Paradojas de la vida. Habíamos pactado una entrevista con un experto que presta servicios profesionales en reconocidas empresas del mundo, cuando el Ing. Alfredo Chu se entera que sus cuentas en el BCP y BBVA estaban alteradas. ¿Qué había pasado?, los ciberdelincuentes hackearon su computadora e ingresando a los sistemas, tanto del BCP como del BBVA tomando control de los códigos aleatorios de los pines (tokens) RSA y digital respectivamente, logrando sus objetivos.
Ya en años anteriores ocurrió un evento similar en sus sistemas bancarios
Es importante que los bancos se pronuncien al respecto, no pueden hacer mutis a semejante daño a sus clientes.
(americasistemas.com.pe. Lima, Perú – 13 de julio 2022) De no creerlo. Especialistas de la industria afirman que hay dos temas a considerar, el primero y preocupante es que los bancos no desean hacer inversiones en efectivos sistemas de ciberseguridad pues alegan que son muy onerosos, por otro lado, pareciera que la Gerencia de Gestión de Riesgo Operacional de la SBS no fiscaliza el cumplimiento del Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad aprobado por Resolución S.B.S N° 504-2021.
Dicho Reglamento señala: “Artículo 4. Proporcionalidad del sistema de gestión de seguridad de la información y ciberseguridad (SGSI-C) 4.1. El sistema de gestión de seguridad de la información y ciberseguridad (SGSI-C) de la empresa debe ser proporcional al tamaño, la naturaleza y la complejidad de sus operaciones.” Ambas organizaciones (BBVA, BCP) tienen la infraestructura bancaria privada más grande del país y la mayor cantidad de tarjeta habientes. Reglamento aquí.
7 respuestas
Muy preocupante, a partir de este hecho de presentarse fraudes en las cuentas de los usuarios, el banco tendrá la obligación de asumirlos íntegramente?
Una muy buena pregunta David….aunque todos intuimos la respuesta de los bancos aludidos. Saludos
Estimados, me parece que el comentario sobre «hackeo de sistemas de los bancos» es muy general o impreciso: «los saldos de sus cuentas.. estaban alterados». Siendo una revista de profesionales TI, podría hacer un mejor informe y/o buscar asesoría al respecto.
Como se menciona que los ciberdelincuentes hackearon la computadora del cliente y tomaron control de los códigos aleatorios (token)… para lograr sus objetivos… presumo que el caso se trata del llamado método del «man in the middle», que aprovecha la debilidad del token aleatorio, pues no tiene ninguna relación con la operación para la cual se origina y puede ser usado para otra operación luego de «suplantar» al cliente.
Como ocurre:
El cliente es engañado por una página falsa (phishing) en la cual una aplicación le hace creer que está actuando con el banco y le recibe la clave (que no verifica), le permite hacer una operación cualquiera que requiere un token..
La aplicación, en paralelo, va ingresando los mismos datos en la aplicación verdadera del banco (por ello se llama «man in the middle»), y continúa hasta que el banco genera el token y lo envía al cliente (o le pide que ingrese el número del token físico).
El cliente recibe el token y lo ingresa en la aplicación falsa (en todo momento piensa que está actuando con el banco).
La aplicación, recibe el token y lo utiliza en la aplicación verdadera, para una operación distinta: Transferencia a Tercero, por ejemplo.
El banco no detecta esto, porque el token no está asociado a la transacción para la cual se generó.
El cliente termina su operación en la aplicación falsa, pensando que ha pagado la luz.
Los bancos deben dejar de usar números aleatorios, reemplazandolos por tokens relacionados a la transacción.
Saludos
donde esta esa información?, seamos conscientes de lo que se publica
Ahí lo tiene, somos conscientes de lo que publicamos: https://youtu.be/qtqFiqF4RpI
Muy interesante y preocupante a la vez!! Excelente información. Gracias AS por las nuevas de siempre.
la noticia no dice nada y es ambigua, realmente no tienen informacion relevante