Como informamos ayer el grupo cibercriminal Maze, cumplió con su amenaza de liberar información sensible concerniente a tarjetas de crédito y débito del Banco de Costa Rica.

Delfino.CR conversó con distintos expertos en seguridad informática costarricenses quienes solicitaron el anonimato pero confirmaron que en efecto el documento liberado contiene información comprometedora que pone en riesgo a los tarjetahabientes.

Si bien no se conoce el origen del “hack” se ha podido determinar que está ligado a un datáfono o procesador de pagos del BCR, visto que la información que contiene este primer documento (Maze ha anunciado que liberará uno por semana) incluye datos tanto de tarjetas de crédito como de débito y no solo del BCR, sino también de otros bancos del sistema nacional e inclusive de la banca internacional (probablemente tarjetas de turistas utilizadas en Costa Rica).

Usualmente, el modus operandi de este tipo de agrupaciones cibercriminales, es sustraer esta información y venderla después en la “deep web”. Quien compra la información “gemelea” la tarjeta y procede a hacer una compra onerosa para perpetrar la estafa.

En esta ocasión Maze no “comercializó” la información: la liberó en la “internet superficial” en vez de la “internet profunda”. Es decir, está disponible para quien quiera descargarla y utilizarla y por ende si su tarjeta aparece en la lista podría correr el riesgo de ser gemeleada.

Distintos grupos de ciberseguridad costarricenses se dieron a la tarea de descargar y “depurar” el documento originalmente liberado por Maze. Si bien la lista (que ya circula en distintos chats) no incluye información catalogada como sensible (es decir, la que liberó Maze, que incluye el track 2) sí incluye los números de tarjeta por lo que tomamos la decisión de no subirla en esta nota.

Sin embargo, tome en cuenta que esta información no solo ya es pública, sino que en el documento original de Maze viene acompañada de la data necesaria para duplicar las tarjetas. En resumen: si su tarjeta está vigente y está dentro del primer documento liberado por Maze su tarjeta podría estar comprometida.

Delfino.CR revisó el documento “depurado” y confirmó que distintas tarjetas vigentes de personas allegadas a la redacción aparecían en la lista.

Según los expertos consultados este primer documento liberado por Maze incluye el track 2 de más de 5 millones de registros de transacciones, por lo que indican que en caso de que su tarjeta aparezca en la lista lo más prudente es solicitar la cancelación y renovar el plástico. 

Atti Cyber ofrece herramienta de consulta

Esta tarde la empresa de ciberseguridad costarricense Atti Cyber comunicó que desarrolló una herramienta que permite a los tarjetahabientes “verificar sin ningún riesgo si sus tarjetas de crédito o débito han sido publicadas en algún sitio reconocido de hackers”. De este modo, usted puede hacer la consulta sin necesidad de digitar todos los números de su tarjeta.

 Para revisar con la herramienta de Atti Cyber puede ingresar a: inteligencia.atticyber.com. * Favor leer la actualización de esta nota al pie * .

Importante: Tome en cuenta que Maze seguirá liberando data cada viernes. Incluso si su tarjeta no aparece en el registro de esta herramienta corrobore con su banco que no ha sido comprometida. Atti Cyber confirmó a Delfino.CR que sigue trabajando en actualizar este servicio para seguir incluyendo información pues continúa procesando la data filtrada por Maze. El sitio de Atti Cyber no realiza tratamiento ni almacena datos personales de sus visitantes.

Actualización, 24-5-20, 11:00 a.m.: A quien reclama al banco indicando que encontró la información de su tarjeta comprometida el banco le contesta que la información incompleta de la tarjeta que se utiliza en esta herramienta basta para comprometerla, colocando la responsabilidad en el usuario. Es decir, quiere “dar a entender” que Atti Cyber es quien compromete la seguridad de la persona dueña de la tarjeta cuya información ya fue filtrada. El banco sigue negando que su información haya sido comprometida. Consultamos a Atti Cyber y nos indica que “La información ya fue comprometida, nosotros queremos ayudar a la gente. Solo podemos aconsejar que tomen la decisión que más les parezca”.

Actualización, 24-5-20, 12:00 p.m.: Debido a la decisión del banco de colocar la responsabilidad en el cliente y en Atti Cyber hemos decido eliminar el enlace directo a la herramienta pues el banco decidió cobrar los $10 por el reemplazo de la tarjeta a quien indique que confirmó la filtración de su tarjeta por este medio. Así las cosas, por ahora, lo único que pueden hacer los usuarios es esperar cualquier pronunciamiento oficial del BCR.