¿Qué sabemos del presunto "hackeo" de datos privados de usuarios del Banco de Venezuela?

El alerta fue emitido por fuentes que podemos considerar creíbles. Criminales cibernéticos se habrían apropiado de un conjunto de datos privados del banco y/o de usuarios cuya dimensión se desconoce, y dieron una especie de ultimátum hasta el 10 de mayo para divulgarlos. El Banco de Venezuela emitió un comunicado en el que asegura que su plataforma de servicios se encuentra en "total normalidad", pero no confirma ni desmiente el presunto robo de datos. En principio, la amenaza afectaría la privacidad de los usuarios, más que el funcionamiento de las cuentas bancarias, aunque expertos como Jesús Andrade recomiendan cambiar claves y contraseñas de la banca en línea

Un feriado con la paz alterada: en la tarde del miércoles 19 de abril de 2023, fuentes de seguridad digital que podemos considerar creíbles —como la ONG VE sin Filtro, que ha emitido reportes sobre la censura a través del bloqueo de portales noticiosos— alertaron del presunto hackeo de datos del Banco de Venezuela (BDV) por parte de hackers no identificados.

Estos criminales electrónicos —extraoficialmente— habrían robado un conjunto de una dimensión desconocida de datos privados del banco y/o usuarios, usando un programa malicioso llamadlo LockBit 3.0.

Los presuntos delincuentes amenazan con poner estos datos como contenido libre en Internet y dan una especie de ultimátum hasta el miércoles 10 de mayo de 2023. Se supone que el BDV está siendo extorsionado para pagar alguna cantidad de dinero y evitarlo, aunque esto no se ha informado de manera clara ni se conoce el monto.

El BDV controla 56% del sistema financiero nacional (según el portal Banca y Negocios) y en 2022 contaba con "15.721.417 clientes", según un informe del propio banco. Al menos 50% de las acciones del banco pertenecen al Estado venezolano. Algunas preguntas y respuestas:

1. ¿El presunto hackeo afectaría a las cuentas bancarias o el dinero de los clientes?

No es lo que está planteado ni hay que entrar en pánico al respecto, dicen expertos en la fuente informática como el periodista Fran Monroy. El hackeo afectaría datos privados del BDV y/o de sus usuarios, no el funcionamiento de la plataforma de banca en línea del BDV o el funcionamiento de las cuentas bancarias.

Son dos cosas distintas, lo que no quiere decir que lo primero no sea grave, en el supuesto de confirmarse. Expertos como Jesús Andrade recomendaron esperar y tomar algunas precauciones mínimas, por ejemplo cambiar claves o contraseñas de la banca en línea.

2. ¿Qué dijo el Banco de Venezuela?

Emitió un comunicado en sus redes sociales el mismo miércoles 19/04/2023 a las 4:44 pm, hora venezolana, en el que se indica: "Te informamos que nuestra plataforma y canales electrónicos se encuentran con total normalidad y prestando el servicio de siempre, con absoluta integridad y seguridad" (hay que advertir que el funcionamiento normal de la plataforma, al menos hasta el tiempo presente, nunca fue puesto en duda por la ONG VE Sin Filtro).

Pero el comunicado no desmiente ni confirma de manera explícita la otra parte del problema: el presunto hackeo de datos privados del banco y/o los usuarios: "No hagas caso de los piratas de la red quienes forman parte de organizaciones delictivas que se dedican a atacar reputacionalmente a las instituciones y empresas".

3. ¿Cómo se conoció la presunta amenaza?

A través de Tor, una especie de red privada de Internet, según la ONG VE sin Filtro. Una captura de pantalla mostraba una especie de cuenta regresiva que marcaba 20 días desde ayer. Antes, una cuenta ya eliminada de Twitter (@x00x01x01) se había atribuido el supuesto ataque informático:

La información sobre este ataque fue publicada hoy 19 de abril a las 6:27 am hora de Venezuela. Ayer (18 de abril) un usuario anónimo en Twitter se atribuyó este ataque y compartió capturas de pantalla que parecen demostrar su acceso a la red de computadoras del Banco de Venezuela.

4. ¿Dónde están los presuntos criminales?

No se sabe, y esa es una de las características de este tipo de organizaciones delictivas. "La cuenta (eliminada en Twitter) @x00x01x01 facilitó unas capturas del controlador de dominio, algunos usuarios y unas direcciones IP de servidores (que apuntan a Tailandia)", indicó el experto Jesús Andrade.

5. ¿Qué es LockBit 3.0?

Un tipo de ramsonware que se habría usado contra el BDV siempre en el terreno de la suposición. A su vez habría que definir ramsonware como "un tipo de programa dañino que restringe el acceso a determinadas partes o archivos del sistema operativo infectado y pide un rescate a cambio de quitar esta restricción" (ramson puede ser traducido del inglés como el pago por un rescate).

Tomado del portal de seguridad Kaspersky:

"El ransomware LockBit es un software malicioso diseñado para bloquear el acceso de los usuarios a los sistemas informáticos y pedir el pago de un rescate para restablecerlo. LockBit busca automáticamente objetivos valiosos, propaga la infección y cifra todos los sistemas informáticos accesibles en una red"

"Este ransomware se utiliza para lanzar ataques selectivos contra empresas y otras organizaciones. Como es un ciberataque autopilotado, los atacantes de LockBit se caracterizan por amenazar a organizaciones de todo el mundo con:

1. Interrumpir las operaciones por la detención repentina de las funciones esenciales.

2. Extorsionarlas para el beneficio financiero del hacker.

3. Robar datos y publicación ilegal de estos como chantaje si la víctima no paga el rescate.

La versión 3.0 de este software malicioso es la más poderosa y fue detectada en junio de 2022. Cuerpos estadounidenses de seguridad como el FBI han emitido alertas ante la posibilidad de ataques este ramsonware, según el portal de seguridad digital The Hacker News.

6. ¿Qué pasará el miércoles de 10 de mayo de 2023?

Se supone que es la fecha que han puesto los presuntos criminales para dar un ultimátum al BDV: si no se paga el "rescate" de los datos, cuyo monto se desconoce, una cantidad no conocida de datos del banco y/o los usuarios podría quedar expuesta. Las bases de datos también pudieran ser traficadas en línea. Por supuesto, siempre queda el escenario de que sea solo una amenaza o bluff (intento de engañar).

Las fuentes oficiales como el propio BDV no han desmentido ni confirmado de manera contundente el hakeo de datos. La superintendencia de la banca (Sudeban) hasta el momento guardaba silencio en sus redes oficiales.

7. ¿Qué medidas se recomienda tomar?

En primer lugar, mantener la calma, porque perdiéndola corremos más riesgos de tomar decisiones erróneas e incluso poner en peligro nuestra salud mental.

Mantenerse informado sobre el caso, tanto en la acera oficial (lo que dicen, no dicen o sugieren los comunicados del BDV y entes oficiales) como de fuentes independientes creíbles, que son las que han alertado sobre la amenaza. Algunas de esas fuentes las hemos citado más arriba.

Evitar difundir rumores o informaciones no respaldadas por fuentes creíbles que puedan inducir al pánico en grupos de WhatsApp o redes sociales. Poner énfasis en medidas de prevención.

Cambiar periódicamente las claves y contraseñas en nuestros servicios de banca en línea es una recomendación universal de los expertos en seguridad, con o sin amenazas de hackers. Algunos de estos expertos recomiendan hacerlo en este momento específicamente con los servicios del BDV, como medida de precaución totalmente gratuita.

Evitar contraseñas que se repitan en otras de nuestras plataformas personales y que no sean fáciles de predecir sobre la base de nuestros datos personales.

Exigir a las instituciones bancarias o de otro tipo que manejen información personal de usuarios que resguarden al máximo sus sistemas y eviten problemas de privacidad.