Banco-Pichincha-12-2-2021

Hackers difunden información de familiares de clientes de Banco Pichincha

El pasado 9 de febrero, una cuenta internacional publicó en redes sociales sobre un supuesto robo a la información de los clientes de Banco Pichincha en Ecuador. Para este 12 de febrero, otra cuenta anunció un segundo lote de información que, esta vez, incluye datos de familiares de los clientes de Banco Pichincha. Entre ellos se encuentran menores de edad.

Nuestra fuente, un ingeniero en sistemas y desarrollador que prefirió mantenerse en el anonimato revisó la información filtrada. En efecto, encontró información sensible de sus propios familiares y, entre otros, a José Nebot, hermano del ex alcalde Jaime Nebot.

La nueva información que filtraron los hackers asciende a los 645 megas. Esto significa que la información que han publicado en los últimos días ya sube a 1GB.

A opinión del desarrollador, es de las pocas veces que existe un ataque de hackers que se mantenga en el tiempo. Esto dijo, dado que los hackers están insistiendo en el cobro de los USD 30 millones en bitcoins y están subiendo más información. “Yo creo que sí van a seguir. Más aún tomando en cuenta que los hackers saben que el banco está tomando esta actitud de ocultar información”, alertó.

Acciones de los clientes

En el primer lote de información que revisó el Ingeniero, encontró datos de sus cuñados. Uno de ellos llamó a Banco Pichincha para pedir el cambio de su número de tarjeta. Pero, también exigió que el proceso sea gratuito. La asistente respondió que hablaría con su supervisor. Posteriormente, lo llamó para pedirle que remita un correo electrónico con la captura de la información que habían filtrado. Aunque el familiar del desarrollador no realizó el proceso, un día después recibió una nueva llamada de Banco Pichincha para notificarle que el proceso lo realizarían sin costo.

Ante ese escenario, la esposa del desarrollador acudió al mismo trámite. Su asistente le contestó que el mismo lo realizarán sin costo en el lapso de cinco días. “Eso me dice que están conscientes del problema. Lo penoso es que uno tenga que llamar a pedir”, criticó el Ingeniero en Sistemas.

Dentro de la información que encontró de sus familiares se encuentran sus nombres completos, correos electrónicos, números telefónicos de contacto, números de cédula, el nombre y los últimos dígitos de la tarjeta de crédito.

Información que se encuentra en la Dark Web

El desarrollador explicó que la información de Banco Pichincha ya se encuentra en la dark web. En el sitio, encontró, principalmente,  información de funcionarios internos. “Lo sensible, es que están expuestos todos sus empleados”, dijo.

Sin embargo, cuando observó una carpeta con el nombre “Diners Admin Web”, se alertó. “Es algún portal de administración o algún aplicativo de administración o algún proceso en el cual está expuesto información de administradores”, explicó.

Pero, también, existe un archivo llamado “Mi Vecino Bank”. En el mismo, posiblemente, se estaría exponiendo información de los dueños de tiendas y micromercados que cuentan con la plataforma de Banco Pichincha.

Pero aún peor hay archivos titulados “Pichincha”. En la misma, existe información sobre las millas que devengaron los clientes. “Esa información expuesta es suficiente para que cualquier persona, ni siquiera siendo hacker, que tenga esos archivos pueda hacer esos ataques de ingeniería social”, aclaró el Ingeniero. Así, dijo que los dueños de las tarjetas, al momento de devengar millas, registran a sus compañeros de viaje, cuándo, lugar, hora, destino, a qué hotel fueron, cuánto tiempo estuvieron, cuál fue el costo del paquete devengado. “Yo encontré el nombre de un amigo mío. Ahí está la información de él, su esposa y sus dos hijos menores de edad”, alarmó.

Las soluciones

Aunque la principal solución giraría en torno al cambio de la información personal, como números de tarjetas, el desarrollador explica que sería infructuoso. “Ellos tienen acceso a información hasta el día de hoy. Aún cambiando los números de tarjeta, no hay garantía que mañana nuevamente estemos expuestos”, sintetizó.

Por ello, responsabilizó únicamente a Banco Pichincha. “Si tú entregas tu dinero al banco y al banco le roban, el responsable es el banco. Lo mismo sucede con esta información. A quienes tú des información, ellos son los custodios. El banco debe asumir la filtración, pero la está ocultando”, criticó.

Respuesta del Ministerio de Telecomunicaciones y de Asobanca

En un comunicado oficial del Ministerio de Telecomunicaciones, el Mintel recomendó el cambio de todas las contraseñas tanto de las cuentas comprometidas, como de aquellas donde se usó la misma combinación. Usar una contraseña segura. Activar medidas de protección adicionales, por ejemplo, la verificación en dos pasos. Además, comprobar las filtraciones de datos. Finalmente, realizar una verificación
de las cuentas cada cierto tiempo, utilizando para ello herramientas disponibles en la web.

Es decir, el Mintel responsabilizó íntegramente a los clientes y usuarios de Banco Pichincha. “Lo importante es que NO se entregue ningún dato confidencial por teléfono, correo, o ningún otro medio. Se debe desconfiar hasta no tener completa certeza”, escribió la cartera de Estado a pesar que los clientes no son responsables de la filtración.

Primera Plana intentó mantener comunicación la Asociación de Bancos Privados del Ecuador para conocer su postura. Sin embargo, respondieron que la única información que poseían era la emitida oficialmente por Banco Pichincha y que su vocero oficial no “estará emitiendo comentarios”.