación fuerte, como la autenticación en dos pasos (2FA), permitió que el hacker accediera a datos sensibles sin mayores obstáculos. Esto sugiere una implementación deficiente de medidas de seguridad básicas.
  3. Ingeniería Social y Falta de Control Interno: La posible colaboración de un infiltrado refleja la falta de controles y procedimientos efectivos para monitorear al personal con acceso privilegiado. Es probable que se haya utilizado ingeniería social para comprometer a este empleado y lograr acceso directo a los datos.
  4. Gestión Deficiente de la Crisis: La falta de una respuesta rápida y clara por parte del banco agravó el problema. La comunicación tardía y poco específica hacia los clientes y las autoridades hizo que el hacker tuviera el control durante las negociaciones, lo cual permitió que divulgara parte de la información sin contratiempos.

Conclusiones y Recomendaciones

El hackeo a Interbank deja al descubierto la importancia de contar con un sistema de ciberseguridad robusto, y de actuar rápidamente en situaciones de crisis. Las vulnerabilidades explotadas por Kzoldyck reflejan fallas sistémicas tanto en la seguridad digital como en la gestión interna del banco. Estos son algunos puntos clave que deberían servir como lección:

  • Cifrado Integral de Datos: Los datos sensibles deben estar siempre cifrados, para evitar que un acceso no autorizado tenga consecuencias devastadoras.
  • Protocolos de Autenticación Fuertes: Implementar autenticación en dos pasos (2FA) para acceso a sistemas críticos y bases de datos debe ser una práctica estándar.
  • Control Interno y Monitoreo del Personal: Es esencial contar con controles rigurosos para el personal con acceso privilegiado, y tener protocolos claros para evitar infiltraciones internas.
  • Protocolo de Respuesta a Incidentes: Un plan de respuesta bien definido puede limitar el daño en situaciones de crisis. La transparencia hacia los usuarios también es crucial para proteger su seguridad.

Recomendaciones para Diferentes Actores

  1. Clientes de Interbank:
      • Cambiar todas las contraseñas de las cuentas vinculadas a Interbank, especialmente si utilizaban la misma contraseña en múltiples sitios.
      • Utilizar gestores de contraseñas seguros como Keepass, para crear y gestionar contraseñas únicas y fuertes.
      • Monitorear regularmente los movimientos bancarios para detectar cualquier actividad inusual o sospechosa.
      • Evitar compartir información financiera en línea y usar únicamente redes seguras para operaciones sensibles.
  2. Empleados a Cargo de los Datos:
      • Implementar políticas estrictas de acceso a los datos, asegurándose de que solo el personal autorizado tenga acceso a la información confidencial.
      • Capacitar regularmente a los empleados sobre amenazas de seguridad como phishing y técnicas de ingeniería social, para reducir el riesgo de ser manipulados.
      • Establecer procedimientos claros para informar sobre cualquier actividad sospechosa o violaciones de seguridad, y fomentar una cultura de seguridad activa dentro de la organización.
  3. Empresas (Políticas para Evitar Filtraciones):
      • Adoptar políticas robustas de seguridad que incluyan cifrado de datos, autenticación en dos pasos (2FA), y controles regulares de acceso para minimizar el riesgo de intrusiones.
      • Asegurarse de que los empleados estén satisfechos y comprometidos con la organización. Empleados satisfechos son menos propensos a ser vulnerables a influencias externas o a comprometer la confidencialidad de la empresa.
      • Definir y aplicar políticas de respuesta ante incidentes de seguridad que incluyan pasos claros para contener la amenaza, evaluar el impacto y comunicar la situación de manera transparente a todas las partes involucradas.

Este caso es un recordatorio de la importancia de una buena práctica de seguridad digital, tanto para las empresas como para los usuarios. La falta de preparación y la subestimación del riesgo pueden llevar a una crisis con consecuencias de gran magnitud, afectando la confianza de los clientes y la reputación de una institución financiera.