Información confidencial, claves de acceso entre ellas las utilizadas por CiBanco para entrar al Buró de Crédito, así como información de clientes y sus contraseñas se encuentran hoy a la venta en la llamada "dark web" luego de que el banco fuera atacado hace una semana.
La semana pasada clientes de CiBanco se quejaban en redes sociales de que durante más de seis días no tuvieron acceso a sus cuentas, la institución financiera dijo a El Financiero el lunes de esta semana que "en algunos momentos de la semana pasada, tomamos la decisión de suspender los servicios y aplicaciones del banco, siguiendo de manera preventiva protocolos de seguridad", rechazando haber sido víctima de un ataque.
Sin embargo, este jueves en la llamada red profunda o "dark web" se ofertan ya una variedad de datos como usuarios y contraseñas del área de sistemas del banco que contienen información de los clientes, entre ellos el acceso al Buró de Crédito.
La información robada vía un Revil Rasomware, tiene expuesta también información como nombres de razones sociales y número de clientes.
Los ciberdelincuentes ofertan las claves de CiBanco para poder acceder a la información que maneja el Buró de Crédito y con ello podrían, ver toda la información de los registros de los clientes mexicanos.
De hecho, uno de los expertos de ciberseguridad que encontró la información, indicó que este jueves dio aviso al Buró de Crédito para que cambie las claves de acceso de CiBanco, ya que no tenían conocimiento de este hecho.
Brett Callow, analista de amenazas de la empresa Emsisoft, abundó que el grupo responsable del ataque se conoce como REvil o Sodinokibi. Sus otras víctimas incluyen a Travelex, Lion y Grubman Shire.
El impacto en el ataque que sufrió CiBanco o cuánta información obtuvieron no se puede conocer con precisión ya que debe comprarse, pero lo que es un hecho -dijo- es que lo que muestran debe poner en alerta a todos.
"A modo de trasfondo, los grupos de ransomware solían simplemente encriptar los datos de sus víctimas, pero, desde noviembre del año pasado, también los han estado robando. Usan la amenaza de liberar - o, en el caso de REvil, subastar - los datos robados como palanca adicional para extorsionar el pago".
En términos generales, indicó Callow, las tácticas y herramientas utilizadas por los ciberdelincuentes se han vuelto más sofisticadas, lo que les permite atacar con éxito a empresas más grandes. "Los grupos de piratas informáticos cuentan con mejores recursos que nunca, tienen acceso a los mismos conjuntos de herramientas que los gobiernos, y operan con casi total impunidad de la ley".
CiBanco reconoce intento de extorsión
CiBanco informó que los días que estuvo con un servicio intermitente y escalonado en algunos de sus servicios se derivó de un intento de intrusión en sus sistemas por parte de un grupo de ciberdelincuentes.
Los protocolos de seguridad del Banco funcionaron ante ataques masivos y repetitivos, por lo cual afirmó que "los sistemas operativos no fueron vulnerados. Lo anterior evitó que se hayan sufrido daños patrimoniales o materiales tanto para los clientes como para la Institución", por lo que se privilegió la seguridad por encima del servicio y por ello, la intermitencia durante días pasados en el servicio.
De acuerdo con el banco, dicho grupo delincuencial pretendió extorsionar a CIBanco, por lo que en apego a "nuestro código de ética, políticas de cumplimiento, prevención de lavado de dinero y financiamiento al terrorismo, se tomó la decisión de no negociar con los delincuentes", además de que dijo se presentaron las denuncias conducentes ante las distintas autoridades y jurisdicciones.
Por ello, al no acceder a la extorsión, "dicho grupo ha intentado generar un daño reputacional a CIBanco a través de la amenaza de divulgación y supuesta venta de información no sensible de nuestros clientes".