El 25 de julio, poco antes de las 08:00 horas, un grupo que se hace llamar “The Shadow Brokers” publicaron en su cuenta Twitter que se encontraban disponibles para descarga un listado de usuarios de tarjetas de crédito de Banco de Chile.
Recién en la tarde, luego de rumores en redes sociales y la confirmación de la Superintendencia de Bancos e Instituciones Financieras (SBIF), diversos medios publicaron la noticia sobre las 14.000 cuentas afectadas y la noticia corrió como el viento, también los miedos.
Diversos medios informaron que todos los datos capturados por los atacantes eran 14.000 tarjetas y que si no te encontrabas en ese listado, te podías quedar de lo más tranquilo.
¿Tú crees que un grupo de ciberdelincuentes se dará todo el trabajo que implica acceder a los datos de instituciones financieras solo para publicarlos como travesura?
La respuesta está en los mismos tuits, en un inglés no muy complejo en la cuenta Twitter @brokers_shadow. Para que todos puedan entender, incluidos quienes no tienen cuenta corriente, lo intentaré explicar en fácil, con piñones.
Para realizar una compra por internet utilizando la tarjeta de crédito se requieren cuatro datos: el nombre del titular, el número de la tarjeta, la fecha de vencimiento, y un código de seguridad de tres dígitos que se encuentra en la parte posterior de la tarjeta.
Esos son justamente los datos que algunos vieron en el archivo de texto de los 14.000; por ende, cualquiera que tenga estos cuatro datos puede realizar transacciones cargadas a la cuenta de otra persona.
Los atacantes ofrecieron 4 packs a distintos precios, el más económico a 20 BTC (Bitcoins) que equivale a $104.547.030 con las respuestas básicas a cómo accedieron a Banco de Chile; hasta llegar al de 200 BTC, equivalentes a $1.045.470.304, que incluye a todos los bancos que operan en Chile además de las herramientas que utilizaron para acceder, con lo que los bancos podrían saber cuáles fueron las vulnerabilidades atacadas.
Los datos de 14.000 tarjetas fueron un POC, que en jerga del hacking quiere decir Prueba de Concepto (por sus siglas en inglés: Proof Of Concept), explicado en simple es una prueba que lo que dicen tener, es verdad; en otras palabras, los 14.000 fueron una “muestra gratis” de un total mucho mayor. ¿Cuántas? No es posible saberlo hasta que alguien pague por el paquete de cuentas señalado anteriormente.
Otra lectura al mismo hecho, indicado por algunos más eruditos señalan que podría tratarse de un caso de carding, una técnica que implica la creación de números ficticios de tarjetas al azar a partir de un número más reducido de tarjetas reales, y toda la venta de la base de datos no sería más que un bluff.
Así, tenemos la visión más pesimista y más optimista al respecto.
Estos problemas les vienen pasando a los bancos desde hace tiempo y les seguirán ocurriendo; buena parte es su responsabilidad. No es raro encontrar a Ingenieros Comerciales, Contadores o Ingenieros Industriales tomando decisiones que toda lógica indica que corresponden a Ingenieros Civiles en Informática.
Son profesionales que pueden contar con todo nuestro respeto, pero ¡por favor! ¡pastelero a tus pasteles! Si tengo un problema de cáncer, iré donde un médico oncólogo y no donde un kinesiólogo, aunque sea el mejor del mundo.
Por otra parte, la gran mayoría de las personas se informa a través de medios de comunicación masivos. A las pocas horas de ocurridos los hechos, prácticamente ningún canal incluía a especialistas en el tema, no existió comprensión de las amenazas de los atacantes al reproducir la información, al punto que muchos creyeron que por no aparecer en los 14.000, estaba todo perfecto.
A la hora de presentar expertos en TV, de parte del sistema bancario, aparecieron economistas e Ing. Comerciales (de nuevo) a explicar un tema que no es de su competencia, dejando más dudas que certezas.
En resumen, todo el país “dio jugo”.
Lamentablemente, seguirá pasando por la escasez de profesionales expertos en Ciberseguridad. Un profesional de esta área es un Ingeniero en Informática que no se especializa en una única área, sino que entienda de todas las áreas de la informática (Sistemas operativos, Bases de datos, Ing, de Software, entre muchos otros) para luego iniciarse en Ciberseguridad. De ahí su escasez.
Mis agradecimientos al Ingeniero Daniel Torres Melillanca, experto en Ciberseguridad, quien complementó la información que tuve a disposición al momento escribir esta publicación. Les recomiendo seguirlo.
Finalmente, no les diré lo que deben hacer, sí les diré lo que hice yo. Bloqueé mis tarjetas de crédito y solicité un nuevo plástico.