CorreosChile negó que la masiva filtración de datos bancarios revelada este miércoles, que afectó a al menos 14 mil usuarios, haya salido de sus sistemas.
A través de un escueto comunicado, aseguraron que “después de haber hecho una responsable y acuciosa revisión de los procesos internos y un análisis junto al proveedor externo confirmamos que la empresa no tiene responsabilidad en la filtración de datos de tarjetas de crédito”.
Indicaron que seguirán atentos, “monitoreando sus sistemas y servicios e informando permanente y oportunamente como lo ha hecho hasta ahora”.
Consultados respecto del sistema de su casilla en Miami cuya vulnerabilidad fue cuestionada por expertos, sostuvieron “que no se hizo ningún cambio” en éste, sin dar mayores explicaciones.
Y, en efecto, la vulnerabilidad persiste.
El ingeniero chileno Javier Godoy Núñez, tras crearse una cuenta en la Casilla Miami y registrar los datos de su tarjeta, pudo acceder al mismo código que fue inicialmente registrado en un pantallazo por el informático Fernando Lagos.
Según explicó anteriormente a BioBioChile, el peligro de esto radica en el factor humano.
“¿Qué pasa cuando una persona tiene acceso a esa cuenta?”, cuestionó el experto. “En una empresa el gerente, los secretarios, tienen acceso a la cuenta pero no a la tarjeta, pero ¿que pasa si se meten a la Casilla Miami y se encuentran con que pueden acceder a todo eso?”.
Carlos Oliva, desarrollador de software independiente y miembro de la consultora Sigma 5, coincide con esta visión.
“En definitiva, la API (sistema que permite comunicar datos hacia otras aplicaciones) en sí no es una prueba de que se hayan filtrado los datos desde ahí, no presenta vulnerabilidades aparentes así de buenas a primeras, pero sí es evidencia de que hay poco resguardo de los datos”, explicó.
Por ejemplo, “la contraseña no la guardan encriptada (lo sé porque la API la devuelve) y el CVV (código de seguridad) de la tarjeta no debiesen guardarlo, sin embargo todo eso sucede”.
“Basta con que alguien, ya sea de la misma empresa o de afuera, logre acceder a la base de datos para que pueda robarse todo sin mayor escándalo”.
