Economía
Jueves 26 julio de 2018 | Publicado a las 16:21 · Actualizado a las 17:37
La enorme falla de seguridad de CorreosChile por la que habrían filtrado los datos bancarios
Publicado por: Matías Vega
¬ŅEncontraste alg√ļn error? Av√≠sanos visitas

Comienzan a salir a luz las primeras pistas sobre el posible origen de la masiva filtración de datos bancarios que este miércoles afectó a 14 mil clientes de 12 bancos del país.

Los mismos responsables (que se hacen llamar TheShadowBrokers) dijeron que la informaci√≥n fue obtenida mediante los ‘portales de pago’ directamente asociados a los bancos.

Sin embargo, no especificaron cuales serían dichos portales de pago.

Todos los ojos están puestos ahora en Correos de Chile, luego de que usuarios acudieran a las redes sociales para manifestar una posible conexión entre sus datos robados y el servicio de Casilla en Miami de la empresa.

Este servicio permite a los clientes adquirir productos directamente en Estados Unidos, para ser posteriormente enviados a nuestro país.

Carlos Oliva, desarrollador de software independiente y miembro de la consultora Sigma 5, es uno de los especialistas que investigó esta posibilidad.

Seg√ļn relat√≥, “anoche contactamos a varios afectados que aparec√≠an en el listado y todos coincid√≠an con ser clientes del servicio de casillas de CorreosChile en Miami”.

Indagando, encontró que, de la misma forma, el sitio pide los mismos datos que fueron filtrados.

“Solicita directamente los datos de tarjeta de los usuarios, nombre titular, n√ļmero, fecha vencimiento, CVV (c√≥digo de seguridad) y nombre emisor, que son justamente los que se filtraron”, indic√≥.

Esta debilidad haría una diferencia con este servicio respecto de la gran mayoría de los comercios, dijo, puesto que estos tienden a operar directamente con Transbank a través de Webpay.

La misma empresa se manifest√≥ inmediatamente al respecto. En p√ļblico, confirmaron a trav√©s de Twitter que se encontraban investigando la situaci√≥n.

Más tarde, ante los cuestionamientos, dijo haber analizado la situación y descartó que la filtración haya tenido que ver con sus sistemas.

Sin embargo, hay varios motivos por los que los especialistas siguen sospechando.

Por ejemplo, en privado habrían eliminado el principal rastro que parece inculparles, pero que fue registrado por el informático Fernando Lagos en la misma red social.

El ingeniero chileno Javier Godoy N√ļ√Īez, quien actualmente trabaja en Estados Unidos como experto en comercio electr√≥nico, tambi√©n investig√≥.

Explica que efectivamente ellos tenían en la página un conector que otorgaba la posibilidad de modificar la tarjeta de los clientes que tenían iniciada la sesión y al mismo tiempo obtener la información de vuelta.

“Eso creo que pudo haber sido lo que obtuvo esta persona que lo public√≥ por Twitter”, dijo, refiri√©ndose a Fernando Lagos.

Indic√≥ que, si bien CorreosChile habr√≠a estado exponiendo la informaci√≥n de forma “segura”, mostrando s√≥lo los datos del usuario que ten√≠a su sesi√≥n iniciada, tendr√≠an una API (sistema que permite comunicar datos hacia otras aplicaciones) que permit√≠a ver la informaci√≥n sin tapujos.

Es decir, sin siquiera ocultar algunos d√≠gitos o mostrar s√≥lo los √ļltimos 4 como se suele hacer para evitar brechas de seguridad.

“Eso es peligroso porque ¬Ņqu√© pasa cuando una persona tiene acceso a esa cuenta?”, cuestion√≥ el experto. “En una empresa el gerente, los secretarios, tienen acceso a la cuenta pero no a la tarjeta, pero ¬Ņque pasa si se meten a la Casilla Miami y se encuentran con que pueden acceder a todo eso?”.

Calific√≥ esto como “una falla de seguridad enorme”.

“Lo chistoso”, sostuvo, “es que los de Correos se dieron cuenta de que en Twitter se divulg√≥ eso y de inmediato eliminaron toda referencia a esa API en el c√≥digo fuente de la p√°gina (lo que los usuarios ven)”.

Las cr√≠ticas a la cuestionada casilla no acaban ah√≠, ya que Godoy tambi√©n pudo ver reclamos de clientes a los que se hicieron cargos en sus cuentas tras usar el servicio. “Les salieron compras en otros lados que nunca ellos hab√≠an hecho con sus tarjetas de cr√©dito”.

Tendencias Ahora