Para este momento ya casi todo el mundo está al tanto que tanto el BCR como la SUGEF aceptaron que hubo cierta exfiltración de datos de sus clientes. El cuándo y el cómo siguen sin conocerse pero se especula que el impacto es menor ya que la información no es actual y no hay indicios de intrusión, según informan las fuentes oficiales.

El propósito de este post por parte de la Comunidad de Seguridad DC11506 es compartir algunas ideas con respecto a que hacer y qué no hacer en este momento, y cómo manejar esta situación de la mejor manera para no exponerse demás.

¿Qué hacer?

Monitorear sus estados de cuenta o transacciones para asegurarse que no hay transacciones fraudulentas. Esto debería ser una práctica a realizar frecuentemente. Además de esto la mayoría de instituciones bancarias permiten configurar alertas en caso de transacciones sospechosas.

Con respecto a este caso en particular, a pesar de que el banco manifestó que la mayoría de la información liberada no es actual si usted tiene dudas, contacte al banco a través de sus canales oficiales o acérquese a una sucursal. Basado en las declaraciones del gerente del BCR, el banco estará haciendo reposiciones del plástico sin costo para las personas que así lo deseen.

¿Qué no hacer?

A consecuencia de la exfiltración de datos y de que estos han sido publicados en Internet varios sitios han sido creados con la finalidad de que usuarios puedan verificar si su número de tarjeta fue parte de la exfiltración de datos. La recomendación tanto del Banco como de la Comunidad es NO hacer uso de estos servicios de terceros por varias razones:

  • Se desconoce el uso que se le puedan dar a sus datos una vez ingresados. A pesar de que algunos de estos sitios cuentan con “políticas de uso de datos" no se debe confiar de éstas ya que éstos sitios no están regulados por ningún ente regulador o emisor de tarjetas.
  • Sitios de este tipo pueden ser utilizados para distribuir software malicioso aprovechándose de la necesidad de los usuarios finales de verificar si su información ha sido vulnerada.
  • Este tipo de sitios no oficiales pueden dar cabida para que personas con fines maliciosos hagan copias de los mismos (Phishing Sites), y los distribuyan entre usuarios finales. Estos sitios de “Phishing” podrían recolectar datos de los usuarios finales y hacer uso de ellos con fines maliciosos.  Esto es algo que ya se ha visto en el pasado y ha tenido serias consecuencias para los usuarios finales. Para más información acerca de Phishing puede referirse a la misma información distribuida por BCR.
  • Finalmente la mayoría de estos sitios de verificación pueden haber sido elaborados en cuestión de horas, por lo que no garantizan que hayan sido desarrollados con las mejores prácticas y estándares en materia de seguridad. Por esta misma razón varios de estos sitios son reportados en este momento como sitios maliciosos por varios Antivirus y motores de búsqueda.

Además de esto la base de datos filtrada por los cibercriminales ha sido publicada en varios sitios, incluyendo el popular sitio Github. La recomendación en este caso de nuevo es NO descargar ningún archivo de estos sitios a menos de tener un amplio conocimiento en manejo y análisis de malware. En muchos casos estos archivos pueden contener software malicioso, que podrían terminar dañando y/o accediendo a la información confidencial en su computadora.

Recomendaciones generales a nivel de uso de banca en línea:

  • De nuevo en caso de tener dudas asesórese a través de los canales oficiales del banco. Solicite una reposición de su plástico en caso de que lo considere necesario.
  • Para banca en línea evite la reutilización de contraseñas, asegúrese de que la contrasena de sus sitios bancarios sea única y difícil de adivinar. Hay múltiples tutoriales en internet y password managers como 1Password para generar y salvaguardar ésta información.
  • Únicamente acceda a páginas de banca desde equipos que sean de su entera confianza, deseablemente que tenga un antivirus instalado y actualizado y que tenga las últimas actualizaciones a nivel del sistema operativo.
  • Confirme que la conexión al sitio web sea válida y encriptada. Ésto va a asegurar que su conexión sea segura y sus datos no puedan ser capturados ni manipulados.
  • A pesar de que la mayoría de las instituciones bancarias ya lo solicita asegúrese de tener un segundo factor de autenticación, para el ingreso en línea sea a través de un token, aplicación generadora de códigos, clave dinámica o  de la forma que el banco lo sugiera. Aplique este mismo principio para sus cuentas de correo especialmente aquellas registradas con entidades bancarias.
  • Nunca dé información personal o con respecto a números de cuenta o tarjetas a través de teléfono, email o sitios web no autorizados. El banco nunca va a pedir su clave o clave dinámica por ninguna vía de comunicación electrónica.

Recordemos que la seguridad es responsabilidad de todos.

El mismo documento se puede encontrar aquí o el url completo: https://dc506.org/uploads/Pronunciamiento_Oficial_DC11506_CasoBCRMAZE.pdf

Hash md5 del archivo: 1bf442a5b9a1cc4a87471474887bc35a

-- DC11506