Volvió a pasar. Esta semana algunos usuarios de la billetera móvil Plin y de la app de Interbank no podían acceder a sus cuentas y realizar operaciones financieras desde sus teléfonos o su PC. La situación fue empeorando y el terror se apoderó de cada vez más clientes. La alarma fue general el 30 de octubre, cuando se dijo en redes sociales que un hacker había vulnerado al banco.
Diez días antes del evento hubo una caída del sistema, pero no generó mayor pánico, porque es un problema que se había experimentado antes. Lo temerario surgió el 30 de octubre, cuando trascendió que se habían filtrado datos personales, claves, saldos, códigos CCV, etc. La noche anterior algunos usuarios reportaron caídas en la billetera móvil (Plin). En la mañana ya se habían cerrado las agencias. Más tarde, un comunicado del banco aceptaba los incidentes y llamaba a la calma. Pero eso no impidió que reinara el pánico, porque muchos usuarios no podían acceder a su dinero.
Como era de esperar, las investigaciones se iniciaron. Desde la Superintendencia de Banca y Seguros (SBS), Indecopi y la Fiscalía hasta la Autoridad Nacional de Protección de Datos Personales (ANPD), que depende del Ministerio de Justicia. Todos pueden llegar a sancionar o imponer una multa al banco. En el caso de la ANPD, si se descubre una infracción grave la multa puede ser de hasta 100 UIT (S/ 5,150,000).
Carlos Zúñiga, presidente de la Asociación de Defensa del Consumidor ELEGIR, lamentó que la falta de prevención por parte del banco afecte directamente a los usuarios, poniendo en riesgo su data personal en medio del estado de inseguridad ciudadana que vive el país en la actualidad. El daño no solo es que no puedan acceder a su dinero, realizar transacciones o que se generen movimientos en sus tarjetas de crédito, sino que se corre el riesgo de ser víctimas de extorsiones utilizando la data filtrada, remarcó.
En diversos foros y sistemas de mensajería se afirmó que los datos robados, filtrados, abarcaban 3.7 terabytes; credenciales de API internas (puente entre aplicaciones) incluidas; de unos tres millones de clientes, que mueven hasta US$1,700 millones. Se publicaron en las redes sociales presuntas cartas del delincuente pidiendo US$4 millones de rescate al banco, lo cual no fue entregado y originó el fatal desenlace. Interbank, empero, ha garantizado que el dinero de sus clientes no se ha perdido.
Las aplicaciones del banco han estado inoperativas hoy 31 de octubre en la mañana para proteger a los clientes. Cuando Interbank anuncie que se ha superado el problema al 100% se podrá entrar a la aplicación y lo recomendable será cambiar las contraseñas. El Dr. Erick Iriarte, CEO de eBIZ, recomendó a las personas y a las empresas actualizar los aplicativos, cambiar las contraseñas y controlar a quienes tienen acceso a dicha información. Los usuarios afectados con el robo de sus datos deberán ser informados sobre dicha situación, añadió.
El daño no solo es que no puedan acceder a su dinero, realizar transacciones o que se generen movimientos en sus tarjetas de crédito, sino que se corre el riesgo de ser víctimas de extorsiones utilizando la data filtrada.
Carlos Zúñiga, presidente de la Asociación de Defensa del Consumidor ELEGIR
Iriarte destacó que el banco afectado debería informar a los otros actores del ecosistema financiero sobre cómo ocurrió la filtración para evitar que otras instituciones caigan en situaciones similares. Ataques siempre habrá, advirtió, pero se debe poder reaccionar rápido para generar el mínimo daño al consumidor. Por parte de las autoridades se debe publicar el nuevo Reglamento de Protección de Datos Personales, que hace seis meses está listo, en donde hay actualizaciones importantes que ayudarán a mejorar las exigencias en la protección de la data de la ciudadanía, remarcó.
Precedentes
Indecopi ya ha multado a Interbank antes. Solo en setiembre de este año la Sala Especializada en Protección al Consumidor (SPC) lo sancionó en segunda y última instancia por no adoptar medidas de seguridad, y ocasionar que se cargaran siete operaciones no reconocidas a la tarjeta de crédito de un usuario. La pena fue de 4 UIT (S/ 20,600) porque las entidades financieras deben impedir el procesamiento de una operación si parece inusual.
Desde el 2018 a la fecha, la Comisión de Protección al Consumidor N° 3 (CC3) ha sancionado a muchos bancos que incumplieron con el deber de idoneidad al presentar problemas operativos en sus sistemas, afectando el servicio y el saldo disponible de los consumidores. Dichas resoluciones fueron confirmadas en segunda instancia administrativa.
El Dr. Erick Iriarte, CEO de eBIZ, recomendó a las personas y a las empresas actualizar los aplicativos, cambiar las contraseñas y controlar a quienes tienen accedo a dicha información. Los usuarios afectados con el robo de sus datos deberán ser informados sobre dicha situación, añadió.
Según informó el portal Ojo Público, entre enero y mediados de octubre, las entidades del sistema financiero recibieron 1,908 sanciones y más de S/ 15 millones en multas. Casi la mitad de ellas (876) son relativas a la falta de idoneidad, es decir, cuando el usuario no recibe el servicio ofrecido. Se sancionó a 49 entidades, destacando Scotiabank (202 sanciones), Interbank (149) y BCP (135) y BBVA (72).
Este año, en julio, hubo una caída de varias horas de Yape (Banco de Crédito del Perú) lo que implicó un inmediato inicio de una investigación preliminar. Meses antes, en mayo, los usuarios de Interbank reportaron en las redes sociales una disminución en los saldos de sus cuentas y luego de concluir la respectiva investigación preliminar, se inició de oficio un procedimiento administrativo sancionador por presunto incumplimiento al deber de información e idoneidad.
Por si esto no fuera suficiente, se avanzó en los procesos contra casos similares que padecieron los clientes de Interbank en setiembre del 2023, cuando hubo fallas operativas en los sistemas que afectaron los saldos disponibles en las cuentas de sus clientes. La Comisión emitió un pronunciamiento como primera instancia administrativa en abril del 2024 y pasó a la Sala Especializada en Protección al Consumidor (SPC) como segunda y última instancia.
Alertas con los engaños
Días antes del sonado suceso, el 28 de octubre, el sistema de alertas de seguridad integrada del Centro Nacional de Seguridad Digital (CNSD) informó que existía preocupación por el alza en proliferación del smishing y el fraude informático vía celulares robados. Citan un artículo de El Peruano en donde se expresa que en el 2023 hubo un récord de denuncias con 21,842 casos presentados ante la Fiscalía.
Este año, según informó el Ministerio Público Fiscalía de la Nación (MPFN) a eBIZ, hasta julio existieron un total de 22,455 denuncias por delitos informáticos, de las cuales 14,935 fueron por fraude informático y 397 por estafa agravada, a través del acceso ilícito a tarjetas de crédito o débito, con Lima como principal región de incidencias.
Según el Dr. Erick Iriarte, este fraude se vale de mensajes de texto móviles falsos, pero verosímiles, para engañar a las personas y hacerlas descargar virus, compartir información personal o enviar dinero a los delincuentes. Se hacen pasar por funcionarios de los bancos o entidades gubernamentales, explicó, inventando situaciones que requieren atención inmediata. En el contexto actual, es imprescindible que los usuarios no abran ningún enlace que llegue por SMS o correo y solo hagan su cambio de clave en los canales oficiales, ingresando a la web luego de digitar la dirección oficial del banco.