El pasado 30 de octubre, un delincuente cibernético detrás del usuario “kzoldiyck” anunció en Breachforums —un foro de la dark web (parte oculta de Internet accesible solo mediante navegadores especiales)— que había accedido a datos relacionados a las cuentas bancarias de más de 3 millones de clientes del Banco Internacional del Perú (Interbank), y que los estaba poniendo a la venta. Siete horas después, mientras los usuarios no podían acceder a los servicios financieros, la entidad –del grupo Intercorp, propiedad del hombre más rico del Perú—confirmó que “un tercero” les había robado información para extorsionarlos.
En esta investigación, un equipo de OjoPúblico detalla, a través de entrevistas con expertos en seguridad digital y el análisis de información difundida, la ruta que pudo estar detrás de la sustracción de información de los clientes del banco.
Ese mismo miércoles 30, el delincuente publicó una carpeta con una enorme cantidad de archivos: uno de estos –que luego fue retirado de la web– ofrece pistas sobre cómo pudo haber sido la ruta para ingresar a uno de los servidores del banco, administrado por un tercero.
En ese archivo se ve un script (parte del código de programación que detalla una orden) que describe el acceso a una base de datos alojada en la plataforma New Relic, proveedor de Interbank, a través de unas credenciales (usuario y password). El mismo documento revela que el atacante conocía detalles internos de la estructura del servidor al que intentaba acceder.
El delincuente conocía detalles internos sobre la estructura del servidor al que intentaba acceder".
New Relic es una empresa tecnológica con sede en Estados Unidos, dedicada a monitorear y mejorar el rendimiento de sistemas digitales. En noviembre de 2023 ya había sufrido un ataque cibernético: a través de sus boletines informó que le habían robado datos.
Los expertos consultados sostienen que es muy raro que un atacante comparta este tipo de información durante una filtración. Estos archivos estuvieron muy poco tiempo en línea. Luego, “kzoldiyck” los retiró.
La información del archivo vinculado a Interbank revela que el atacante contaba con la ruta y las credenciales del servidor donde estaba alojada data de movimientos bancarios, dispositivos y números telefónicos de los clientes del banco. Los expertos en seguridad digital señalan que el acceso a estas credenciales se limita a un grupo reducido de trabajadores de la entidad y ciertos proveedores.
SISTEMA. Los aplicativos y agencias de Interbank fallaron el mismo día que se filtraron datos sensibles de sus usuarios en la web.
Foto: Andina
El archivo también evidenció que el ciberdelincuente conocía detalles internos sobre la estructura del servidor al que intentaba acceder. En su código de búsqueda se pudo ver que incluyó el parámetro temporal (en este caso los movimientos bancarios de los clientes durante el último año), así como el nombre de categorías (columnas) específicas.
Esto —según las mismas fuentes consultadas— revela que es muy probable que el delincuente haya conocido, previamente, el orden y la forma en la que estaban resguardados los datos.
De acuerdo al Reglamento de la Ley de Protección de Datos Personales, las entidades públicas y privadas deben garantizar el control de las personas con acceso a bases de datos de información personal. Además, tiene que reportar a la Autoridad Nacional de Protección de Datos Personales cada vez que ocurran incidentes de seguridad digital con datos sensibles. Sin embargo, OjoPúblico verificó que Interbank no lo hizo.
En paralelo, las normas de ciberseguridad establecen que las entidades bancarias que operan en el país deben enviar reportes a la Superintendencia de Banca, Seguros y AFP (SBS) cada vez que sufren un intento de robo de datos de sus clientes. Hasta ahora, los representantes de esta entidad no han confirmado si Interbank avisó oportunamente que había tenido una amenaza.
La filtración y comercialización ilegal de información de los clientes de Interbank en espacios digitales, como la red social Telegram y foros de la dark web, no es el primer caso de este tipo en el Perú.
En los últimos cinco años, la Autoridad Nacional de Protección de Datos Personales ha investigado y sancionado filtraciones de información de entidades como el Registro Nacional de Identificación y Estado Civil (Reniec) y la Policía Nacional del Perú (PNP). Además, tiene un caso vinculado a la Municipalidad de Miraflores en investigación.
Filtración con credenciales
El pasado 5 de noviembre, el abogado Aníbal Quiroga León señaló —en representación de Interbank, ante la Comisión de Defensa del Consumidor del Congreso— que la entidad no sabe desde dónde opera el criminal que filtró la información de sus clientes. También dijo que, probablemente, será difícil ubicarlo.
OjoPúblico ha podido conocer que el ciberdelincuente creó su cuenta en el portal Breachforums el 18 de agosto de este año y que, previamente, había vendido información de países como Egipto, Turquía e Israel. En el caso de Interbank, de acuerdo a la evidencia recabada a la fecha, empezó a comercializar datos de los clientes el pasado 30 de octubre.
En su primera publicación, “kzoldiyck”, seudónimo que utilizaba por esa fecha en la dark web, anunció que supuestamente tenía 3,7 terabytes de datos personales y accesos a cuentas bancarias, que iría vendiendo por partes. En esa misma publicación, agregó un link oculto al que solo se podía acceder con el pago de un aproximado de ocho créditos.
Este es un mecanismo empleado por usuarios registrados en los foros de la dark web para hacer las compras de contenido digital. Para obtener los créditos, hay que hacer pagos con criptomonedas. Lo mínimo que se puede recargar es ocho euros, que equivalen a 30 créditos en esta plataforma.
En los días posteriores, el usuario —que cambió su apodo de “kzoldiyck” a “m0riarty”— publicó nuevos mensajes anunciando que se podía conseguir el contenido a través de su cuenta de Telegram, red social en la que se exhibe y comercializa información legal e ilegal.
MÁS DATOS. En los días posteriores a la filtración inicial, el ciberdelincuente respondió mensajes y publicó nuevos archivos, además de ofrecer registros de otras compañías.
Captura: Breachforums
El martes 5 de noviembre, a las 6:14 a.m., el delincuente publicó un mensaje más. Allí, aseguró que había recibido una gran cantidad de comunicaciones de interesados en la data robada y que, por eso, estaba poniendo a la venta nueva información de los clientes de Interbank. También, agregó, contaba con datos provenientes de otras empresas.
Hasta el cierre de este informe, el último mensaje de “m0riarty” correspondía a uno publicado el pasado jueves 7 de noviembre, con un nuevo link. Esta vez se trató de un supuesto archivo con 75 GB de información de clientes de Interbank con acceso libre.
Con apoyo de especialistas, OjoPúblico ha podido conocer que la información filtrada por este “tercero” fue conseguida con el uso de credenciales internas para ingresar a los servidores del banco —no fue un hackeo o un secuestro de los sistemas, sino una filtración—. Estos servidores estaban en posesión de New Relic, una compañía internacional dedicada al monitoreo y análisis de datos.
Esta empresa de tecnología describe sus servicios como una plataforma que ayuda a otras compañías a monitorear y mejorar el rendimiento de sus sistemas digitales, como sitios web y aplicaciones. Opera como una "sala de control" desde la cual se puede ver cómo están funcionando las distintas partes de una plataforma digital para identificar problemas y solucionarlos, antes de que afecten a los usuarios.
En los últimos cinco años, se ha investigado filtraciones a entidades como el Reniec, la PNP y la Municipalidad de Miraflores".
Hasta el momento, se ha podido conocer que la filtración abarca datos personales, entre ellos los nombres completos, parte de los números de tarjetas, teléfonos, fecha de nacimiento, los números del documento nacional de identidad y detalles de transacciones bancarias. El delincuente ha asegurado que también tiene contraseñas de tarjetas, transacciones por aplicativos, cuentas de empresas y más.
OjoPúblico contactó al área de prensa de Interbank para solicitar una entrevista con sus representantes. Solicitaron un cuestionario por escrito, pero, horas más tarde, indicaron que no darían declaraciones porque el caso estaba en investigación de la Autoridad Nacional de Protección de Datos Personales y la SBS y, en ese contexto, no podían “adelantar opinión”.
Entre las preguntas que le enviamos al banco les consultamos si reconocían como verdaderos el intercambio de correos electrónicos publicados por el atacante, el tipo de relación comercial con la compañía New Relic y si esta les reportó alguna anormalidad, en qué momento y día se dieron cuenta del robo de la información y si han logrado determinar la existencia de un presunto uso indebido de una credencial para acceder al servidor que almacenaba New Relic. Este medio también buscó los descargos de New Relic, a través de un correo institucional, pero hasta el cierre de este reportaje, no hubo respuesta.
El cuarto despacho de la fiscalía en ciberdelincuencia de Lima Centro inició, esta semana, diligencias preliminares contra los que resulten responsables del presunto delito informático contra datos y sistemas informáticos, modalidad de acceso ilícito, en agravio de Interbank.
Filtraciones similares
La vulneración a la base de datos de Interbank no es aislada. En los últimos cinco años, la Autoridad Nacional de Protección de Datos Personales ha investigado filtraciones a entidades como el Reniec, la PNP y la Municipalidad de Miraflores. Los dos primeros casos ya cuentan con una resolución de sanción, luego de confirmarse la existencia de plataformas que difundían ilegalmente datos personales.
En 2022, las autoridades intervinieron la página web conocida como “Zorrito Run Run”, donde se ofertaban datos personales del Reniec y de la Superintendencia Nacional de Registros Públicos (Sunarp). La indagación de la Autoridad Nacional de Protección de Datos Personales confirmó que esta había sido robada con el uso de credenciales entregadas al Ministerio de Energía y Minas (Minem).
La entidad fiscalizadora también reveló que el Minem no contaba con mecanismos de control para el acceso a la base de datos privados. Por eso, en 2023, sancionó al ministerio con 15,75 UIT por la infracción grave. Esto equivale a más de S/77.900.
Un año antes, la Autoridad Nacional de Datos Personal sancionó a la PNP por permitir la filtración de datos del Sistema Informático de Registro de Antecedentes Policiales (Sidpol). Después, los mismos eran comercializados por la empresa Saeg Investigation S.A.C., según la resolución de la entidad fiscalizadora.
Toda entidad bancaria debe reportar ante la SBS cualquier amenaza de robo de datos de sus clientes".
La investigación reveló que esta vulneración se produjo por medio de efectivos policiales que utilizaban sus credenciales para obtener la información y, luego, derivarla a Saeg Investigation. La PNP recibió una multa de 25,13 UIT por no cuidar adecuadamente los accesos a sus bases de datos. Esto equivale a más de S/115.000.
Otro caso reciente corresponde a la filtración de información personal de aproximadamente 82.000 personas del distrito limeño de Miraflores, como reportó La Encerrona hace un mes. Lo que se sabe, hasta el momento, es que el atacante difundió datos que obtuvo, presuntamente, por medio de enlaces que había hecho públicos la misma municipalidad. Actualmente, el caso es investigado por la Autoridad de Protección de Datos Personales.
Estos antecedentes revelan que no todas las vulneraciones corresponden a hackeos a los sistemas de las entidades, sino más bien al uso de credenciales de forma indebida. Algo que, luego, ocasiona la filtración de datos sensibles.
OjoPúblico también pudo confirmar que, tras el anuncio de la filtración de Interbank en Breachforums, otro usuario subió, en el mismo foro, la base de datos del Reniec. La data, que analizó este medio junto a especialistas, incluye información de 31 millones de peruanos, y fue actualizada por última vez hace cuatro años.
Reportes de amenazas
De acuerdo al Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad de la SBS toda entidad bancaria debe reportar ante esta cualquier amenaza de robo de datos de sus clientes.
OjoPúblico solicitó una entrevista con un vocero de la SBS. Aunque el área de prensa indicó que no brindarían declaraciones sobre el caso, precisaron que los reportes se hacen de manera interna y no se publican en la página web.
Por otro lado, el Reglamento de la Ley de Protección de Datos Personales establece que las entidades públicas y privadas deben llevar un control de los accesos a las bases de datos y registros de las interacciones con la información, para conocer la trazabilidad de los usuarios que ingresan.
Además, tienen que tener mecanismos de identificación y autenticación, para asegurar que no exista un mal uso de la información sensible. Esto, como se ha detallado previamente, no siempre se cumple.
Olga María Escudero Vílchez, directora de Fiscalización e Instrucción de la Autoridad Nacional de Protección de Datos Personales, indicó a este medio que, pese a que el Decreto de Urgencia 007-2020 establece que las entidades del sistema financiero deben reportar todos los incidentes de seguridad digital que involucren datos personales a la Secretaría del Gobierno Digital de la PCM y a la Autoridad Nacional de Protección de Datos Personales, Interbank no informó ninguna anomalía.
ADSCRITO. La Autoridad Nacional de Datos Personales es un organismo que pertenece al Ministerio de Justica. Actualmente, investiga la filtración de datos de clientes de Interbank.
Foto: Minjus
“A la Autoridad Nacional de Protección de Datos Personales no nos informaron, previamente, sobre ninguna brecha de seguridad”, sostuvo. Escudero Vilchez confirmó que la entidad se encuentra realizando diligencias preliminares para verificar cómo se produjo la filtración. Esta etapa dura tres meses y si, entonces, se declara como un caso complejo podría requerir alrededor de 45 días adicionales.
La especialista explicó que, de acuerdo a la Ley de Protección de Datos Personales, la entidad bancaria es la responsable del tratamiento de su información, aunque los servicios vinculados a esta hayan sido tercerizados. “El banco siempre será el responsable, a menos que se compruebe que un tercero realizó una actividad con los datos para los cuales no se le contrató”, dijo.
Por último, el Reglamento de Hechos de Importancia de la Superintendencia de Mercado de Valores (SMV) obliga a las entidades a reportar cualquier cualquier acto, decisión, acuerdo, hecho o negociación que puedan influir en la decisión de los inversores. Lo mismo ocurre con información relacionada a la liquidez, el precio o la cotización de los valores de la entidad.
El último reporte de un hecho de importancia de Interbank ante la SMV data del 22 de octubre y no tiene ninguna vinculación con posibles vulneraciones de información de sus clientes: corresponde a acuerdos adoptados en una junta de accionistas.
A la Autoridad Nacional de Protección de Datos Personales no nos informaron, previamente, sobre ninguna brecha de seguridad", dijo Escudero.
OjoPúblico solicitó una entrevista a la SMV, pero no hubo respuesta hasta el cierre de este reportaje. El economista Eduardo Recoba Martínez y el abogado experto en derecho digital Erick Iriarte Ahon consideran que, en este caso, no era necesario que la entidad informe a la SMV sobre el hecho, debido a que, financieramente, no sufrió una caída considerable.
“El Reglamento de Hechos de Importancia otorga la responsabilidad a cada emisor de hacer un análisis de materialidad y, en función de eso, determinar si un hecho es de importancia o no. En este caso concreto, tratándose de un banco tan grande, el hecho puede no ser significativo, dado el patrimonio que tiene. En casos anteriores tampoco se comunicó el evento mismo de la exposición de datos”, dijo Iriarte Ahon.
Este medio pidió entrevistas al Ministerio Público y a la PNP para conocer más detalles sobre el caso de Interbank. Desde la Fiscalía señalaron que iban a coordinar con un vocero, pero no se concretó. También se contactó telefónicamente al jefe de la División de Investigación de Delitos de Alta Tecnología (Divindat), el general Luis Huamán Santamaría. No hubo respuesta hasta el cierre de este informe.