El grupo cibercriminal Maze, que aseguró a inicios de mes haber hackeado los sistemas de seguridad del Banco de Costa Rica (BCR), concretó horas atrás su amenaza de divulgar información referente a los números de tarjetas que fueron “sustraídos” y que asegura pertenecen al BCR.

Como recordarán el 5 de mayo el grupo emitió un comunicado en el que dijo:

"Probablemente el Banco de Costa Rica vive en su propia realidad (...) y no le importan sus clientes o la confidencialidad de la información”.

Maze aseguró que el primer ataque al BCR fue realizado en agosto del 2019 y aunque los protocolos vigentes exigen que la institución hubiese reportado esa vulneración a las autoridades, no lo hizo. El segundo ataque habría tenido lugar en febrero de este año y allí fue donde aseguraron haber sustraído credenciales de 11 millones de tarjetas de crédito, incluida información de las tarjetas e historial de transacciones.

El BCR negó en reiteradas ocasiones haber sufrido algún ataque y aseguró que toda la trama respondía a un intento de extorsión. El banco indicó entonces que no negociaría con Maze:

"Nuestros clientes no han sido afectados por la información que se atribuye es del BCR. Ni la infraestructura, ni los sistemas de información del Banco han sido vulnerados. Estamos en presencia de una extorsión y al igual que en el mundo físico, lo que pretenden los delincuentes es obtener un beneficio patrimonial ilícito, por eso el BCR no ha negociado ni va a negociar con ellos".

Con el paso de los días el tema quedó en el olvido, sin embargo, la noche de ayer, Maze hizo un nuevo anuncio:

Esteban Jiménez Cabezas, experto en ciberseguridad, y jefe de tecnología de la empresa de ciberdefensa ATTICYBER, dio a conocer el comunicado y lo tradujo:

Para nuestro gran pesar, los ejecutivos, empleados, reguladores, Visa y Master Card no están interesados en la violación de datos de la que hablamos durante un mes.

Nos disculpamos frente a todos los clientes de Banco BCR y todos aquellos que estaban utilizando sus servicios para publicar sus datos personales. Lamentamos que Banco BCR y los reguladores no se preocupen por sus clientes y su fecha personal.

No nos hacemos responsables del uso de los datos publicados. MazeTeam no se beneficia de los datos personales o comerciales que obtenemos de ninguna manera. Al publicar esos datos, estamos tratando de llamar la atención sobre el problema de la protección de los datos personales.

Cada semana se publicará una nueva base filtrada del Banco BCR”.

Implicaciones y recomendaciones

Aludiendo a la filtración, Jiménez Cabezas indicó: “Este hecho marca un antes y un después en el sistema financiero Costarricense pues se ubica como la mayor fuga de información conocida hasta el momento relacionada a un ciberataque en el país. Recomendamos a todos los clientes del BCR que se comuniquen con su institución bancaria de inmediato para que activen todos las opciones de seguridad de sus cuentas y se mantengan vigilantes”.

Jiménez Cabezas también explicó que que estas fugas no tienen un impacto inmediato “pues quienes filtraron la información ahora deben ponerla en las manos de quienes efectivamente podrían utilizar los números para hacer un fraude”.

Por esta razón el experto recomienda: “De aquí a los próximos tres meses se debe permanecer en un estado de alta alerta y el banco debe reforzar sus mecanismos de seguridad de cara a una potencial segunda, tercera o cuarta oleada de filtraciones”.

El experto conversó Delfino.CR y explicó los alcances de esta filtración:

Aludiendo al grupo de hackers, indicó: “Sabemos que Maze es un grupo bien financiado, pertenece a grupos medianos-grandes dentro de la élite de sombreros negros (cibercriminales) y están más que bien documentados los incidentes en los que han participado en el último año”.

Además, Jiménez Cabezas confirmó que ATTICYBER, junto a Bleeping ComputerClear Sky Cyber Security lograron identificar la amenaza desde abril: “Desde abril nosotros hicimos el contacto con el BCR para avisarles de posteos preocupantes en la deep web. Hicimos el anuncio, ofrecimos apoyo, pero el banco decidió manejarlo por su cuenta”.

Poco después Maze hizo la primera “advertencia” en la web regular y pública por lo que la amenaza trascendió en diferentes medios internacionales. La respuesta del BCR ya es por todos conocida.

El trabajo de ellos es demostrar poder pues estos diferentes grupos cibercriminales tienen competencia, una forma de demostrar poder es intentar humillar al banco. Al darse cuenta de que el BCR desmintió el tema de la fuga, su actitud cambió y se hizo mucho más agresiva”.

En su segundo comunicado Maze ya incluye información confidencial en aras de demostrar el alcance del ataque, pero una vez más el BCR negó que su seguridad estuviera comprometida. Así llegamos a este punto:

Lo que sucede el día de hoy es que cumplieron con la promesa de liberar las tarjetas sin restricciones, el archivo es de cerca de 2GB y contiene cientos de números tarjetas del BCR. El objetivo fue un procesador de pagos del banco, que registra cientos de miles de transacciones por mes”.

Continúa Jiménez: “Es claramente una campaña estructurada, responde a un trabajo de meses. Para el BCR no es inmediato el impacto. Este como cualquier producto de esta naturaleza se “ubica” en mercados donde se vende la información, en la deep web, hemos encontrado ofertas que van en rangos entre 7 y 20 euros”.

— ¿Qué pueden esperar los clientes del BCR?

— Algunos clientes empezarán a ver compras que no reconocen y transacciones que no hicieron en sus estados de cuenta en los próximos tres meses, durante los cuales recomendamos un estado de alerta. Recomendamos activar todas las características de seguridad de la cuenta incluyendo los seguros contra fraude, y preguntar al banco si su tarjeta aparece en la lista liberada y por supuesto hacer el cambio de plástico de forma inmediato en caso de estar en la lista.

Nosotros estamos trabajando en la lista (es inmensa y tiene mucha información) para preparar una herramienta que permita a la ciudadanía confirmar si su tarjeta está comprometida. Esperamos ofrecerlo al público en los próximos días, es lo correcto y lo que indica la ética”.

El experto hace hincapié en la trascendencia del ataque: “Esta vendría siendo la filtración más grande de la historia relacionada a un ciberataque en Costa Rica”. Y agrega: “Pedimos a todas las personas e instituciones que se enfoquen en apoyar a los clientes. Claramente el BCR está en un estado de negación, lo que es normal, esto nunca había pasado en el país y marca un antes y un después, pero ahora el objetivo debe de ser proteger a los clientes, a las personas”.

— El BCR sigue negando la filtración...

— La pregunta ya no es si existió o no una filtración. La filtración es clara, está documentada, tenemos datos de todo tipo para asegurar que hubo una filtración importante en el Banco de Costa Rica y por eso ahora los esfuerzos deben orientarse a la protección de las personas y el dinero de las personas.

El BCR continuará su investigación pero ya lo que ocupamos es ponerle una prioridad al cliente y que sepa que hay una amenaza hacia sus fondos y que soliciten al banco activar todos los mecanismos de seguridad para los próximos tres meses, durante los cuales esperamos un aumento en las transacciones fraudulentas”.

Reacción del BCR

En horas de la mañana de este viernes el Banco de Costa Rica subió un comunicado a su cuenta oficial de Facebook. En el texto, reitera que ya denunció a las autoridades el intento de extorsión y que la investigación sigue en curso.

Una vez más aseguró que no ha encontrado ninguna evidencia de que sus sistemas hayan sido vulnerados. “Luego de múltiples análisis realizados por especialistas internos y externos en seguridad informática no se ha encontrado evidencia que confirme que nuestros sistemas hayan sido vulnerados. El seguimiento permanente de transacciones de nuestros clientes confirma que ninguno se ha visto afectado”, dice el comunicado.

Si se realiza la consulta al sistema de soporte vía chat el BCR contesta:

“Entendemos su preocupación. En este caso la investigación judicial sigue en su curso. De parte del BCR las medias de control y seguridad para proteger a nuestros clientes se han extremado aún más y se confirma que ninguno de nuestros clientes se ha visto afectado por este caso. En el momento que se determine que la información es verifica se va a proceder con el protocolo ya sea con un reemplazo o bloqueos correspondientes a las tarjetas”.