Otro hackeo: ahora al buró de crédito

El Buró de Crédito notificó desde diciembre la existencia de una base de datos en la deep web.

24 de febrero, 2023

Guillermo Hernández Salgado

Y los hackeos siguen y siguen, pero lo más interesante… ¡seguirán!, no es una creencia, es un hecho… lo aseguro. ¿A qué se debe mi comentario? Pues es muy sencillo, sucedió un incidente en el Buró de Crédito, de tal forma que la CNBV (Comisión Nacional Bancaria y de Valores) ordena inspección al Buró de Crédito por hackeo y robo de datos, se confirmó que una base de datos del Buró de Crédito correspondiente al 2016, está en venta en la Deep Web, por lo que se revisan sus sistemas informáticos.

Con esto en mente, debemos pensar que una gran cantidad de personas tenemos datos sensibles en el Buró de Crédito, esto significa que son muchos. El Buró de Crédito es una institución privada en México encargada de recopilar y mantener información crediticia de los consumidores y empresas.

También descubre:

Tecnología Grab y Go. Las nuevas tiendas de conveniencia (ruizhealytimes.com)

La función principal del Buró de Crédito es proporcionar información confiable y precisa a los prestamistas, bancos y otras instituciones financieras para ayudarles a tomar decisiones informadas sobre la concesión de créditos y préstamos.

El Buró de Crédito de México utiliza diferentes fuentes de información para recopilar datos sobre los historiales crediticios de los consumidores, incluyendo información de los propios bancos y prestamistas, registros públicos, información proporcionada por los propios consumidores, entre otros.

Además, el Buró de Crédito de México también proporciona servicios de asesoramiento financiero a los consumidores y empresas, como el monitoreo de la actividad crediticia y la emisión de reportes de crédito. Los consumidores pueden acceder a su reporte de crédito en línea y verificar su historial crediticio para asegurarse de que la información sea correcta y actualizada.

Un punto interesante, es el número de usuarios, con cifras de la autoridad tributaria entregadas por medio de la Ley de Transparencia muestran que el número de personas físicas reportadas al Buró de Crédito creció de 328 mil 847, en promedio mensual en 2018, a 555 mil 34 contribuyentes en los primeros cuatro meses de 2022.

En el caso de las empresas, el promedio mensual bajó de 119 mil 493 personas morales reportadas en 2018 a 91 mil 29 negocios de enero a abril del 2022, un 24 por ciento menos.

EL INCIDENTE

Según la CNBV, el Buró de Crédito notificó desde diciembre la existencia de una base de datos en la deep web y en enero la CNBV inició una visita de inspección que terminará el próximo 3 de marzo.

En cuanto el Buró de Crédito supo de la venta de la base de datos, contrató a una empresa especializada en ciberseguridad para evaluar sus sistemas informáticos, es decir, una vez ahogado el niño se tapa el pozo. El reporte indica que la brecha de seguridad permitió que se robaran la base de datos del 2016.

Sin embargo, es importante precisar que la empresa que hizo la revisión advirtió que no se puede descartar que la vulnerabilidad que permitió el robo de la base de datos del 2016 haya seguido activa por más tiempo.

También descubre:

Microsoft y Google al ataque en la Inteligencia Artificial (ruizhealytimes.com)

“La CNBV y el Banco de México mantienen comunicación y monitoreo constante con la SIC Buró de Crédito, con el objetivo de dar seguimiento a las acciones implementadas por esta, para proteger la seguridad de la Información y evitar futuros incidentes que pongan en riesgo los datos personales y financieros de las y los usuarios de servicios financieros”, concluyó el comunicado del organismo.

EL IMPACTO

Es muy simple… si es cierto que se llevaron la base de datos hasta el 2016, quizás se llevaron registros de alrededor 300 000 usuarios y unas 80 000 empresas.

Seguramente se puede pensar… quizás ya cambiaron muchas cosas del 2016 a la fecha, bajo esta premisa comento lo siguiente:

¿Es una garantía que se llevaron la base de datos del 2016? Me pongo a pensar, sería más fácil cifrar o encriptar la base de datos más allá de separarlas y almacenarlas con esquemas de seguridad que ya vimos que no funcionan bien.
Muchos de los datos no cambian, muchas de las tarjetas y/o créditos no cambian, al menos en poco tiempo.
Llevarse esos datos, puede implicar una gran facilidad para generar una suplantación de identidad y cometer fraudes, pues estos datos son muy suculentos para este fin.
Y por último… ¿Cómo nos van a compensar? ¿Qué política o proceso tienen planteado ante una suplantación de identidad?

CONCLUSIÓN

Los hackeos son y seguirán siendo materia de todos los días, y es entendible cuando hablamos de empresas pequeñas y medianas, pero de empresas grandes y sobre todo de empresas dedicadas al sector financiero donde manejan datos tan sensibles, entonces es inaceptable.

Si agregamos el concepto de que encima de todo esto nos cobran por el servicio, mi pregunta sigue vigente ¿Cómo van a compensar en caso de un incidente con los datos del usuario?, al menos ¿qué política o proceso tienen planteado ante una suplantación de identidad?