La tarde de este jueves, una peligrosa falla de seguridad afectó al sitio web de Banco Falabella, la que fue denunciada por usuarios de redes sociales e incluso registrado en videos.
Por un período indeterminado de tiempo, se pudo ingresar a las cuentas de los usuarios con sólo conocer su rut, ya que bastaba con rellenar el apartado de “contraseña” con tres espacios en blanco.
Hola Diego, estos temas debes revisarlos directamente con @Banco_Falabella
Saludos.— Falabella Ayuda CL (@FalabellaAyuda) August 2, 2018
Hola. Detectamos un inconveniente en nuestra página web, y tomamos las medidas respectivas. Para realizar transacciones, puedes utilizar la App, que se encuentra plenamente operativa. Saludos.
— Banco Falabella (@Banco_Falabella) August 2, 2018
La empresa prontamente respondió por redes sociales a los cuestionamientos, asegurando que estaban trabajando para resolver la brecha en su seguridad.
Detectamos un error en nuestro sitio web. Estimamos que el servicio estará disponible en una hora más. Les pedimos operar por la app.
— Banco Falabella (@Banco_Falabella) August 3, 2018
Más tarde, los usuarios denunciaron que los videos fueron eliminados de Twitter y Youtube, argumentando uso indebido del logo y la marca de Banco Falabella.
Sin embargo, uno de ellos registrado por Diego Godoy fue recuperado y editado por OhMyGeek!
Que no pase piola. #BancoFalabella está tratando de bajar el material audiovisual que muestra su tremenda falla de seguridad (de ayer) donde permitía acceder a su Web únicamente con el RUT de un cliente y sin contraseña: https://t.co/1pndzqHdi0 pic.twitter.com/gylenjtZSm
— Felipe Ovalle (@FelipeOvalle) August 3, 2018
Y acá en Twitter también. Los videos que estaban ayer, desaparecieron. Y como se quejan del uso de imagen, la mejor solución que se me ocurrió a corto plazo es darle blur a los campos más evidentes. El video sigue arriba desde ayer en el post de @OhMyGeek: https://t.co/1pndzqHdi0 pic.twitter.com/f0eVybAhny
— Felipe Ovalle (@FelipeOvalle) August 3, 2018
El ingeniero en informática y magíster en ciencias de la computación Carlos Molina, explica que este es un caso de simple “negligencia” en el proceso de desarrollo de los programas del sitio, y que probablemente los encargados no hicieron las pruebas necesarias al ingreso del sitio.
En particular en este caso, el principal riesgo es la exposición de información privada de los usuarios, como el saldo o el número de la tarjeta de crédito.
Errores evitables como éste, lamenta, “pasan demasiado seguido en Chile”, en especial cuando “se supone que uno confía en la seguridad de instituciones como los bancos”
El sistema actualmente se encuentra funcionando normalmente, como fue confirmado por BioBioChile.
La versión de Banco Falabella
Desde la empresa reconocieron a BioBioChile el problema, pero aseguraron que los sistemas de alerta funcionaron a tiempo y que no hubo daño a los clientes por haberse activado medidas de control para resguardar esta información.
También dijeron haber confirmado que no se realizó ninguna operación no autorizada por los clientes, ya que “el sitio cuenta con diferentes soluciones de seguridad para poder realizar transacciones y pagos (clave dinámica y reglas de riesgo en tiempo real)”.
Sin embargo, negaron tajantemente haber ordenado la eliminación de los videos que delataban la brecha.