Ayer, martes 9 de febrero de 2020, se informó que se habría filtrado información confidencial del Banco Pichincha Lo publicó la cuenta de Twitter Bank Security, manejada por un investigador de seguridad especializado en ciberdelitos y fraude bancario, que según dijo a GK trata “de advertir a las empresas que son víctimas de ciberataques”. Según Bank Security, se habrían robado 80 gigabytes de información confidencial del Banco Pichincha, las tarjetas de crédito Visa Titanium, Diners Club y Discover, sus empleados y clientes. “Espero que el banco haga un pronunciamiento oficial explicando qué pasó y si hubo o no una filtración”, le dijo Bank Security a GK.
El Banco Pichincha negó un robo de información. En un comunicado oficial en su cuenta de Twitter dijo que “no han sido vulnerados y que la información de nuestro clientes se encuentra debidamente resguardada, bajo estrictos estándares internacionales de protección de datos”.
DEBES SABER:
→ Un proveedor del Banco Pichincha habría sido la fuente de la filtración de datos sensibles
Bank Security dijo a GK que durante su actividad de monitoreo, encontró una publicación de un threat actor (un actor amenazante) diciendo en un tuit que publicó miles de datos personales no cifrados de usuarios. El tuit mencionaba a las cuentas oficiales de la institución bancaria y sus productos. Además, habría pedido “ un rescate por la eliminación de esos datos”. Pero, según Bank Security, desconoce quién está detrás de los hechos.
Entre la información que supuestamente se habría sustraído habría datos PII (Información Personal Identificable) de clientes y empleados. Según el National Institute of Standards and Technology (NIST), PII es cualquier información sobre un individuo que tiene una agencia, compañía o tercero. Google considera “información personal identificable”, la que se pueda usar por sí sola para “identificar o ubicar con precisión a una persona, o para ponerse en contacto con ella de forma directa”. Entre otros datos, incluye direcciones de correo electrónico, de correo postal, números de teléfono, ubicaciones precisas (por ejemplo, coordenadas GPS), nombres completos o nombres de usuario.
Es, además, cualquier información que pueda usarse para rastrear la identidad de alguien. Como su nombre, número de seguridad social, fecha y lugar de nacimiento, apellido de soltera de la madre o registros biométricos. Además de la información PII también se habría filtrado el acceso a los sistemas de intranet e información de tarjetas de crédito.
La seguridad de datos es un asunto que no se ha tratado con seriedad suficiente en Ecuador. En septiembre de 2019, los datos de 20 millones de ecuatorianos fueron expuestos. Entre la información comprometida, había fechas de nacimiento, niveles de educación, estado civil, direcciones físicas y de correo electrónico y números telefónicos. Incluso se expuso información sobre familiares. La base de datos vulnerada era propiedad de la empresa ecuatoriana Novaestrat, encargada de desarrollar e implementar sistemas de inteligencia para el mercado ecuatoriano. Después de la filtración de datos, Andrés Michelena, ministro de Telecomunicación dijo que “una empresa ecuatoriana habría sustraído información de dos o tres instituciones públicas”.
| Si quieres recibir los textos de GK en tu correo, regístrate aquí. |
A pesar de no ser la primera vez que se registran estas vulneraciones, Ecuador no tiene una ley de protección de datos. Pero en septiembre de 2019, después del escándalo de Navestrat, se presentó un proyecto de Ley de Protección de Datos Personales. El proyecto aún se encuentra en revisión para primer debate en la Asamblea Nacional. En cambio, otros países de Latinoamérica ya cuentan con una ley de protección de datos personales. Uno de ellos es Brasil, donde hay más de 40 regulaciones diferentes que están vigentes en el país. Otro es Colombia, que tiene la legislación sobre protección de datos más desarrollada en América Latina, con leyes que están vigentes desde 2012.