Nombres, fotos y códigos: Hacker habría filtrado 25gb de datos sensibles de la UPC

El 9 de diciembre de 2024, el hacker identificado como ExKase20 afirmó haber filtrado 25 gigabytes de información sensible perteneciente a la Universidad Peruana de Ciencias Aplicadas (UPC) en BreachForums, el foro de intercambio de información prohibida y sensible donde ocurrió la recordada filtración de datos de Interbank. Según el reporte de Dark Web Informer, la información comprometida incluiría nombres completos, fotos, códigos, correos electrónicos personales e institucionales, y números de teléfono de la comunidad universitaria.

El actor identificado como ExKase20 no es desconocido en foros de la dark web y se ha relacionado previamente a filtraciones de gran magnitud de entidades peruanas, como la exposición de los datos personales de más de 82 mil vecinos del distrito de Miraflores, que incluyó nombres completos, números de DNI, teléfonos y correos electrónicos de más de 800 funcionarios públicos.

Además, el mismo atacante habría filtrado la información de más de un millón de clientes de la tienda de ropa Topitop y estaría relacionado con las posibles brechas de seguridad en bases de datos de entidades como Reniec y Sistemas PNP.

Comunicado oficial de la UPC sobre la filtración de datos

En un comunicado emitido en la tarde del 10 de diciembre, la Universidad Peruana de Ciencias Aplicadas (UPC) confirmó estar al tanto de los comentarios sobre la presunta filtración y señaló que ha tomado acciones inmediatas para investigar lo sucedido.

¿Qué es BreachForums, el foro utilizado por ‘hackers’?

BreachForums es un sitio web clandestino conocido por ser un mercado de compra y venta de información robada, como credenciales de acceso, datos bancarios y herramientas de hacking. Aunque fue desmantelado en mayo por el FBI tras la captura de su presunto creador, Conor Brian Fitzpatrick alias ‘Pompompurin’, el foro retomó sus operaciones solo dos semanas después. La plataforma, que aparenta ser un sitio común con una navegación sencilla, permite a los usuarios acceder rápidamente a una comunidad dedicada al intercambio ilícito de datos.

En BreachForums se han compartido filtraciones de diversas entidades en países como Argentina, México, España y, recientemente, en Perú. Casos como la exposición de datos personales de 82 mil vecinos de Miraflores y la reciente vulneración de Interbank, donde se comprometió información de miles de usuarios, evidencian la magnitud del impacto y las fallas en ciberseguridad que afectan tanto a instituciones públicas como privadas.

Cómo enfrentar incidentes de ciberseguridad en tu empresa y proteger los datos de clientes

Estos revelan la complejidad de la ciberseguridad y la necesidad de que las empresas peruanas reaccionen rápidamente ante incidentes que afecten la información personal de sus usuarios. Alejandro Morales, líder en derecho y nuevas tecnologías de TYTL Abogados, ofrece recomendaciones clave para cumplir con las normas locales y proteger tanto los datos como la reputación empresarial.

1. Identificar y definir incidentes de seguridad: Un problema de seguridad ocurre cuando la confidencialidad, integridad o disponibilidad de los datos se ve comprometida. Accesos no autorizados, pérdidas o destrucciones afectan los derechos de los usuarios. La detección temprana permite actuar a tiempo para mitigar los daños.

2. Análisis forense y prevención: Morales subraya que las empresas deben realizar un análisis forense para determinar las causas del incidente y aplicar medidas correctivas. El informe generado, con un resumen ejecutivo y detalles técnicos, debe presentarse ante la Superintendencia.

3. Fortalecer la seguridad: Es fundamental mejorar las defensas, implementando autenticación multifactor, controles de acceso y respaldos regulares. Además, incluir cláusulas de confidencialidad en contratos con proveedores ayuda a reducir riesgos externos.

4. Capacitación constante: El personal debe recibir formación continua para gestionar incidentes. Según el Decreto de Urgencia 007-2020, contar con equipos preparados disminuye errores humanos y mejora la respuesta en sectores críticos, como salud y finanzas.

5. Transparencia con los afectados: Aunque no es obligatorio, informar a los titulares de los datos en casos graves refuerza la confianza del cliente y protege la imagen corporativa.