Comunicate con uno de nuestros agentes x
Comunicate con Guardiana

Como podemos ayudarte?

ASFI reconoce “ataque de fuerza bruta” a tarjetas de débito del Mercantil Santa Cruz

0

Por Wálter Vásquez Asistiri para Guardiana (Bolivia)

Martes 17 de diciembre de 2024.- Los débitos no autorizados que sufrieron este año clientes del Banco Mercantil Santa Cruz (BMSC) fueron causados por “un ataque de fuerza bruta dirigido a través de comercios fraudulentos”, reveló la Autoridad de Supervisión del Sistema Financiero (ASFI).

La reguladora proporcionó la información a Guardiana el 29 de noviembre, un día después de que este medio publicara un reportaje titulado Hermetismo institucional frente a problemas de seguridad en tarjetas de débito.

¿Qué pasó? Gente que no había hecho determinadas compras con su tarjeta de débito, de pronto advirtió que le faltaba dinero por supuestas adquisiciones que aseguraba no haber realizado. En uno de los casos, la víctima identificó con sorpresa 48 pagos no reconocidos por un total de 6.734,38 bolivianos.

Eran “consumos no reconocidos a través de compras por internet en plataformas digitales del exterior” que se hicieron públicos en abril pasado.

Juan Fernando Rocabado, abogado de una de las víctimas y uno de los principales iniciadores de un movimiento que logró organizar vía WhatsApp a 1.000 posibles afectados en Santa Cruz, a 200 en Cochabamba, a 150 en La Paz y a 50 en Tarija, contó que ni el Banco Mercantil Santa Cruz ni la ASFI dieron antes, durante o después de los ciberataques una explicación clara sobre lo ocurrido. Esto fue corroborado por Hugo Miranda, oficial de Economía Digital de la Fundación Internet Bolivia (FIB), un experto en tarjetas electrónicas de la banca y otros afectados.

En el caso del Banco Mercantil Santa Cruz, “el problema se originó en un ataque de fuerza bruta dirigido a través de comercios fraudulentos”, informó la ASFI, en respuesta a un cuestionario enviado por Guardiana el 5 de noviembre.

Este método de piratería informática “consiste en intentos masivos y sistemáticos para identificar números de tarjetas válidos de la entidad, con el propósito de realizar transacciones no autorizadas a través de plataformas digitales”, explicó la reguladora, después de subrayar que “no existió hermetismo alguno respecto a la información solicitada mediante cuestionario” y que la demora en la respuesta obedece a las diversas tareas que la institución realiza.

“Los ataques de fuerza bruta son muy comunes y fáciles de realizar”, indicó Mauricio Sánchez, gerente de Ciberseguridad de Every TI y coordinador del Centro de Ciberseguridad de Bolivia.

Sánchez explicó que este tipo de ataques pueden concretarse principalmente a través de dos vías: con pruebas secuenciales para identificar los números de las tarjetas a través de plataformas comerciales que no cuentan con las medidas de seguridad necesarias y por medio de una filtración de números de tarjetas desde algún sector operativo a cargo de la seguridad de esos datos.

“Incluso en la Deep Web hay páginas que venden lotes de tarjetas que podrían ser de cualquier banco””, expresó.

Rocabado y otros afectados van más allá, pues sostienen que llegaron a identificar datos de lotes de tarjetas a la venta en grupos de Telegram, información que incluye el nombre del propietario, el número de la tarjeta y su código de seguridad.

“Una de las cosas que se hace en estos casos es comprar (la información de) algunas de esas tarjetas, para ver si están dentro de los lotes asignados al banco y si se tiene alguna filtración”, apuntó Mauricio Sánchez, quien trabajó en la Unidad de Investigaciones Financieras y es asesor de ciberseguridad y riesgo operativo en la banca.

Un análisis exhaustivo

Tras manifestar su compromiso con la transparencia y el derecho a la información, la ASFI reportó también que, durante abril y mayo de este año, el Banco Mercantil Santa Cruz “realizó un análisis exhaustivo de las transacciones sospechosas, lo que permitió determinar el número de personas afectadas y el valor de las transacciones no reconocidas, resultado de lo cual se implementaron acciones correctivas pertinentes, de manera inmediata”.

Fruto de este proceso, el Mercantil, que tiene más de 1 millón de clientes activos, informó que el “0,0069% del total de las tarjetas de sus clientes fueron afectados por estas transacciones”. No se precisó si se trata sólo de las tarjetas de débito o de todas sus tarjetas electrónicas. 

La ASFI puntualizó que ese banco “asumió la responsabilidad completa y llevó a cabo la devolución íntegra de los montos a todos los clientes afectados”.

Lo ocurrido en el Banco Mercantil Santa Cruz precedió a cambios técnicos al interior de ese banco, indicó Rocabado. Una vez que se comenzó a devolver el dinero perdido en consumos no reconocidos (esto ocurrió el 3 de mayo), la entidad eliminó la prehabilitación de sus tarjetas de débito; cerró el sistema de tarjetas y de compras por internet por aproximadamente una semana, alegando que se estaba “modernizando su sistema de seguridad” y bloqueó las transacciones en páginas web de comercios observados.

“Empezaron a hacer cosas que antes no hacían. Ahora, por ejemplo, mandan mensajes SMS al celular o llaman (al cliente) para preguntar si están haciendo esa transacción”, detalló el abogado.

De acuerdo con Nicole Sánchez, coordinadora de Protección de Datos de la FIB, el ajuste o reestructuración de sistemas o procesos vulnerados “lleva de 6 a 12 meses”, dependiendo del tamaño de la institución. “Es un trabajo minucioso que tiene que ver con la detección, prevención, cambio de procedimientos, implementación de seguridad y medidas de contingencia”.

Piratería informática

Ésta no es la primera vez que los bancos bolivianos afrontan ataques cibernéticos. El 23 de mayo de 2022, RedTiseg publicó en su sitio web el artículo “Ransomwere (secuestro de datos) en Bolivia”, que indicaba que “las entidades financieras bolivianas” sufrían ese tipo de ataques. En un segundo artículo difundido esa misma fecha, la empresa de ciberseguridad informó que “una organización boliviana está siendo atacada más de 1.500 veces por semana en los últimos seis meses”.

“El ransomwere, que principalmente entra por el pishing, ha estado impactando bastante en los últimos años a distintas entidades, no sólo del sector financiero”, reconoció Mauricio Sánchez.

En respuesta a estos ataques –según RedTiseg– la Comisión Técnica y de Riesgos de Asoban emitió una circular en la que pide a los bancos efectuar los controles y monitoreos necesarios para estar alerta ante cualquier situación inusual o ciberataques. De igual forma, pide la colaboración entre bancos para compartir información de este tipo de incidentes. 

Esta disposición, reconoció Mauricio Sánchez, “se ha intentado, pero no existe la madurez necesaria para socializar esta información y evitar que otros bancos se expongan” a esos ataques.

Con respecto al estado de la seguridad en la banca digital boliviana, ASFI indicó que junto al Banco Central de Bolivia (BCB) “han emitido disposiciones relativas a la seguridad de la información para la prestación de servicios financieros, mediante la utilización de instrumentos y canales electrónicos de pago, lo cual ha significado un esfuerzo continuo de seguimiento, monitoreo, y control, así como la implementación de mejoras y fortalecimiento de infraestructuras tecnológicas por parte de las entidades financieras”.

Asimismo, las entidades del sector “continuamente implementan controles adicionales con un enfoque de prevención de riesgos más que de mitigación, utilizando mecanismos operativos para afrontar posibles contingencias”, añadió la reguladora, que también recuerda que “se trata de un proceso de mejora continua y de innovación, sobre el cual se requiere un trabajo dinámico que contemple capacitación constante y un proceso de concientización de la población”.

Mauricio Sánchez reiteró que incidentes como los ataques de fuerza bruta se dan de manera regular y que lo que diferencia a las entidades financieras es el “grado de exposición” que tengan a esa clase de piratería informática, lo que a su vez depende de los controles y medidas de seguridad implementados. 

“Todos estamos expuestos a este tipo de ataques. La diferencia está en cómo se encaran. ¿Y cómo se encaran? Asumiendo que puede haber existido un problema y respondiendo rápido a esa situación, para generar tranquilidad en los clientes”, mencionó el experto en seguridad de la información, auditoría forense informática y hacking ético.

En Chile y Brasil, bancos cinco veces más grandes que la mayor financiera de Bolivia informan a sus clientes si soportan este tipo de ataques, así como las medidas de control que ejecutan para enfrentarlos. Esto no sucede en Bolivia, pese a que estos sucesos son “regulares”.

Mauricio Sánchez, experto en seguridad de la información, auditoría forense informática y hacking ético

“En otros países, cuando hay un incidente informático –como el que le ha pasado al BMSC– hay un protocolo de información al público mucho más transparente y eficiente, para entender cuáles son las alternativas de recuperación, la activación de los seguros y demás. En Bolivia esa es una agenda pendiente”, coincidió Ismael Franco, representante legal de Startups Bolivia.

Búsqueda de cifras

No existen datos públicos en Bolivia sobre la cantidad de estos ataques en el sistema financiero. Para analizar la vulnerabilidad del sector a estos ciberataques, Mauricio Sánchez considera que “es necesaria información que no tenemos. La disponible no es una muestra representativa para lanzar datos que puedan beneficiar a la sociedad”.

En el sector privado, un acercamiento es realizado por el Observatorio de Delitos Informáticos de Bolivia, que en su Informe sobre el Cibercrimen de 2023 identifica en general 867 casos de fraude o estafa informática, 264 de phishing y 188 de hacking como se puede ver en el siguiente cuadro.

INFORME SOBRE EL CIBERCRIMEN DE 2023

OBSERVATORIO DE DELITOS INFORMÁTICOS DE BOLIVIA

C:\Users\Natalia V\Desktop\CEIBERDELITOS EN 2013 - ODIB.png

En el sector público, la entidad encargada de monitorear los delitos o vulneraciones informáticas es el estatal Centro de Gestión de Incidentes Informáticos (CGII), que en su último informe identifica 118 nuevos incidentes informáticos en el tercer trimestre de 2024, de los cuales 103 son de obtención de información, 9 de código malicioso y 6 de intrusiones.  

En el sector financiero, la ASFI dispone que las entidades financieras deben hacerle conocer todos los incidentes de piratería informática que enfrenten. Sin embargo, algunas entidades “a veces prefieren no hacerlo, por un tema reputacional”, reconoció Mauricio Sánchez. 

Sobre los incidentes ocurrido en entidades supervisadas, la reguladora explicó que “practica inspecciones especiales para identificar los controles de seguridad que pudieron ser vulnerados. Como resultado, se exigen planes de acción destinados a corregir las observaciones, mismas que son objeto de un riguroso seguimiento (…), para asegurar su implementación completa y prevenir la recurrencia de incidentes similares en el futuro”.

El experto en tarjetas electrónicas confirmó que el BCB y la ASFI controlan y revisan periódicamente “las herramientas y mecanismos” que cada entidad financiera y cada administradora de tarjetas electrónicas (Linkser y Red Enlace) implementan para evitar transacciones fraudulentas, “de manera que no se tenga eventos tan seguidos como se han venido realizando”.

“El fraude corporativo es algo muy latente, se ha incrementado bastante en los últimos años”, coincidió Mauricio Sánchez y precisó que los ataques más exitosos son los de phishing, porque están dirigidos al usuario, que es el eslabón más débil en la arquitectura de seguridad financiera.

El Mapa en Tiempo Real de Amenazas Cibernéticas de la empresa de ciberseguridad Check Point indica que, al 11 de diciembre de este año, el 15,6% de las organizaciones bolivianas en general están afectadas por botnets, el 2,7% por ransomware, el 2,2% por banking y el 0,1% por infostealer. 

C:\Users\Natalia V\Desktop\MAPA - CHECK POINT.png

El estado de la seguridad virtual en Bolivia

El Global Cybersecurity Index 2024, que mide el compromiso de 194 países con la ciberseguridad, ubica a Bolivia en un grupo (4) de países con puntajes “evolutivos” de entre 20 y 55, mientras que Brasil y Estados Unidos están en un grupo (1) de países que son modelos a seguir, con puntuación de entre 95 y 100.

C:\Users\Natalia V\Desktop\ÍNDICE.png

Mauricio Sánchez reconoció que casi todos los estudios de este tipo “muestran una misma tendencia” en el país. “No es que en algún informe vamos a salir top uno, pero tampoco vamos a ser los últimos”.

Sin embargo, explicó que tres aspectos suelen jugar en contra de una mayor ciberseguridad financiera: 

  • La falta de compromiso de la alta dirección con este tema, lo que de a poco se va superando.
  • La ausencia de inversiones necesarias para evitar ciberataques. “Muchos piensan que si no pasa nada en ciberseguridad no hay necesidades en esa área, cuando se está trabajando para que no pase nada”.
  • La formación de profesionales para aprovechar las nuevas tecnologías adquiridas. “De nada sirve tener un Ferrari, si nadie sabe manejarlo bien”.

“En el país hay buena tecnología, hay buenos profesionales. Pero hay que reforzar esos puntos para subir en ese tipo de estudios”. Además, “nos faltan leyes de protección de datos personales y de protección de la privacidad, un equipo de respuesta antiincidentes mucho más reforzado y estrategias nacionales de ciberseguridad. Es lo mínimo que deberíamos tener como país”, manifestó.

Un informe de la FIB ”sostiene que la ausencia de un marco normativo en protección de datos ha dificultado la protección y garantía de los datos personales de cara a actividades invasivas por parte de actores públicos y privados en casos como los robos bancarios y las estafas virtuales. 

Este panorama puede mejorar si se concreta una iniciativa impulsada por la senadora Silvia Salame. La legisladora conformó un equipo que ya tiene una propuesta inicial para un proyecto de ley sobre ciberdelitos, una normativa que supuestamente permitirá realizar denuncias efectivas por parte de las víctimas de estos hechos en cualquier entorno, no sólo en el financiero.

Salame prevé que este proyecto de ley será presentado al Senado a mediados de 2025. Ella anticipó: “A partir de enero, vamos a tener mesas de trabajo más grandes en las que se socializará el proyecto. No se olvide que se trata de modificar el Código Penal, por lo que se trata de un trabajo importante para su aplicación en las áreas de redes sociales, banca y activos digitales”.

El gerente de Every TI resaltó que el sector financiero ya cuenta con una arquitectura de ciberseguridad en los dispositivos, con antivirus y con herramientas holísticas, heurísticas y de inteligencia artificial para evitar ciberataques, pero el trabajo no termina ahí. 

“De nada nos sirve tener un equipo súper robusto con certificaciones internacionales, todos los estudios, buena preparación y experiencia, sí –como usuario– voy a seguir haciendo click donde no debo, abriendo correos que no tienen sentido o accediendo a páginas que pueden contener malware”. 

Hallan 7 plaguicidas en la coca de Cochabamba, 4 son altamente peligrosos

Noticia Anterior

También te puede interesar

Comentarios

Deja un Comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *