Comienzan a salir a luz las primeras pistas sobre el posible origen de la masiva filtración de datos bancarios que este miércoles afectó a 14 mil clientes de 12 bancos del país.
Los mismos responsables (que se hacen llamar TheShadowBrokers) dijeron que la información fue obtenida mediante los ‘portales de pago’ directamente asociados a los bancos.
Sin embargo, no especificaron cuales serían dichos portales de pago.
Todos los ojos están puestos ahora en Correos de Chile, luego de que usuarios acudieran a las redes sociales para manifestar una posible conexión entre sus datos robados y el servicio de Casilla en Miami de la empresa.
Este servicio permite a los clientes adquirir productos directamente en Estados Unidos, para ser posteriormente enviados a nuestro país.
Carlos Oliva, desarrollador de software independiente y miembro de la consultora Sigma 5, es uno de los especialistas que investigó esta posibilidad.
Según relató, “anoche contactamos a varios afectados que aparecían en el listado y todos coincidían con ser clientes del servicio de casillas de CorreosChile en Miami”.
Indagando, encontró que, de la misma forma, el sitio pide los mismos datos que fueron filtrados.
“Solicita directamente los datos de tarjeta de los usuarios, nombre titular, número, fecha vencimiento, CVV (código de seguridad) y nombre emisor, que son justamente los que se filtraron”, indicó.
Esta debilidad haría una diferencia con este servicio respecto de la gran mayoría de los comercios, dijo, puesto que estos tienden a operar directamente con Transbank a través de Webpay.
La misma empresa se manifestó inmediatamente al respecto. En público, confirmaron a través de Twitter que se encontraban investigando la situación.
Más tarde, ante los cuestionamientos, dijo haber analizado la situación y descartó que la filtración haya tenido que ver con sus sistemas.
Sin embargo, hay varios motivos por los que los especialistas siguen sospechando.
Por ejemplo, en privado habrían eliminado el principal rastro que parece inculparles, pero que fue registrado por el informático Fernando Lagos en la misma red social.
El ingeniero chileno Javier Godoy Núñez, quien actualmente trabaja en Estados Unidos como experto en comercio electrónico, también investigó.
Explica que efectivamente ellos tenían en la página un conector que otorgaba la posibilidad de modificar la tarjeta de los clientes que tenían iniciada la sesión y al mismo tiempo obtener la información de vuelta.
“Eso creo que pudo haber sido lo que obtuvo esta persona que lo publicó por Twitter”, dijo, refiriéndose a Fernando Lagos.
Indicó que, si bien CorreosChile habría estado exponiendo la información de forma “segura”, mostrando sólo los datos del usuario que tenía su sesión iniciada, tendrían una API (sistema que permite comunicar datos hacia otras aplicaciones) que permitía ver la información sin tapujos.
Es decir, sin siquiera ocultar algunos dígitos o mostrar sólo los últimos 4 como se suele hacer para evitar brechas de seguridad.
“Eso es peligroso porque ¿qué pasa cuando una persona tiene acceso a esa cuenta?”, cuestionó el experto. “En una empresa el gerente, los secretarios, tienen acceso a la cuenta pero no a la tarjeta, pero ¿que pasa si se meten a la Casilla Miami y se encuentran con que pueden acceder a todo eso?”.
Calificó esto como “una falla de seguridad enorme”.
“Lo chistoso”, sostuvo, “es que los de Correos se dieron cuenta de que en Twitter se divulgó eso y de inmediato eliminaron toda referencia a esa API en el código fuente de la página (lo que los usuarios ven)”.
Las críticas a la cuestionada casilla no acaban ahí, ya que Godoy también pudo ver reclamos de clientes a los que se hicieron cargos en sus cuentas tras usar el servicio. “Les salieron compras en otros lados que nunca ellos habían hecho con sus tarjetas de crédito”.