Blogs
Martes 31 julio de 2018 | Publicado a las 13:28
El ciberataque a bancos chilenos explicado con peras y manzanas
Publicado por: Eric Melillanca Torres
¬ŅEncontraste alg√ļn error? Av√≠sanos visitas

El 25 de julio, poco antes de las 08:00 horas, un grupo que se hace llamar ‚ÄúThe Shadow Brokers‚ÄĚ publicaron en su cuenta Twitter que se encontraban disponibles para descarga un listado de usuarios de tarjetas de cr√©dito de Banco de Chile.

Recién en la tarde, luego de rumores en redes sociales y la confirmación de la Superintendencia de Bancos e Instituciones Financieras (SBIF), diversos medios publicaron la noticia sobre las 14.000 cuentas afectadas y la noticia corrió como el viento, también los miedos.

Diversos medios informaron que todos los datos capturados por los atacantes eran 14.000 tarjetas y que si no te encontrabas en ese listado, te podías quedar de lo más tranquilo.

¬ŅT√ļ crees que un grupo de ciberdelincuentes se dar√° todo el trabajo que implica acceder a los datos de instituciones financieras solo para publicarlos como travesura?

La respuesta est√° en los mismos tuits, en un ingl√©s no muy complejo en la cuenta Twitter @brokers_shadow. Para que todos puedan entender, incluidos quienes no tienen cuenta corriente, lo intentar√© explicar en f√°cil, con pi√Īones.

Para realizar una compra por internet utilizando la tarjeta de cr√©dito se requieren cuatro datos: el nombre del titular, el n√ļmero de la tarjeta, la fecha de vencimiento, y un c√≥digo de seguridad de tres d√≠gitos que se encuentra en la parte posterior de la tarjeta.

Esos son justamente los datos que algunos vieron en el archivo de texto de los 14.000; por ende, cualquiera que tenga estos cuatro datos puede realizar transacciones cargadas a la cuenta de otra persona.

TheShadowBrokers | Twitter
TheShadowBrokers | Twitter

Los atacantes ofrecieron 4 packs a distintos precios, el más económico a 20 BTC (Bitcoins) que equivale a $104.547.030 con las respuestas básicas a cómo accedieron a Banco de Chile; hasta llegar al de 200 BTC, equivalentes a $1.045.470.304, que incluye a todos los bancos que operan en Chile además de las herramientas que utilizaron para acceder, con lo que los bancos podrían saber cuáles fueron las vulnerabilidades atacadas.

TheShadowBrokers | Twitter
TheShadowBrokers | Twitter

Los datos de 14.000 tarjetas fueron un POC, que en jerga del hacking quiere decir Prueba de Concepto (por sus siglas en ingl√©s: Proof Of Concept), explicado en simple es una prueba que lo que dicen tener, es verdad; en otras palabras, los 14.000 fueron una ‚Äúmuestra gratis‚ÄĚ de un total mucho mayor. ¬ŅCu√°ntas? No es posible saberlo hasta que alguien pague por el paquete de cuentas se√Īalado anteriormente.

Otra lectura al mismo hecho, indicado por algunos m√°s eruditos se√Īalan que podr√≠a tratarse de un caso de carding, una t√©cnica que implica la creaci√≥n de n√ļmeros ficticios de tarjetas al azar a partir de un n√ļmero m√°s reducido de tarjetas reales, y toda la venta de la base de datos no ser√≠a m√°s que un bluff.

Así, tenemos la visión más pesimista y más optimista al respecto.

Estos problemas les vienen pasando a los bancos desde hace tiempo y les seguirán ocurriendo; buena parte es su responsabilidad. No es raro encontrar a Ingenieros Comerciales, Contadores o Ingenieros Industriales tomando decisiones que toda lógica indica que corresponden a Ingenieros Civiles en Informática.

Son profesionales que pueden contar con todo nuestro respeto, pero ¡por favor! ¡pastelero a tus pasteles! Si tengo un problema de cáncer, iré donde un médico oncólogo y no donde un kinesiólogo, aunque sea el mejor del mundo.

Por otra parte, la gran mayor√≠a de las personas se informa a trav√©s de medios de comunicaci√≥n masivos. A las pocas horas de ocurridos los hechos, pr√°cticamente ning√ļn canal inclu√≠a a especialistas en el tema, no existi√≥ comprensi√≥n de las amenazas de los atacantes al reproducir la informaci√≥n, al punto que muchos creyeron que por no aparecer en los 14.000, estaba todo perfecto.

A la hora de presentar expertos en TV, de parte del sistema bancario, aparecieron economistas e Ing. Comerciales (de nuevo) a explicar un tema que no es de su competencia, dejando m√°s dudas que certezas.

En resumen, todo el pa√≠s ‚Äúdio jugo‚ÄĚ.

No es raro encontrar a Ingenieros Comerciales, Contadores o Ingenieros Industriales tomando decisiones que toda lógica indica que corresponden a Ingenieros Civiles en Informática.
- Eric Melillanca Torres

Lamentablemente, seguir√° pasando por la escasez de profesionales expertos en Ciberseguridad. Un profesional de esta √°rea es un Ingeniero en Inform√°tica que no se especializa en una √ļnica √°rea, sino que entienda de todas las √°reas de la inform√°tica (Sistemas operativos, Bases de datos, Ing, de Software, entre muchos otros) para luego iniciarse en Ciberseguridad. De ah√≠ su escasez.

Mis agradecimientos al Ingeniero Daniel Torres Melillanca, experto en Ciberseguridad, quien complementó la información que tuve a disposición al momento escribir esta publicación. Les recomiendo seguirlo.

Finalmente, no les diré lo que deben hacer, sí les diré lo que hice yo. Bloqueé mis tarjetas de crédito y solicité un nuevo plástico.

Tendencias Ahora