Las bases de datos de los bancos BBVA y Santader, además de la del Instituto Mexicano del Seguro Social (IMSS) se vendieron en un foro el pasado 22 de enero.
De acuerdo a un informe de la Red en Defensa de los Derechos Humanos (R3D), la base de datos de BBVA tiene 3 millones de registros; la de Santander un millón y la del IMSS, 42 millones.
José Flores, de R3D, señaló que la empresa de ciberseguridad Seekurity fue quien dió con estas bases e informó que en la de BBVA se encuentra el nombre completo de la persona, dirección, número telefónico y RFC.
Mientras que, la base de Santander contiene los datos anteriores y el número de tarjeta de sus clientes. En el IMSS incluye datos más sensibles como el número de afiliación, CURP y salario base del trabajador.
«Accedimos al foro, que es público, y vimos que las bases de datos estaban ahí disponibles unicamente para descargas a las personas que están en el foro», dijo José.
R3D informó que el grupo Bank Security contactó al vendedor de estos datos y es una persona «que tiene una buena reputación dentro de los foros de dark web».
José Flores asegura que la filtración de estos datos puede ser por algún descuido de un empleado, como sucedió con la base de datos de Bansefi, donde el vendedor afirmó que recolectó los datos a través del correo de un empleado.
«En algunos casos los vendedores sí decían de donde venían las bases de datos, que es el caso de Bansefi, que es de las pocas que siguen arriba. Ese archivo dice que se recolectó del correo de un trabajador». Además, José comenta que las bases fueron bajadas «a raíz de la publicación que hicimos».
Por otro lado, el CEO y Socio fundador de la firma de ciberseguridad Nekt Group, Manuel Rivera, señala que es difícil precisar cuándo se hizo el robo de datos.
«Lo que sabemos es que un grupo de hackers han puesto a la venta esos datos en el dark web; no sabemos si se los robaron ayer, antier o hace 8 meses».
Rivera asegura que estos casos seguirán ocurriendo debido a que a la par de las actualizaciones de seguridad, los ciberdelincuentes se preparan mejor.
«En términos de seguridad cibernética los atacantes avanzan y las defensas deben avanzar. Las razones por lo que estos ataques continúan —y no vas a dejar de escuchar de ellos— es por que los bancos deben actualizar sus sistema de seguridad para defenderse de nuevas vulnerabilidades«
Además, Rivera comenta que los bancos deben hacer pruebas de vulnerabilidad cada vez que se hacen actualizaciones en su sistema operativo o con sus proveedores.
Sin embargo, por ley solo se le exige a las instituciones financieras una «prueba de penetración» por año, «deberían tener una prueba de penetración mensual o cada vez que cambien la versión de un software».
Respecto a la seguridad del gobierno, Rivera comenta que no se han tomado las medidas de seguridad necesarias para la protección de datos de los ciudadanos, justificando que son datos públicos, cuando es lo contrario.
«El gobierno ha estado mucho menos atento a las medidas de seguridad de protección de datos, están bajo una mentalidad de que no les va a pasar o que es inofensivo».
José dijo que en algunos anuncios del foro, se informaba que se podría vender para campañas, ya sea publicitarias o para campañas políticas, en medio de un año electoral.
Ambos expertos aseguran que en el peor de los casos, los datos pueden ser utilizados para hacer fraude, robo o robo de identidad.
La base de datos se puede vender toda o solo en partes, explica Manuel Rivera, «se avientan los datos a la dark web y te los compra quien necesita algún uso en particular».
AHORA LEE: 8 tendencias de ciberseguridad que te deben (pre)ocupar en 2021
TAMBIÉN LEE: Estos son los pasos que México debe seguir para fortalecer su ciberseguridad