El 30 de octubre, Interbank, una de las instituciones bancarias más grandes y reconocidas de Perú, sufrió una interrupción significativa en sus sistemas que afectó los servicios digitales de la entidad, incluyendo la banca en línea y la aplicación móvil. La caída de estos servicios de Interbank causó gran preocupación entre sus usuarios, quienes se enfrentaron a la imposibilidad de acceder a sus cuentas y realizar transacciones, lo que generó una ola de dudas sobre la confiabilidad del sistema.
Las primeras horas fueron cruciales en el incidente d e Interbank, ya que, al no haber una comunicación oficial inmediata, surgieron rumores de que el incidente podría deberse a un ciberataque, lo que exacerbó el nerviosismo entre los clientes. Esta especulación fue rápidamente avivada por una cuenta en X (antes Twitter) que es conocida por publicar información sobre actividades de cibercrimen, dando mayor visibilidad al rumor de un posible hackeo a Interbank y sembrando inquietud en redes sociales.
La situación llevó a Interbank a emitir un comunicado reconociendo que, en efecto, el incidente había involucrado una filtración de datos, confirmando así las sospechas sobre un problema de seguridad digital. Este reconocimiento de Interbank detonó una serie de investigaciones no solo dentro de la propia entidad financiera, sino también a nivel de organismos de ciberseguridad en Perú, que están evaluando el alcance y las posibles causas de la filtración.
En el proceso, han surgido cuestionamientos sobre la respuesta inicial de Interbank, así como sobre la preparación del sector financiero peruano frente a amenazas cibernéticas. Este caso, que ahora involucra a múltiples actores, está generando un debate importante sobre la necesidad de mejorar la infraestructura de seguridad cibernética en el país y de fortalecer la legislación y los protocolos de respuesta ante incidentes de similares a este de Interbank.
Cronología de la filtración: Desde la caída del sistema hasta la confirmación de Interbank
El lunes 30 de octubre, Interbank experimentó una interrupción en sus servicios digitales que impidió a sus clientes acceder a cuentas, transferir fondos y realizar otras operaciones bancarias.
Este incidente de Interbank fue precedido por una caída el 20 de octubre, que también provocó dificultades en sus plataformas digitales, aunque en esa ocasión el banco atribuyó el problema a una “interrupción en los sistemas” sin ofrecer más detalles. Sin embargo, la segunda caída de Interbank generó una ola de especulación en redes sociales, alimentada por la aparición de rumores de un ciberataque.
A medida que los clientes de Interbank expresaban su frustración, una cuenta en redes sociales dedicada a cibercrimen publicó información que sugería que los datos de millones de usuarios de Interbank habían sido comprometidos y estaban siendo utilizados en foros de cibercrimen.
Esta revelación fue el primer indicio público de que la interrupción en los servicios de Interbank podría haber sido causada por una filtración masiva de datos. Sin embargo, Interbank permaneció en silencio hasta el día siguiente, cuando su gerente general, Carlos Tori, confirmó que se trataba de un caso de extorsión.
Según Interbank, la información filtrada incluía datos personales de algunos clientes, pero el banco intentó tranquilizar a su base de usuarios asegurando que no se habían comprometido datos financieros críticos ni contraseñas.
Esta confirmación de Interbank, sin embargo, dejó muchas preguntas sin respuesta, y no acalló la preocupación de los clientes y del sector financiero peruano en general. La autoridad de protección de datos y la Superintendencia de Banca, Seguros y AFP (SBS) iniciaron investigaciones, exigiendo respuestas sobre la magnitud del incidente y sobre la falta de comunicación inmediata del banco.
La extorsión y las revelaciones de “kzoldyck”: Una amenaza en desarrollo
Mientras Interbank manejaba el impacto de la caída de sus servicios, un atacante bajo el alias “kzoldyck” o “m0riarty” comenzó a publicar en foros de cibercrimen y a enviar correos electrónicos a los directivos del banco, detallando las negociaciones de extorsión que afirmaba haber tenido con Interbank. Este cibercriminal alegaba haber accedido a 3.7 terabytes de información de Interbank, afectando potencialmente a más de tres millones de clientes.
En sus mensajes, el atacante aseguró que había comenzado negociaciones con Interbank desde el 22 de octubre, exigiendo un rescate de cuatro millones de dólares a cambio de no divulgar la información. Según sus declaraciones, Interbank no cumplió con el pago, lo cual provocó que el atacante comenzara a publicar muestras de los datos robados en internet.
Los archivos de Interbank compartidos incluían nombres, números de identificación y otros detalles personales de los clientes, aunque no se confirmaron accesos a contraseñas o números de cuenta.
El atacante también afirmó tener un infiltrado dentro de Interbank, o bien en una empresa asociada, que habría facilitado el acceso a los sistemas internos. Esta afirmación no fue confirmada, pero reveló una estrategia sofisticada que se aleja del típico hackeo externo y apunta a una debilidad en el control de acceso interno de la entidad.
Este elemento ha sido uno de los aspectos más preocupantes del caso, ya que sugiere la posibilidad de una red de colaboradores internos que facilitó el ataque y que representa un peligro continuo para la seguridad digital del banco.
Detalles de la intrusión: El acceso a los servidores de Interbank
La forma en la que el atacante, «kzoldyck», obtuvo acceso a los sistemas de Interbank es particularmente relevante para entender las vulnerabilidades que facilitó esta filtración. En una muestra de los archivos robados, se encontró un script que detallaba el acceso a las bases de datos de Interbank, aparentemente utilizando credenciales válidas que permitieron al atacante navegar por la estructura de la información de los clientes.
Esto sugiere que el cibercriminal tenía un nivel de acceso considerable a los sistemas internos de Interbank, lo que podría indicar que no se trató de una mera intrusión desde el exterior, sino de un fallo en los controles de seguridad internos.
Además, una empresa estadounidense, New Relic, encargada de monitorear los sistemas de Interbank, se vio envuelta en la investigación tras revelarse que un ataque reciente a sus sistemas podría haber servido como un canal para facilitar el ingreso del atacante a los servidores del banco.
Aunque Interbank y New Relic no han confirmado explícitamente esta teoría, la posibilidad de una conexión entre ambos incidentes ha llevado a que las autoridades peruanas amplíen sus investigaciones para evaluar los controles de seguridad y las prácticas de gestión de datos de todos los proveedores de Interbank.
La Superintendencia de Banca, Seguros y AFP (SBS) está supervisando estas investigaciones, y aunque Interbank asegura que ha reforzado sus controles de seguridad, el incidente ha generado un debate sobre las medidas preventivas y reactivas que las instituciones financieras deben adoptar para proteger a sus clientes en el mundo digital actual.
Regulación y responsabilidad: La respuesta de las autoridades y la SBS
En el Perú, el marco regulatorio en materia de protección de datos personales exige a las empresas privadas y públicas implementar controles rigurosos sobre el acceso y tratamiento de la información personal de los usuarios.
El Reglamento de la Ley de Protección de Datos Personales establece que cualquier incidente que pueda comprometer la seguridad de los datos debe ser notificado de inmediato a la Autoridad Nacional de Protección de Datos Personales. Asimismo, en el caso de entidades financieras, la SBS exige la notificación de eventos de ciberseguridad que puedan afectar la estabilidad financiera de los clientes.
A pesar de estos requisitos, Interbank no notificó inmediatamente a las autoridades sobre el incidente, lo cual ha llevado a cuestionamientos sobre si la entidad cumplió con sus obligaciones legales. La SBS inició una investigación para determinar si el banco cumplió con los protocolos de reporte y si actuó con la debida diligencia para mitigar los efectos de la filtración.
En caso de que se demuestre una negligencia, Interbank podría enfrentar sanciones que incluyan multas y medidas correctivas para fortalecer sus sistemas de seguridad.
Por su parte, la Autoridad Nacional de Protección de Datos Personales también evalúa el impacto de la filtración y la magnitud de la exposición de los datos. Las autoridades buscan determinar si Interbank mantuvo un sistema de control adecuado sobre sus bases de datos y si implementó los mecanismos necesarios para impedir el acceso no autorizado.
Este incidente ha puesto en evidencia la necesidad de actualizar y fortalecer las normativas de ciberseguridad en Perú, especialmente en un contexto donde las amenazas digitales son cada vez más sofisticadas y frecuentes.
Impacto en los clientes y en el sector financiero: Temores y medidas de protección
El caso de Interbank ha generado una fuerte preocupación entre sus clientes, quienes temen que sus datos personales puedan ser utilizados para actividades fraudulentas. Aunque el banco Interbank ha intentado asegurar que la información expuesta no incluye datos sensibles de transacciones, el hecho de que detalles personales hayan sido filtrados ya supone un riesgo significativo.
Expertos en ciberseguridad han advertido que los datos expuestos de Interbank podrían utilizarse para realizar ataques de phishing, suplantación de identidad y otras actividades fraudulentas que pongan en riesgo a los usuarios.
Además, este incidente ha encendido alarmas en todo el sector financiero peruano, ya que ha puesto en evidencia la necesidad de contar con sistemas de protección y respuesta ante incidentes de ciberseguridad.
Los bancos y las entidades financieras han sido advertidos por la SBS sobre la importancia de implementar medidas de protección más robustas, incluyendo el cifrado de datos, la autenticación multifactorial y el monitoreo constante de sus sistemas para detectar accesos no autorizados.
La confianza del consumidor en las instituciones financieras es esencial para la estabilidad del sistema bancario, y el caso de Interbank podría tener un impacto a largo plazo en la percepción de seguridad de los clientes. Las instituciones financieras están evaluando cómo mejorar sus protocolos de seguridad y de comunicación con los clientes en caso de incidentes, ya que la transparencia y la rápida respuesta son elementos cruciales para mantener la confianza del público.
La ciberseguridad en Perú: Otros casos y el contexto de Interbank
El caso de Interbank no es el primero de este tipo en Perú. En los últimos años, varias entidades gubernamentales y privadas han sufrido incidentes de ciberseguridad que han comprometido datos personales de miles de ciudadanos.
El Registro Nacional de Identificación y Estado Civil (Reniec), por ejemplo, sufrió una filtración que expuso datos de millones de peruanos en 2022. Asimismo, la Policía Nacional del Perú (PNP) también fue blanco de ataques que comprometieron información sensible sobre investigaciones en curso y operativos policiales.
Estos incidentes reflejan un contexto en el cual las infraestructuras digitales del país aún no cuentan con los mecanismos de protección necesarios para hacer frente a las crecientes amenazas de cibercrimen. En el sector financiero, el reto es aún mayor debido a la sensibilidad de los datos y a la alta exposición de los sistemas bancarios, que manejan transacciones monetarias y datos críticos.
El gobierno peruano ha comenzado a trabajar en el desarrollo de una política de ciberseguridad nacional, pero los expertos insisten en que es necesario fortalecer la cooperación entre el sector público y privado. La creación de un equipo especializado en ciberseguridad y la inversión en tecnología avanzada para la protección de datos son esenciales para enfrentar las amenazas digitales que afectan al país.
La filtración de datos en Interbank representa un punto de inflexión para el sector financiero en Perú y pone en evidencia las vulnerabilidades que enfrentan incluso las instituciones más grandes del país. Este incidente no solo afecta la reputación de Interbank, sino que también pone en riesgo la confianza de los clientes en todo el sistema bancario peruano, exponiendo la necesidad urgente de contar con sistemas de seguridad mucho más sólidos.
Además, el caso de Interbank destaca la importancia de implementar una respuesta coordinada ante incidentes de ciberseguridad, que vaya más allá de la contención de la amenaza y priorice una comunicación transparente y oportuna con los afectados. La falta de claridad o demora en la información a los clientes de Interbank puede agravar el impacto del incidente, afectando tanto la percepción pública como la relación de confianza entre los usuarios y el banco.
La importancia de una respuesta eficaz ante una crisis de seguridad digital se extiende a todos los sectores empresariales que manejan datos sensibles, resaltando la necesidad de establecer protocolos claros y estrictos. Esto implica, entre otras medidas, la implementación de herramientas avanzadas de monitoreo y detección de amenazas, que permitan identificar intentos de acceso no autorizado a tiempo, y la capacitación continua del personal en prácticas de ciberseguridad.
Asimismo, los planes de acción ante una crisis de este tipo deben prever mecanismos de comunicación proactiva que mantengan a los clientes informados y les brinden recomendaciones concretas para proteger su información personal. Estas acciones no solo ayudan a mitigar el impacto inmediato del incidente, sino que también son esenciales para fortalecer la resiliencia de la organización frente a futuras amenazas.
En este contexto, la filtración en Interbank pone de relieve las carencias en la legislación de ciberseguridad en el Perú, donde la normativa actual podría no estar al nivel de las crecientes amenazas digitales que enfrenta el país. La necesidad de revisar y actualizar las leyes de protección de datos personales se vuelve evidente, considerando que la tecnología y las técnicas de cibercrimen avanzan a gran velocidad.
Implementar estándares internacionales en protección de datos y seguridad cibernética no solo fortalecería el marco regulatorio, sino que también alentaría a las empresas a adoptar prácticas más rigurosas y a contar con sistemas de defensa cibernética de última generación. Este tipo de medidas legislativas también debe incluir sanciones específicas que incentiven el cumplimiento de los protocolos de seguridad y fomenten una cultura de ciberseguridad sólida en el ámbito empresarial.
Por último, la experiencia de Interbank es un recordatorio contundente para que las autoridades y las empresas privadas refuercen la cooperación en temas de ciberseguridad, promoviendo iniciativas conjuntas para mejorar la infraestructura de protección de datos en el país. Además, el desarrollo de una política nacional de ciberseguridad sería un paso clave para enfrentar las crecientes amenazas de cibercrimen y proteger la información sensible de los ciudadanos peruanos.
Este caso de Interbank debe servir como una lección para que el país dé pasos significativos hacia la creación de un entorno digital más seguro, no solo para el sector financiero, sino también para todas las industrias que dependen de la confianza y seguridad de sus sistemas digitales.
Si deseas conocer más de casos de ciberseguridad como el de Interbank, escríbenos a [email protected]. Te brindamos soluciones de ciberseguridad para que mantengas tus operaciones resguradadas.