Los especialistas de una firma de ciberseguridad afirman haber encontrado a un hacker que vende documentación interna de Pagofx, el servicio de transferencia internacional de dinero de Santander. Lanzado en abril de 2020 con el fin de brindar a los clientes confianza total para el envío de activos, PagoFX es una de las implementaciones de tecnología financiera más importantes gracias a su capacidad de banca en línea de bajo costo y facilidad de acceso.
Este artículo ha sido actualizado desde su publicación original.
Según los reportes, el hacker habría filtrado 1.67 GB de 2292 archivos, incluyendo detalles relacionados con los datos de la aplicación móvil y banca en línea. Los incidentes de brecha de seguridad sin duda son muestra de lo vulnerable que son las sistemas, recordando los más de 50 bancos que han sido víctimas recientes de estas amenazas.
Los actores de amenazas venden las bases de datos de diversos bancos, que incluyen documentos como su infraestructura informática, esquemas de bases de datos, información sobre métodos de verificación KYC, material de capacitación de personal, además de detalles relacionados con el enrutamiento de pagos y documentos de detección de fraudes.
La información comprometida también incluye los procesos implementados por los diversos departamentos de la empresa. Una alerta técnica de seguridad cibernética emitida en conjunto por cuatro agencias federales, incluidos el Departamento del Tesoro y el FBI, menciona que este año se ha detectado un nuevo incremento en los esfuerzos de hacking con motivaciones financieras desplegadas por el gobierno norcoreano después de un periodo de casi nula actividad. Gran parte de los datos identificados por expertos de empresas de seguridad cibernética están disponibles públicamente, y casi todos es del tipo que los ciberdelincuentes compran y venden regularmente en plataformas de dark web.
Pero el hecho de que se encontraron 1.67 GB de documentos bancarios confidenciales a la venta a granel subraya la facilidad con que los delincuentes y adversarios extranjeros pueden utilizar esta información para encontrar vulnerabilidades o estafar los clientes de banco, como ha mencionado el FBI en repetidas ocasiones. Corea lo ha hecho recientemente, enviando correos electrónicos de phishing a clientes bancarios.
Por otra parte, los especialistas en ciberseguridad que detectaron este material señalan la facilidad con la que los hackers pueden acceder a estos datos: “Una enorme cantidad de datos de clientes bancarios está disponible para los ciberdelincuentes y adversarios extranjeros; en las manos equivocadas, esta información se puede utilizar para robar millones de cuentas bancarias y estafar a millones de usuarios a través de las redes sociales, phishing y estafas de mensajes de texto y telefónicos”.
Los documentos parecen ser de varios departamentos, especialmente del equipo de TI, por lo que los investigadores deducen que el hacker pudo robar estos documentos comprometiendo algún servidor ftp de documentos perteneciente al proveedor de la empresa . El año pasado, Scotiabank también se metió en muchos problemas cuando un grupo de hacking logró acceder su repositorio GitHub, pudiendo filtrar el código de aplicación móvil del banco.
Al monitorear los foros de dark web en busca de información sobre amenazas, los expertos de Bank Security encontraron al hacker autonombrado “Shitshow”, quien estaba ofreciendo los documentos a la venta. Los expertos en seguridad cibernética utilizaron identidades ficticias para obtener más información del hacker, incluyendo los detalles de una billetera en línea de Bitcoin para cobrar el pago.
Los expertos en ciberseguridad de IICS mencionan que las carteras de Bitcoin, instalaciones de almacenamiento virtual para la criptomoneda más utilizada, muestran públicamente las transacciones pero no las identidades de quienes las realizan. Según los expertos, si el banco quiere, pueden trabajar junto con las agencias gubernamentales para rastrear los pagos a esta billetera. La misma billetera seguramente se usa en otras estafas e incidentes de piratería.
La amplia disponibilidad de documentos y bases de datos confidenciales no es una problemática nueva, pero la idea de que un caché tan grande esté a la venta durante la pandemia, cuando todo el mundo depende de la banca móvil y en línea, subraya lo fácil que sería para los agentes malintencionados causar serios problemas. Los expertos en seguridad cibernética dijeron que el hacker estaba pidiendo $100 mil USD a cambio de acceso a la información comprometida. El hacker actualizó el precio y ahora está pidiendo solo $ 4 mil USD en diferentes foros.
Los documentos y bases de datos a la venta por permitirían a los actores de amenazas atacar a PagoFX y algunos de los clientes que estén utilizando estos servicios podrían verse afectados, incluyendo a los clientes empresariales.
Nadie tiene certeza sobre la autenticidad de la publicación encontrada en dark web, pero los investigadores han intentado contactar al banco para confirmar la autenticidad de los documentos filtrados y recibimos esta respuesta.
“PagoFX está al tanto de la situación, pero podemos garantizar a los clientes que nuestros sistemas no están en riesgo y que nadie ha accedido a información personal sensible ni de pagos. Nuestra infraestructura de pagos es segura y los clientes pueden utilizar nuestros servicios con normalidad”.
En México y otros países de Latinoamérica, muchos clientes del banco Santander sufrieron estafas telefónicas y han perdido millones. Estas personas incluso han conformado un grupo de Facebook para demandar al banco y muchas de estas personas han afirmado que los estafadores también tienen los detalles de los clientes cuando llaman y parece ser una llamada al centro de llamadas de un banco real como el que se muestra en el video de arriba. Esperamos que PagoFX verifique esta filtración y confirme su autenticidad para que los clientes no pasen por más problemas.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
