Tras un ataque de ransomware, donde la mayoría de los archivos del dispositivo son encriptados hasta no recibir un pago en criptomonedas, el mayor riesgo parece ser perder esos valiosos datos. Sin embargo, los hackers han descubierto que esto no es así del todo para las empresas, pues uno de sus mayores miedos es que esos datos se filtren al público.

El grupo de hackers responsable por el ransomware Maze —antes conocido como ChaCha— decidió aprovechar esta debilidad cuando uno de sus objetivos, el Banco de Costa Rica (BCR), se negó a pagar el rescate solicitado tras repetidas intrusiones en sus sistemas.

Como consecuencia, ahora mismo y según verificó BleepingComputer, los hackers liberaron 2 GB en una hoja de cálculo que contenía los números de las tarjetas bancarias Visa y Mastercard de numerosos clientes del BCR. Solo en las capturas de pantalla que acompañaron al anuncio pudieron listarse hasta 50 números de tarjeta filtrados.

Pero esto no es todo. El grupo Maze asegura haberse infiltrado en los sistemas del banco desde agosto 2019, y luego haber repetido el ataque en febrero de 2020 solo para comprobar si su seguridad había mejorado. Según ellos, se toparon con un resultado decepcionante y advirtieron de ello en un anuncio público fechado al 30 de abril de este año:

“Esta información se puede vender fácilmente en el mercado negro y ganar unos cuantos millones de dólares. Pero el equipo de Maze no está vendiendo la información privada al mercado negro ni robando dinero de los usuarios. Estamos tratando de alertar a las personas y a las instituciones financieras sobre la escasa seguridad. Estamos tratando de enfocarnos en las brechas de seguridad que afectan no solo al Banco BCR, sino también a otras instituciones financieras cuya tarjeta de crédito fue procesada por el Banco BCR, que no se preocupa por la seguridad de los fondos de otras personas”.

En ese mismo anuncio, los hackers afirmaron tener en su poder al menos 11 millones de credenciales de tarjetas de crédito, de las cuales unas 140.000 pertenecían a ciudadanos estadounidenses. Acusaron al BCR de solo querer más dinero por parte de sus clientes y amenazaron con publicar esos millones de credenciales si no recibían respuesta de la institución.

Publicidad
Continúe leyendo a continuación

Todo indica que han cumplido esa amenaza. Previamente, fueron filtrados unos 240 números de tarjetas de crédito, aunque sin los últimos cuatro dígitos; solo a modo de advertencia. No obstante, el tiempo ha transcurrido y el grupo Maze considera que el BCR no ha tomado acciones de ningún tipo en su seguridad, más allá de denunciar ante las autoridades. Es por ello que decidieron realizar esta nueva filtración y un poco más cada semana.

¿No hubo hackeo?

Por su parte, el Banco de Costa Rica, de propiedad estatal y uno de los más importantes de la región, emitió un comunicado al respecto a principios de mayo. En éste negó “de manera rotunda” sus sistemas internos hayan estado en peligro en algún momento.

“A raíz de publicaciones extraoficiales e informales que han circulado en redes sociales se realizó una exhaustiva verificación de la plataforma tecnológica y rotundamente confirmamos que los sistemas de la institución no han sido vulnerados. Asimismo, activamos nuestros protocolos, incluyendo los enlaces con otras entidades especializadas nacionales e internacionales y lo que se determinó es que se trata de un intento de extorsión”.

Un comunicado más reciente, con fecha del 22 de mayo, aseguró que las medidas de seguridad se han incrementado y el caso se encuentra en investigación judicial. De nuevo, el banco afirmó que no hubo violación a sus sistemas:

“Luego de múltiples análisis realizados por especialistas internos y externos en seguridad informática, no se ha encontrado evidencia que confirme que nuestros sistemas hayan sido vulnerados. El seguimiento permanente de transacciones de nuestros clientes confirma que ninguno se ha visto afectado”.

Pese a todo, BleepingComputer confirmó que los números de tarjeta publicados por los hackers son válidos y provenientes del BCR, aunque puede que no estén siendo utilizados. Solo en lo próximo podremos notar el alcance de las consecuencias de esta posible filtración.