Juan Pablo Arias
“Un llamado a la cordura y la calma” es la petición que hace Douglas Soto, gerente del Banco de Costa Rica (BCR) a sus clientes, tras conocerse la posible captura de información de tarjetas de débito y crédito por parte del grupo cibercriminal Maze.
Soto asegura que hoy en día el BCR cuenta con un robusto sistema de seguridad y que las investigaciones preliminares han determinado que los datos capturados corresponden a transacciones con 2 o 3 años de antigüedad.
Hasta la fecha el Banco no ha encontrado evidencia de una vulneración a sus equipos o plataformas. Sus jerarcas afirman que la entidad está blindada y preparada para un eventual ciberataque.
“En los últimos años el banco ha ido fortaleciendo su seguridad en todos los niveles”, explicó Soto.
El gerente también hizo un llamado para que no se brinde información a “autoproclamados” especialistas y que en caso de duda los clientes deben recurrir a los canales de comunicación del banco. Además, no se les cobrará por el cambio de la tarjeta.
A continuación, un resumen de la entrevista que Soto brindó al El Observador:
1. ¿Hubo una vulneración de los sistemas del BCR?
No tenemos evidencia aún de que se haya dado una vulneración de los sistemas.
Estamos en proceso análisis interno y con proveedores nacionales e internacionales para revisar la seguridad y blindaje de la infraestructura de los sistemas, pero hasta el momento no hay evidencia.
2. ¿Cómo se comunicó el grupo Maze con el banco? ¿Qué piden?
Ellos disponían de una lista vieja de correos electrónicos que, por los nombres que hemos visto, tiene unos 3 años de antigüedad. En los correos hacen referencia a un grupo de empleados, muchos de los cuales ya no están en el banco.
Mediante esa lista se distribuyó mensajes con información extorsiva. Pedían que se les contactara y entrar a una dirección web que lleva a un portal, para hacer una solicitud.
En los mensajes insistían en usar los links y si no, liberarían información.
3. Si no hay prueba de vulneración a los sistemas ¿Cómo obtuvieron los datos? ¿Se ha logrado identificar?
Todo está en investigación judicial especializada. La policía judicial es la que maneja las hipótesis y los supuestos. Está en manos del Organismo de Investigación Judicial (OIJ).
Nosotros hemos brindado la información que corresponde, pero son ellos quienes tienen la investigación y analizan posibles causas.
4. ¿Se ha detectado si la información que circula corresponde a un área geográfica particular? ¿Se sabe si se trata de compras físicas o compras en línea?
Hasta el momento no se observa un patrón de conducta. No se puede determinar que sea un tipo consumidor en específico o que corresponda a una geolocalización.
5. ¿Además de la garantía estatal, qué otras garantías da el BCR a los dueños de tarjetas que aparecen en la base de datos?
Hay que decir que la información que ha circulado es incompleta y desactualizada, con dos o tres años de antigüedad, en muchos casos obsoleta.
Pero también el Banco ha aumentado los niveles de seguridad en todo este tiempo y además se hace totalmente responsable de la seguridad de sus plataformas.
Los sistemas están en capacidad de detectar comportamientos irregulares.
6. ¿El banco contactará a los clientes?
De ser necesario el banco lo hará, pero también los clientes se pueden comunicar al teléfono 2211-1111, al WhatsApp 8806-5555 o al correo electrónico [email protected]
7. ¿El banco está preparado para escenarios extremos como un robo masivo o “sustracciones hormiga”?
El banco tiene sistemas de seguridad de alto nivel y son varios, no solo uno. El BCR esta preparado para un ciberataque.
8. Hay personas y empresas que están ofreciendo “herramientas para verificar” si un cliente está en la base de datos filtrada. ¿Cuál es la recomendación?
Ningún sitio para verificar información es oficial. Todos estos “validadores” no son oficiales.
La recomendación es no ingresar. No sabemos si son seguros, o no, o si son para ingeniería social. Si ya han ingresado o tiene dudas lo mejor es que se comunique de inmediato con el banco o vaya a alguna de las oficinas.
Insistimos en que estos autoproclamados especialistas no son oficiales.
También es importante reiterar que no se deben descargar archivos, porque pueden contener malware.
9. Se ha esparcido el rumor de que el banco exige el pago de reposición de plásticos…
Si el cliente está preocupado, el banco le hace el cambio de plástico sin costo.
El Banco de Costa Rica, de capital estatal, ocupa el segundo lugar por activos del sistema financiero nacional. Figura entre los seis principales procesadores de tarjetas del país.
