Banco-Pichincha-10-2-2021

Hackers secuestran base de datos de Banco Pichincha y exigen pagar USD 30 millones en bitcoins

A las 15:53 del 9 de febrero, la cuenta @Bank_Security informó, por medio de sus redes sociales, que “un actor de amenazas afirmó haber robado 80 GB de información confidencial presuntamente relacionada con el Banco Pichincha, Visa Titanium, Diners Club y Discover, con sede en Ecuador” (texto orginalmente en inglés).

El hecho, si bien fue desmentido por el Banco Pichincha, expertos en el tema aseguran la validez de la información.

Un Ingeniero en sistemas y desarrollador, que prefirió mantener el anonimato, explica que el acceso lo realizó un hacker que busca réditos económicos. El ataque fue de tipo ransomware. Así, lograron entrar a una de las máquinas servidores del Banco Pichincha y secuestrar información. De acuerdo al Desarrollador, el hacker amenazó a la entidad financiera: “tienen 12 días para hacer un pago de USD 30 millones en bitcons”. Caso contrario, la amenaza incluye que, de no realizar la transferencia, el hacker publicará información más sensible.

De acuerdo a su advertencia, el hacker tendría en su poder más de 80 Gb de información. Pero, lo que publicaron en la plataforma Mega es de 80Mb. Es decir, ello no responde ni al 1% de información. Incluso, explicaron que los hacker podrían tener más información.

Tendrían tus números de cuenta de tarjetas de crédito. Si lograron obtener ese tipo de información, es probable que otro tipo de información a su vez pueda estar comprometida, como códigos fuente de aplicaciones o configuraciones de infraestructura que también suelen guardarse en servidores.

Ello, dijo, porque 80 GB implica un tamaño considerable sobre la cantidad de información que contendrían la o las bases de datos del Banco Pichincha afectadas. “Creo que incluso pudieron acceder al código de fuente. No van a remediarlo hoy sino en el transcurso del tiempo”.

No es el primer caso

El 16 de septiembre de 2019, el país conoció sobre la filtración de información de 17 millones de ecuatorianos. En ese número están incluidos 6,7 millones de niños.

Esta sería la segunda filtración masiva que ocurre en el país. “Se está exponiendo información personal, fecha de nacimiento, estatus, estado civil, números de tarjetas de crédito, una serie de información sensible. Lo vuelve muy grave desde el punto de vista de la privacidad”, indicó el Desarrollador.

Por ese motivo, criticó que en el Ecuador aún no exista una ley de protección de datos, siendo uno de los pocos países de la región que no cuenta con la misma.

“Nosotros estamos desprotegidos. El Banco es el único que puede tomar responsabilidad y acción en este momento. Para eso debería haber una ley de protección. Nosotros los usuarios, siendo los perjudicados en primera línea, somos quienes tenemos menos capacidad de defendernos. ¿Qué podemos hacer ahora? Estamos a expensas de lo que haga el banco que está en una posición de ocultar todo. Estamos en indefensión”, alertó.

Así mismo, dijo que la acción inmediata que debería tomar el banco es eliminar los números de tarjetas de crédito y cambiarlos. “Ahora mismo pueden estar haciendo miles de ataques a cada una de esas tarjetas de crédito. En un alto porcentaje se darán compras fraudulentas”, dijo

¿Todos los hackers extorsionan?

Según el experto en sistemas, no todos los hackers buscan réditos económicos o intervenir sistemas para hacer daño. Por el contrario, en el mundo siempre existen personas, sobre todo activistas, ex hackers que hacen pruebas de seguridad para encontrar vulnerabilidades. Su fin no es hacer mal sino reportar posibles falencias que pueden existir. Estas empresas lo hacen con ánimos de advertir y, en el fondo a veces pueden proponer consultorías en temas de seguridad. “No hacen un mal, buscan vulnerabilidades”, explicó.

Respuesta de Banco Pichincha

Primera Plana remitió un mail a Banco Pichincha para conocer sobre este hecho y las acciones que están tomando a favor de sus clientes. Acto seguido, Banco Pichincha respondió que gestionarían el pedido, pero que la comunicación oficial la expusieron en sus cuentas de redes sociales. Hasta el cierre de esta edición, no tuvimos una respuesta por parte de la entidad financiera para profundizar en el suceso.

En grupos de Telegram, se difundió una convocatoria para un experto en IT Security. Este medio de comunicación no logró verificar la autenticidad de la convocatoria que preveíamos preguntarlo en la entrevista exclusiva.