La semana pasada, un consultor en seguridad informática informó en redes sociales que información sensible del Banco Pichincha había sido filtrada y estaba en riesgo. Al día siguiente, el banco ecuatoriano negó cualquier robo de información. En un comunicado oficial en su cuenta de Twitter dijo que “no han sido vulnerados y que la información de nuestros clientes se encuentra debidamente resguardada”. Sin embargo, hoy, 18 de febrero de 2021, el Banco Pichincha admitió que la filtración sí se produjo, pero no en sus sistemas, sino en los de un proveedor.
El banco publicó un comunicado en el que reconoció que “hubo un acceso no autorizado a los sistemas de un proveedor que presta servicios de mercadeo del Programa Pichincha Miles”. Además, dice que un correo electrónico fraudulento envía comunicaciones a nombre de Banco Pichincha a algunos clientes del programa Pichincha Miles “con el fin de obtener información necesaria para realizar transacciones”. Expertos en temas de seguridad coinciden que una vulneración al Banco sería casi imposible, pero que sí era posible que un proveedor con menos seguridades haya sido expuesto. “Un banco tiene que tener estándares internacionales, si fuera muy fácil hackear un banco todo el mundo lo estaría haciendo”, dijo Chan, cofundador de Tinkin, una empresa de desarrollo de software.
DEBES SABER:
→ Banco Pichincha niega exposición de información sensible de sus clientes
En una entrevista dada previo a la divulgación del comunicado del banco, Chan dijo que la información filtrada es real. “Si tu compruebas los nombres, la gente con los numero de cedula yo te apuesto que van a concordar”, dijo. El experto informático hizo una búsqueda para verificar si los datos filtrados corresponden a nombres de personas reales y el resultado fue correcto. Chan dijo también que había “ data de tarjetas de crédito”, como los primeros y últimos dígitos de las tarjetas, algo que a su criterio es grave. “Es un tema medio fuerte, podría alguien llamar a decirte somos del tal banco queremos verificar datos usted tiene la tarjeta que empieza con los números xxx y con eso ya te pueden estar sacando información”, dijo Chan.
Alfredo Velazco, de la organización Usuarios Digitales, encargada de promover la defensa de los derechos de los usuarios en las plataformas digitales, dijo que “definitivamente cada institución es custodia de nuestros datos”. Velazco recordó el caso de Novaestrat, donde los responsables de resguardar los millones de datos que se filtraron eran instituciones públicas.
La privacidad y seguridad de los datos personales en el Ecuador es un asunto de extrema sensibilidad al que no se le está prestando la atención que precisa. Chan explica que el problema no es en sí la existencia de estos datos, sino la seguridad que se aplica en su manejo. “Esto parece que salió de una base de datos, esa base de datos pudo haber estado, no te puedo decir al 100%, pudo estar con una clave sencilla o con una seguridad que no son las adecuadas para manejar este tipo de información”, dice Chan. Ahora, dice, ya bloquearon donde estaba alojada la información, pero dice que mucha gente ya pudo habérsela bajado.
| Si quieres recibir los textos de GK en tu correo, regístrate aquí. |
Velazco recuerda que, por ejemplo, la venta de bases de datos está penada en el Código Orgánico Integral Penal con cárcel de entre uno y tres años. Explica que una cuestión es lo que dice la ley y otra la que se hace. “No te sabría decir si es que se venden, pero, coincidentemente, los call centers son la mayor prueba de que la información se filtra desde algún lado, porque alguien tiene que darles las bases para que llamen”, dijo Velazco. Hasta ahora, no ha habido un pronunciamiento de las autoridades regulatorias ecuatorianas sobre el caso.
GK pidió varias entrevistas a Banco Pichincha para incluir su versión, pero todas las solicitudes fueron rechazadas.
