A fines del siglo pasado, era común comprar por pocos centavos las bases de datos de los clientes de los bancos peruanos en la Av. Wilson, una calle del centro de Lima, Perú. Todos sabían lo que ahí sucedía, pero nadie lograba controlarlo. Ante esta ilegal costumbre, donde los vendedores y compradores eran cómplices, se creó la Autoridad Nacional de Protección de Datos Personales (ANPD), que depende del Ministerio de Justicia (Minjus) y que impuso multas de hasta 100 UIT (S/ 5.150.000 o US$1,4 millones) en caso de faltas graves.

Mucha agua ha pasado bajo el puente desde entonces, pero el principal cambio es la forma cómo se comete este delito: ahora todo es digital y en línea. En julio del 2023, se detuvo a sospechosos de comercializar los datos personales de 30 millones de peruanos, en un caso conocido como “zorrito Run Run”, que remeció Lima en mayo del 2022. El grupo tenía 350 integrantes y cobraba hasta S/120 (US$ 32) por datos personales que incluían la firma y huella digital. Esta detención, sin embargo, no impidió que obtener datos personales de la Reniec (Registro Nacional de Identificación y Estado Civil) siga siendo muy sencillo, y se sigan comercializando en la dark web, o por Telegram y WhatsApp.

Empero, al cierre de octubre se ha vivido una historia de terror digna de Halloween. Todo empezó el 20 de octubre, cuando Plin, la billetera móvil que usa Interbank, tuvo un fallo. Algunos usuarios de dicho banco, que tiene unos ocho millones de clientes, experimentaron dificultades para ingresar a su aplicativo, pero el problema no pasó a mayores. No era la primera vez que el sistema “se caía”. El terror se desató diez días después, cuando circularon por las redes sociales mensajes supuestamente escritos por un hacker, anunciando que tenía los datos de tres millones de clientes del banco.

Pesadilla en los sistemas del banco

Cientos de historias terroríficas empezaron a circular por las apps de mensajería. Que habían despedido semanas antes a un jefe de seguridad, que un practicante entró a una página indebida y usurparon su clave –que además era muy sencilla–, que el secuestrador estuvo negociando dos semanas con el banco para que le pagaran US$4 millones por 3,7 terabytes de datos –que implican operaciones por US$1,700 millones–, que tenían el CCV de las tarjetas y credenciales APIs del banco, y más.

El pavor fue mayor cuando Interbank reconoció que le habían sustraído datos de sus clientes, cerró la atención presencial en sus agencias y el 31 de octubre interrumpió toda su operación durante un par de horas para “salvaguardar a sus clientes”, señalando que “tu seguridad es nuestra prioridad”. El CEO de Interbank, Carlos Tori, dio una declaración por YouTube denunciando que habían sido víctimas de un extorsionador, pidió disculpas y explicó que hubo dos problemas: uno operativo y otro de seguridad.

Aun cuando diversos expertos explicaron en la televisión que el dinero de los ahorristas seguía en el banco, y que la acción inmediata necesaria era cambiar las contraseñas o el plástico (las tarjetas de débido y crédito), mucha gente se llenó de miedo y amenazó con retirar su dinero de Interbank. De hecho, en una temida corrida bancaria, durante el fin de semana de inicios de noviembre, miles colmaron las agencias del banco buscando retirar su dinero o hacer el cambio de sus tarjetas.

El suceso produjo mucho pánico y confusión. El científico en computación Ragi Yaser Burhum, aclaró a Computerweekly que no se trató de un caso de ransomware, porque no hubo encriptación de archivos que se liberaron con el pago de un rescate. “Estamos ante un acceso indebido a la información sensible interna –como saldos y números de tarjetas de crédito– que ha sido copiada fuera del banco”, acotó.

¿Cómo fue eso posible? Ragi Y. Burhum comentó que la negociación real solo la conocen el usuario Kzoldyck, cibercriminal que difundió capturas de pantallas de la negociación en BreachForums, y el banco, que todavía no ha desmentido la publicación, lo cual induce a creer que las imágenes son verídicas. Muy probablemente hubo una tercera persona del banco involucrada, aunque no se sabe si por error o a propósito. “Es una fuga de información demasiado seria”, apuntó Burhum.

El hacker que afirma haber accedido a los datos de Interbank en el foro breachforums.st es presumiblemente un criminal que no habla español, y que tiene inglés como segundo idioma. El sujeto formaría parte de un grupo que hackeó las VPN del banco, no el almacenamiento interno en sí, estimó en un artículo el Dr. Julio Santiesteban Pablo, docente de Ciberseguridad de la Universidad Católica San Pablo.