Banco de Costa Rica: ¿realmente ha sido hackeado?

Desde finales de la semana pasada, el Banco de Costa Rica ha estado en el ojo del huracán. ¿La razón? Un supuesto ataque a los sistemas de la entidad que se habría saldado con una fuga masiva de datos. Dichos registros, relacionados con las cuentas y las tarjetas de crédito de sus clientes se encontrarían bajo el control de un grupo de ciberdelincuentes, y estos estarían exigiendo a la entidad que adopte medidas de seguridad para proteger sus sistemas… y también el pago por no difundir los datos de sus clientes, claro, nadie dijo que fueran altruistas.

En concreto, el grupo que afirma encontrarse tras este ataque es un viejo y temido conocido: Maze Team. Una organización que durante los últimos meses ha estado singularmente activa, protagonizando ataques a grupos de gran tamaño, como The Chubb Corporation o Cognizant, o con comunicados un tanto sorprendentes, como el que publicaron el mes de marzo, en el que afirmaron que durante la pandemia de coronavirus no atacarían a servicios médicos y, además, ofrecerían descuentos a sus «partners» (es decir, a las empresas que han sido víctimas de sus ataquesRebajas Maze Coronavirus

El Banco de Costa Rica lleva ya tiempo, según afirma la organización, estando sometido a vigilancia, desde que hace ya cerca de un año, en agosto de 2019, detectaran algunos problemas de seguridad, lograron acceder a sus archivos e informaron a la entidad. Siempre según su versión, en ese mismo momento detuvieron sus acciones, quedando a la espera de que la entidad bancaria solucionara dichos problemas. Algo que, según afirman, nunca llegó a ocurrir.

Concedido un periodo de cortesía y en vista de la inacción por parte de los gestores de la entidad, habrían decidido llevar una ataque ya en febrero de este año y, tras completarlo con éxito, habrían exigido el pago de una recompensa a cambio de no hacer públicos los datos ni la filtración. Una medida de extorsión a la que el Banco de Costa Rica se habría negado, provocando que Maze haya publicado 240 números de tarjetas de crédito sin los últimos cuatro dígitos. Un número muy bajo, en realidad, si tenemos en cuenta que afirman haber obtenido información de 11 millones de tarjetas de crédito del Banco de Costa Rica.

Comunicado Maze BCR

La respuesta del Banco de Costa Rica tras la publicación del comunicado de Maze no se hizo esperar, y el viernes pasado emitieron un comunicado oficial afirmando lo siguiente: «A raíz de publicaciones extraoficiales e informales que han circulado en redes sociales se realizó una exhaustiva verificación de la plataforma tecnológica y rotundamente confirmamos que los sistemas de la institución no han sido vulnerados. Asimismo, activamos nuestros protocolos, incluyendo los enlaces con otras entidades especializadas nacionales e internacionales y lo que se determinó es que se trata de un intento de extorsión«.

La respuesta por parte de la entidad es, sin duda, contundente. Sin embargo, hay algunos aspectos que merece la pena valorar. El primero es, claro, ¿cuál es entonces el origen de los datos ya filtrados? Según expertos que los han analizado, sí que parecen ser reales. Y es cierto que podrían tener un origen distinto aal Banco de Costa Rica, pero aún así mantendrían alguna relación con la misma.

Ahora, lo que más me intriga y, honestamente, me hace dudar, es la parte final del comunicado del Banco de Costa Rica. Me refiero, concretamente, a «se determinó es que se trata de un intento de extorsión«. Y es que, de ser así, si el Maze Team no cuenta con los datos que afirman tener, ¿qué sentido tiene emitir un comunicado afirmando lo contrario? Me explico, mientras que el intento de extorsión se mantiene en secreto, los delincuentes tienen la baza de amenazar a la víctima con hacer público que tienen un problema de seguridad. Sin embargo, emitido el comunicado, pierden ese elemento de presión.

Así pues, si lo único que tienen los delincuentes para extorsionar al Banco de Costa Rica es ofrecer «discreción» con respecto a la fuga, ¿no es un poco absurdo que ellos mismos tiren ese recurso a la basura? La lógica nos lleva a pensar que si lo han hecho público, es que todavía cuentan con otro (u otros) elementos con los que extorsionar a la entidad. Y si nos atenemos al principio de parsimonia, todo apunta a que, efectivamente, Maze ha conseguido los datos de los cliente de la entidad. Fray Guillermo de Ockham nos dío, allá por el siglo XIV, las herramientas lógicas necesarias para llegar a esta conclusión.

Ni que decir tiene que yo no tengo certeza alguna sobre qué ha ocurrido con los datos del Banco de Costa Rica. Eso, a día de hoy, solo lo saben los gestores de la entidad y los componentes de Maze. Sin embargo, y más conociendo el historial de este grupo, cuesta pensar que vayan «de farol», aún más después de la respuesta de la entidad. De ser así, y salvo que la entidad en público diga una cosa pero en privado esté negociando con los delincuentes, es probable que en los próximos días tengamos nuevas, y no precisamente agradables, noticias al respecto.

La entrada Banco de Costa Rica: ¿realmente ha sido hackeado? es original de MuySeguridad. Seguridad informática.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.