Un informe reveló que el ciberdelincuente que robó datos de clientes de Interbank utilizó credenciales internas para acceder a un servidor de New Relic, la empresa tecnológica que presta servicios al Interbank
Un informe de OjoPúblico reveló este domingo cómo un ciberdelincuente, conocido en la dark web como “kzoldiyck” y posteriormente “m0riarty”, accedió a datos sensibles de clientes de Interbank a través del uso de credenciales internas para ingresar a servidores administrados por New Relic, proveedor tecnológico del banco.
El miércoles 30 de octubre, el hacker publicó una carpeta con numerosos archivos. Uno de ellos, posteriormente retirado, mostraba cómo pudo acceder al servidor de la entidad mediante un script con credenciales, lo que evidencia que conocía detalles internos de la estructura del servidor, incluyendo parámetros temporales de los movimientos bancarios de clientes del último año, así como nombres de categorías y columnas específicas.
Expertos consultados por el portal de investigación dijeron que el acceso a estas credenciales se limita a un grupo reducido de trabajadores y ciertos proveedores. La filtración del banco finalmente incluyó datos personales como nombres completos, números de tarjetas, teléfonos, fechas de nacimiento, números de documento de identidad y detalles de transacciones bancarias.
New Relic, una empresa estadounidense dedicada al monitoreo y mejora del rendimiento de sistemas digitales, ya había sufrido un ataque cibernético en noviembre de 2023, de acuerdo con el reportaje.
OjoPúblico descubrió que el ciberdelincuente creó su cuenta en el foro BreachForums el 18 de agosto de este año y había vendido información de países como Egipto, Turquía e Israel. En el caso de Interbank, comenzó a comercializar datos ese 30 de octubre. En su primera publicación, bajo el seudónimo “kzoldiyck”, anunció que tenía 3.7 terabytes de datos personales y accesos a cuentas bancarias. Incluyó un enlace oculto accesible con el pago de aproximadamente ocho créditos, obtenidos a través de criptomonedas.
Mientras los usuarios no podían acceder a los servicios financieros, la entidad confirmó que “un tercero” les había robado información para extorsionarlos. “El sector financiero en todo el mundo está enfrentando este tipo de situaciones deplorables por parte de delincuentes, a pesar de la rigurosa implementación de los más altos estándares de seguridad”, señaló Carlos Tori, gerente general del banco.
Posteriormente, el delincuente cambió su apodo a “m0riarty” y publicó otros mensajes en el que anunciaba que la información se podía adquirir a través de Telegram, donde se comercializa información legal e ilegal. El 5 de noviembre, volvió a publicar que había recibido muchas solicitudes por la data robada y, por ello, ofrecía nueva información de clientes de Interbank y datos de otras empresas.
El portal verificó un último mensaje de “m0riarty” el 7 de noviembre en el que ofrecía un archivo con 75 GB de información de clientes del banco con acceso libre. Interbank indicó que no daría declaraciones sobre la veracidad de los correos del atacante ni sobre anomalías reportadas por New Relic mientras el caso esté en investigación por la Autoridad Nacional de Protección de Datos Personales y la Superintendencia de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones (SBS).Cronología del caso Interbank elaborada por el portal de investigación Ojo Público
El proveedor tampoco respondió a las consultas. Por su parte, el abogado Aníbal Quiroga, en representación del banco, señaló ante la Comisión de Defensa del Consumidor del Congreso que no se sabe desde dónde opera el criminal y será difícil ubicarlo. En tanto, el cuarto despacho de la Fiscalía en Ciberdelincuencia de Lima Centro inició diligencias preliminares contra los que resulten responsables del presunto delito de acceso ilícito de datos y sistemas informáticos.
Otros casos
La vulneración a la base de datos de Interbank se suma a otras filtraciones investigadas por la Autoridad Nacional de Protección de Datos Personales en los últimos cinco años. El Registro Nacional de Identificación y Estado Civil (Reniec) y la Policía Nacional (PNP) ya enfrentan sanciones tras confirmarse la difusión ilegal de datos.
El informe recoge que, en 2022, la web “Zorrito Run Run” ofrecía datos del Reniec y Superintendencia Nacional de los Registros Públicos (Sunarp), robados con credenciales del Ministerio de Energías, lo que llevó a una multa de 15.75 UIT para el ministerio por falta de control en las bases de datos. Un año antes, la PNP fue sancionada con 25.13 UIT por permitir la filtración de datos de antecedentes policiales, luego vendidos por Saeg Investigation.
Un caso reciente involucró datos de 82,000 personas de Miraflores, difundidos mediante enlaces públicos municipales. Estas vulneraciones a menudo se deben al uso indebido de credenciales más que a hackeos directos.