Banca asume la responsabilidad por filtración de datos
- El sospechoso, que aún es buscado por la justicia, sería quien robó la información a RedBanc, pero como no consiguió llevarse las claves de las tarjetas, robó un POS de una bencinera para probar fórmulas hasta dar con las claves.
Santiago, Chile. 14 junio, 2019. Esta semana se conoció la mayor filtración de tarjetas de crédito y débito que ha habido en el país, abarcando 41.593 plásticos, lo que representa un 0,2% del total de tarjetas que hay en Chile.
De todos modos, sólo hubo transacciones fraudulentas en 82 plásticos por $ 23 millones, es decir, un promedio de $ 280.000 por tarjeta.
No se trata de una brecha de ciberseguridad, como habría ocurrido en algunos casos del año pasado, sino más bien de un trabajador externo a Redbanc que robó información de la empresa en momentos en que se encontraba trabajando, por un plazo definido, para concretar un proyecto en el ámbito de redes de la compañía.
¿Cómo lo descubrieron? El OS-9 de Carabineros hace algunos meses estaba investigando a una red especializada en la clonación de tarjetas bancarias. El 1 de junio, el OS-9 detuvo a tres personas extranjeras. Durante el operativo se incautaron 170 plásticos en el sector del Mall Plaza Tobalaba, en Puente Alto.
Fue producto de esta diligencia que lograron dar con el robo a Redbanc de información de 41.593 tarjetas de crédito y débito de 13 instituciones bancarias y no bancarias. Pero la persona que sustrajo esta información se habría ido del país y la policía aún no da con su paradero.
Los pasos. La historia partió el 28 de mayo, cuando el sospechoso robó un POS desde una bencinera, en el cual probó durante días las nuevas tarjetas que imprimió con la información sustraída a Redbanc, de tal forma de dar con las claves de cada plástico, ya que en el robo de datos no logró sustraerlas.
El 6 de junio la policía allanó el domicilio de esta persona, pero no se encontraba en casa. Allí se dieron cuenta que trabajaba en Redbanc, por lo que se reunieron con los ejecutivos de la empresa ese mismo día y les contaron lo ocurrido.
Pese a que en ese mismo momento el ejecutivo estaba trabajando en las dependencias de Redbanc, no podían comentarle sobre la situación, pues el OS-9 aún no tenía una orden de arresto.
Por ello, ese 6 de junio disimularon, y le pidieron su notebook argumentando que podría tener un malware. Ese día, Redbanc comunicó a la CMF (Comisión para el Mercado Financiero) lo sucedido.
Al día siguiente, el ejecutivo no llegó a trabajar.
Según comentan fuentes conocedoras del proceso, el sospechoso tenía un currículum intachable: habría sido jefe de informática de una reconocida empresa, y trabajó en distintas instituciones financieras, por lo que no levantó sospechas al interior de la firma.
De todos modos, Redbanc ya tomó cartas en el asunto: contrataron a un perito forense para que haga un análisis interno, ayer presentaron una querella contra quienes resulten responsables, y tenían seguros comprometidos para este tipo de casos.
Los detenidos permanecen en prisión preventiva, la cual fue confirmada ayer por la Corte de Apelaciones de San Miguel. “La información que se logró recopilar fue por las diligencias inmediatas realizadas por la Fiscalía Sur y el OS-9. Eso permitió, mediante autorizaciones judiciales respectiva, la incautación de numerosa información que está siendo analizada por los funcionarios respectivos”, dijo Roberto Contreras, vocero de la Fiscalía Metropolitana Sur.
El senador del PPD (Partido por la Democracia) Felipe Harboe, consideró que «acá no hubo responsabilidad de los clientes, acá lo que hubo fue negligencia de Redbanc que contrata a un proveedor que no tenía las medidas adecuadas de ciberseguridad».
Sernac oficia a Redbanc y bancos se hacen cargo de la filtración de tarjetas
El Sernac ofició a Redbanc para conocer todos los antecedentes relacionados con la filtración masiva de datos de clientes de tarjetas de crédito y débito.
El Servicio solicitó a la empresa información respecto de las causas de la filtración, las instituciones que se vieron afectadas, el número de operaciones detectadas con patrón de fraude, los mecanismos utilizados para informar este incidente, la cantidad de reclamos recibidos y las medidas de acción implementadas para mitigar los efectos, entre otros antecedentes.
En paralelo, el presidente de la ABIF (Asociación de Bancos), José Manuel Mena, realizó una conferencia de prensa donde reconoció que “la responsabilidad en este caso le compete a un proveedor de la banca, pero al ser un proveedor de la banca, por supuesto que la responsabilidad es plenamente de la banca”.
En todo caso, llamó a la tranquilidad de los clientes afectados, que a la fecha son sólo 82, porque los bancos asumirán su responsabilidad en estos casos, dijo.
El ex subsecretario de Telecomunicaciones, Pedro Huichalaf, crítico la declaración del presidente de la ABIF comentando a través de su cuenta de Twitter que «le piden a los usuarios cuidar sus tarjetas y en el Parlamento que exista un seguro a todo evento pagado por sus clientes. Así no se toma en serio la ciberseguridad».
Por otro lado, los diputados UDI, Guillermo Ramírez y Jorge Alessandri, oficiaron ayer a la CMF por la filtración de datos bancarios. En el texto requieren conocer las medidas que se han adoptado desde 2018, sobre hechos de este tipo y el protocolo adoptado por este hecho en particular, además del procedimiento en general para este tipo de casos e informar si se están estudiando mejoras en las respuestas para los usuarios.