Robo de datos en Interbank al descubierto: así operó el hacker para extraer información de clientes del banco

Según una investigación de OjoPúblico, el ciberdelincuente que sustrajo datos sensibles de clientes de Interbank utilizó credenciales internas para acceder a un servidor de New Relic, una empresa tecnológica que presta servicios a la entidad financiera

Guardar
En el año 2023, la Policía Nacional del Perú (PNP) registró un promedio de 107 intentos de ciberataques por minuto.

Un informe de OjoPúblico reveló este domingo cómo un hacker, conocido en la dark web como “kzoldiyck” y posteriormente “m0riarty”, accedió a datos sensibles de clientes de Interbank a través del uso de credenciales internas para ingresar a servidores administrados por New Relic, proveedor tecnológico del banco.

El miércoles 30 de octubre, el ciberdelincuente publicó una carpeta con numerosos archivos. Uno de ellos, posteriormente retirado, mostraba que pudo acceder al servidor de la entidad mediante un script con credenciales, lo que sugiere que conocía detalles internos de la estructura (orden y forma) del servidor al que intentaba acceder, como movimientos bancarios de clientes del último año o el nombre de categorías específicas.

Expertos consultados por el portal de investigación dijeron que estos accesos están limitados a un grupo reducido de trabajadores y ciertos proveedores. Además, consideraron inusual que el atacante comparta este tipo de archivos, que estuvieron disponibles por un breve tiempo en línea antes de que los retirara.

La filtración del banco incluyó datos personales de millones de usuarios, como nombres completos, números de tarjetas, teléfonos, fechas de nacimiento, números de documento de identidad y detalles de transacciones bancarias. Los servidores implicados estaban a cargo de New Relic, una empresa estadounidense dedicada al monitoreo y mejora del rendimiento de sistemas digitales, que ya había sufrido un ataque cibernético en noviembre de 2023.

Una sede de Interbank en fotografía de archivo. Foto: Andina
Una sede de Interbank en fotografía de archivo. Foto: Andina

Esta plataforma de observabilidad permite a las empresas rastrear el funcionamiento de sus aplicaciones en tiempo real, identificar problemas y optimizar el rendimiento para mejorar la experiencia del usuario. Utiliza herramientas de análisis y visualización de datos para proporcionar información detallada sobre el comportamiento de las aplicaciones.

Según el reglamento de la Ley de Protección de Datos Personales, las entidades financieras deben controlar quién tiene acceso a bases de datos personales y reportar incidentes de seguridad a la Autoridad Nacional de Protección de Datos Personales. OjoPúblico verificó que Interbank no lo hizo.

Las normas de ciberseguridad, por su parte, requieren que se reporte a la Superintendencia de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones (SBS) intentos de robo de datos. Sin embargo, todavía no se ha confirmado hasta ahora si el banco informó oportunamente sobre alguna amenaza.

Agencias de Interbank registran largas colas luego de suspensión de datos. (Foto: Alejandro Aguilar)
Agencias de Interbank registran largas colas luego de suspensión de datos. (Foto: Alejandro Aguilar)

Ruta de la filtración

El ciberdelincuente creó su cuenta en el foro BreachForums el 18 de agosto de este año, después de haber vendido información de países como Egipto, Turquía e Israel, según el informe. En el caso de Interbank, comenzó a comercializar datos ese 30 de octubre. En su primera publicación, bajo el seudónimo “kzoldiyck”, anunció que tenía 3.7 terabytes de datos personales y accesos a cuentas bancarias. Además, incluyó un enlace oculto accesible con el pago de aproximadamente ocho créditos, obtenidos a través de criptomonedas.

Mientras los usuarios no podían acceder a los servicios financieros ―y algunos reportaban la recepción de notificaciones de movimientos bancarios―, la entidad confirmó que “un tercero” les había robado información para extorsionarlos, por lo que suspendió todos sus servicios durante horas para realizar actualizaciones en los sistemas. “El sector financiero en todo el mundo está enfrentando este tipo de situaciones deplorables por parte de delincuentes, a pesar de la rigurosa implementación de los más altos estándares de seguridad”, señaló Carlos Tori, gerente general del banco.

De acuerdo con el reportaje, posteriormente el delincuente cambió su apodo a “m0riarty” y publicó otros mensajes en el que anunciaba que la información se podía adquirir a través de Telegram, donde se comercializa información legal e ilegal. El 5 de noviembre, volvió a publicar que había recibido muchas solicitudes por la data robada y, por ello, ofrecía nueva información de clientes de Interbank y datos de otras empresas.

El portal verificó un último mensaje enviado el 7 de noviembre, en el que “m0riarty” ofrecía un archivo con 75 GB de información de clientes del banco con acceso libre. Interbank indicó que no daría declaraciones mientras el caso esté en investigación por la Autoridad Nacional de Protección de Datos Personales y la SBS.

Cronología del caso Interbank elaborada por el portal de investigación Ojo Público
Cronología del caso Interbank elaborada por el portal de investigación Ojo Público

El proveedor tampoco respondió a las consultas. Por su parte, el abogado Aníbal Quiroga, en representación del banco, señaló ante la Comisión de Defensa del Consumidor del Congreso que no se sabe desde dónde opera el criminal y será difícil ubicarlo. En tanto, el cuarto despacho de la Fiscalía en Ciberdelincuencia de Lima Centro inició diligencias preliminares contra los que resulten responsables del presunto delito de acceso ilícito de datos y sistemas informáticos.

Otros casos

La vulneración a la base de datos de Interbank se suma a otras filtraciones investigadas por la Autoridad de Protección de Datos del Ministerio de Justicia y Derechos Humanos en los últimos cinco años. El Registro Nacional de Identificación y Estado Civil (Reniec) y la Policía Nacional (PNP) ya enfrentan sanciones tras confirmarse la difusión ilegal de datos.

El informe recoge que, en 2022, la web ‘Zorrito Run Run’ ofrecía datos del Reniec y Superintendencia Nacional de los Registros Públicos (Sunarp), robados con credenciales del Ministerio de Energías, lo que llevó a una multa de 15.75 UIT para el ministerio por falta de control en las bases de datos. Un año antes, la PNP fue sancionada con 25.13 UIT por permitir la filtración de datos de antecedentes policiales, luego vendidos por Saeg Investigation.

Un caso reciente involucró datos de 82,000 residentes del distrito de Miraflores, difundidos mediante enlaces públicos municipales. Estas vulneraciones a menudo se deben al uso indebido de credenciales más que a hackeos directos.

Guardar

Más Noticias

Mario Cortijo comparó a Johnny Orosco con Cerati y The Beatles: “Es un iluminado y genio musical”

El actor, quien interpreta a Deyvis Orosco en la telenovela ‘Tu nombre y el mío’, expresó su admiración por el fundador del Grupo Néctar, destacando su talento musical al nivel de los grandes de la música internacional
Mario Cortijo comparó a Johnny Orosco con Cerati y The Beatles: “Es un iluminado y genio musical”

Julián Zucchi expone a supuesto ‘soplón’ de la producción de Magaly Medina: “Hoy te van a seguir”

El actor compartió chats en los que un presunto integrante del equipo de Magaly Medina le advertía sobre planes para seguirlo y obtener un ampay
Julián Zucchi expone a supuesto ‘soplón’ de la producción de Magaly Medina: “Hoy te van a seguir”

Bill Orosco arrasa en concierto con canciones de Néctar y no descarta reconciliarse con Deyvis Orosco

En su reciente presentación en Trujillo, el primo de Deyvis Orosco dejó claro su talento y humildad, mientras su disputa por el registro de su nombre como marca sigue latente. Seguidores le gritaban: “El heredero de la cumbia costeña”
Bill Orosco arrasa en concierto con canciones de Néctar y no descarta reconciliarse con Deyvis Orosco

Josetty y Génnesis Hurtado no declararán ante la Fiscalía por caso Chibolín: “La ley les permite abstenerse”

Las hijas de ‘Chibolín’, Josetty y Génnesis, no comparecerán ante la Fiscalía en la investigación por tráfico de influencias y lavado de activos, según su abogado Elio Riera
Josetty y Génnesis Hurtado no declararán ante la Fiscalía por caso Chibolín: “La ley les permite abstenerse”

Minsa lanzó telecertificación para facilitar el acceso a personas con discapacidad

Con el objetivo de mejorar la atención a personas con discapacidad, el Ministerio de Salud implementó un sistema virtual que certificará a más de 1.500 personas al año, eliminando barreras geográficas y económicas en el proceso
Minsa lanzó telecertificación para facilitar el acceso a personas con discapacidad
MÁS NOTICIAS