COMUNICACIÓN BCR

Once preguntas sobre el ‘hackeo’ al BCR

¿Cuál es el interés de algunas personas en “promocionar” este ataque y hacer una campaña de miedo contra un banco en específico?

Por: César Bravo.

A pesar de ser un crítico de las malas actuaciones de los gobiernos y distintos casos de corrupción, también hay momentos donde esa actitud crítica debe usarse para analizar las acciones que buscan afectar nuestro país o a sus instituciones.

Desde hace meses se ha llevado a cabo una intensa campaña de extorsión contra uno de los bancos más emblemáticos de este país, un banco que, si bien es cierto, ha estado en el ojo del huracán durante los últimos años, también es una entidad que nos pertenece a todos los costarricenses. Tenemos la responsabilidad de defenderla.

Mi objetivo no es darle una posición respecto a este hackeo, mi verdadera intención es ofrecerle una serie de factores objetivos −y con base tecnológica− para que usted, desde la comodidad de su casa, saque sus propias conclusiones.

1. El grupo de hackers asegura que tuvo la posibilidad de provocar grandes daños al BCR. Sin embargo, en su comunicado aclara que no lo hicieron porque el “daño sería muy grave” para esa institución.

2. Desde hace meses este grupo de hackers −que se autodenomina Maze− afirma tener pruebas de haber accedido a los sistemas de bases de datos de las tarjetas de débito y crédito del BCR. Maze dijo haber enviado las pruebas al banco en varias ocasiones sin recibir respuesta. Aquí salta una pregunta: ¿Realmente la gerencia del banco recibió prueba fehaciente de dichos accesos? Si es así, las autoridades competentes no tardarán en confirmar el hackeo y aplicar todo el peso de la ley sobre los involucrados, incluyendo las penas establecidas en la Ley de Delitos Informáticos.

3. ¿Creen ustedes que los jerarcas, así como todos los encargados ciberseguridad, redes y sistemas del banco se quieran exponer a una pena de cárcel solo por no admitir que fueron hackeados? Recordemos que fue el mismo BCR el que puso esta amenaza en conocimiento de la Fiscalía, la cual no dudo va a redundar en un exhaustivo trabajo de investigación.

4. ¿Cuál es el interés de algunas personas en “promocionar” este ataque y hacer una campaña de miedo contra un banco en específico?

5. Al inicio se le informó a la ciudadanía que el BCR había sido hackeado desde finales del 2019, manchando el nombre de la institución y creando pánico entre sus clientes. Sin embargo, la reciente publicación de las “pruebas” −una base de datos con números de tarjetas (la mayoría vencidas), entre otras informaciones− muestra que se trató de un ataque a un procesador de tarjetas y no directamente al BCR, y que ese ataque sucedió en el 2017, no a finales del 2019 como querían hacernos pensar.

6. El archivo expuesto con los números de tarjetas muestra datos que corresponden a plásticos de varios bancos nacionales e internacionales, entonces, ¿por qué se ataca sólo al BCR?

7. Estas pruebas pueden parecer convincentes para el público, pero, −aquí les revelo un secreto de seguridad bancaria que todos deberíamos conocer− ¿sabía usted que cualquier persona puede capturar esa misma información con solo poner un teléfono celular cerca de su bolso o billetera? Las tarjetas con tecnología contactless están enviando la información de su tarjeta al “aire” en tiempo real, es decir, que con solo programar una aplicación “hechiza” en un celular y acercarla a su billetera, yo mismo podría capturar los datos de su tarjeta. Me refiero al número completo del plástico, la fecha de vencimiento, entre otra información.

8. Si el objetivo de los que están promoviendo este ataque en Costa Rica es “ayudar a la población” entonces, ¿por qué mejor no promover soluciones a vulnerabilidades conocidas que afectan todas las tarjetas?

9. Si este grupo de hackers es tan “noble” como se hacen pasar, entonces, ¿por qué mejor no expusieron la información, por ejemplo, de los correos electrónicos del “cementazo”?

10. Al parecer algunas personas se apresuraron en crear aplicaciones donde usted puede consultar si su tarjeta fue vulnerada, mi pregunta es: ¿qué sentido tiene darle los datos de su tarjeta a un tercero para que este verifique si fue hackeada?

11. ¿Es realmente coherente crear este tipo de miedo en la sociedad en medio de una pandemia?, ¿quiénes ganarían y quiénes perderían ante la histeria colectiva que llevaría a cientos de personas a retirar depósitos y cerrar cuentas por desconfianza?

Recuerden los cibercriminales son oportunistas y utilizan el miedo y el sentido de urgencia para lanzar sus ataques −algo muy similar a lo ocurre con quienes crean noticias falsas en redes sociales−. Decirle a la ciudadanía, en plena pandemia, que su dinero esté en riesgo por un ataque a su banco suena, de primera entrada, como un escenario perfecto para crear una extorsión (máxime cuando esa entidad ha sido recientemente cuestionada y su credibilidad puede no ser la mejor).

Espero que estos argumentos le sirvan para que pueda evaluar de la manera más objetiva lo que está pasando y así tomar las mejores decisiones.

__________________________________

Artículo de opinión, publicado en la versión web del periódico El Financiero el 26 de mayo del 2020.

El autor es: Ingeniero en Sistemas, Máster Inventor, Master en Ciber Seguridad (con la más alta distinción: Summa Cum Laude). Certificado como Expert Project Manager en IBM, PMP, ITIL, Scrum Master (SMC), Scrum Developer (SDC), Scrum Product Owner (SPOC), Agile Expert (AEC) y IoT Developer. Además Cybersecurity Program Manager en IBM, encargado de crear/administrar los programas y proyectos de Ciberseguridad para IBM en Estados Unidos y Canadá. Adicionalmente es el PM Profession Leader para IBM CR.

Miembro del consejo evaluador de Patentes en CyberSeguridad para IBM (WorldWide). Profesor/Tutor Universitario, Creador del Modelo Madurez en Ciberseguridad (ECM2) y co-autor del RedBook sobre aplicaciones cognitivas de IBM. Apasionado por la tecnología y robótica, Ganador del IoT Challenge en IBM, actualmente trabaja con investigadores de todo el mundo en el desarrollo de nuevas tecnologías y patentes en el campo de IoT, Computación Cognitiva, Ciberseguridad, Blockchain, entre otros.