Clientes de HSBC México reportan transacciones no autorizadas. ¿Brecha de datos en HSBC Latinoamérica?

Miles de usuarios del banco HSBC en México y América Latina reportan haber recibido cargos de entre 2 y 10 dólares en sus cuentas, situación que se ha repetido en algunas tarjetas de crédito recientemente activadas. A través de Twitter, los usuarios externaron su preocupación respecto a estos cargos, pues no estaba claro si este incidente es una falla del banco o está relacionado con algún problema de protección de datos.

Especialistas en ciberseguridad también mostraron su inquietud respecto a la forma en la que los bancos permiten transacciones de compañías en Europa o Estados Unidos cuando una cuenta se encuentra en México. Después de una llamada a HSBC México, fue revelado que el banco está pidiendo alrededor de 20 dólares para investigar estos cargos no autorizados, además de solicitar a los usuarios bloquear sus tarjetas, añadiendo un nuevo cargo de 7 dólares para emitir una tarjeta nueva.  

Aunque esta parece ser una situación bastante confusa para los clientes de HSBC, los expertos en protección de datos  aseguran haber encontrado la respuesta. Al parecer, un incidente de brecha de datos ha afectado al banco, por lo que es necesario contratar servicios de protección contra robo de identidad y otros fraudes.

Sin embargo, en situaciones como esta son los bancos los responsables de ofrecer a sus clientes estos servicios de protección de forma gratuita, usualmente por periodos de un año. En este caso, todo indica que HSBC se ha negado a reconocer la brecha de datos, pretendiendo que los usuarios se hagan cargo de pagar su propio servicio de protección de datos. Por si no fuese suficiente, el banco podría haber sido víctima de un nuevo incidente de seguridad como el acontecido en México y otros países de Latinoamérica en 2018, aunque HSBC no se ha pronunciado al respecto.

En 2018, HSBC publicó un comunicado asegurando que las cuentas bancarias de algunos clientes en E.U. habían sido hackeadas y que los hackers podrían haber accedido a información sobre estados de cuenta, transacciones, saldo, entre otros detalles financieros, además de detalles de identificación personal (nombres, direcciones, fechas de nacimiento, etcétera).

Supuestamente, el banco notificó directamente a todos los usuarios potencialmente afectados por este incidente: “La seguridad de nuestros clientes es un tema fundamental, para nosotros. HSBC lamente el incidente y asume la responsabilidad de proteger la información de los usuarios afectados, notificándoles sobre el acceso no autorizado y ofreciendo un año de monitoreo de crédito y servicios de protección contra robo de identidad”.  

Por ahora el banco no tiene claras las motivaciones de los atacantes, pues podrían vender esta información o incluso tratar de robar dinero de las cuentas ellos mismos. Acorde a un experto relacionado con el tema, durante este incidente fue utilizada una técnica conocida como relleno de credenciales, en la que los hackers recolectan datos de inicio de sesión expuestos en incidentes para tratar de obtener acceso a cuentas de banca en línea, perfiles de redes sociales o correos electrónicos.

“Hasta ahora HSBC ha revelado muy pocos detalles sobre el incidente”, afirma Alan Woodward, experto en protección de datos del Instituto Internacional de Seguridad Cibernética (IICS). “La investigación sigue en curso, por lo que el banco se encuentra implementando las medidas necesarias para proteger la información de sus clientes y mantener al tanto a las autoridades; dentro de poco, muchos detalles deberán ser revelados por el banco”.

Mientras concluye la investigación, se recomienda a los usuarios restablecer sus contraseñas de acceso a la banca móvil, además de notificar al banco cualquier transacción no autorizada. Si el banco continúa renuente a pagar por la protección de los usuarios afectados, se recomienda grabar la llamada y enviarla a los organismos responsables de la protección al consumidor, además de publicarla en redes sociales.