Filtración masiva de datos en Interbank y su impacto en la seguridad digital en Perú

El 30 de octubre de 2024, Interbank sufrió uno de los incidentes de filtración de datos más severos en la historia reciente del sistema financiero peruano. Ese día, sus plataformas digitales, incluyendo su aplicación móvil y la billetera digital Plin, colapsaron de manera inesperada.

Lo que inicialmente parecía ser una falla técnica, pronto se reveló como un acceso no autorizado a los sistemas de la entidad financiera. Este incidente expuso una gran cantidad de datos confidenciales de millones de clientes, generando alarma en el sector y en la población en general.

Pocas horas después, un usuario bajo el pseudónimo “kzoldiyck” —que posteriormente se identificó como “m0riarty”— publicó en la red social Telegram y en foros de la Dark Web una supuesta base de datos de 3.7 terabytes, que contenía datos sensibles de aproximadamente 3 millones de usuarios. Entre la información filtrada se encontraban nombres, fechas de nacimiento, direcciones, correos electrónicos, números de teléfono, datos de tarjetas y contraseñas, además de otros detalles personales.

Frente a esta situación, la Superintendencia de Banca, Seguros y AFP (SBS) inició un proceso de supervisión en las oficinas de Interbank. Paralelamente, el Ministerio Público, a través de su Fiscalía Especializada en Ciberdelincuencia, abrió una investigación preliminar por presunto delito informático, específicamente por acceso ilícito a sistemas y datos.

Los sectores más afectados por las filtraciones de datos

Un estudio publicado en noviembre por Soluciones Virtuales Perú, titulado Análisis profundo no invasivo de exposición de datos y monitorización de la Dark Web, reveló que casi todos los sectores estratégicos del país están en riesgo constante de filtraciones por parte de ciberdelincuentes. Sin embargo, ciertos ámbitos resultan ser los más vulnerables: minería (25%), banca y seguros (20.9%), y educación, incluyendo universidades y colegios (18%).

Un ejemplo es el de Julio, quien estuvo a punto de ser víctima de fraude en agosto pasado. Recibió una llamada que aparentaba ser del Banco Interbank. En la pantalla de su teléfono aparecía el número oficial de la entidad, y la supuesta operadora le informó que su tarjeta estaba siendo utilizada en compras no autorizadas. Le indicaron que recibiría un código por mensaje para bloquearla.

Al notar que el mensaje decía “código de compra”, Julio sospechó del engaño y decidió colgar. Luego, bloqueó sus tarjetas de inmediato. La entidad financiera le confirmó que no se registraron transacciones irregulares y que iniciaría una investigación. Aunque se salvó del fraude, quedó con la inquietud de que alguien tenía acceso a su información personal y bancaria.

Imagen: Llamada fraudulenta que se hizo pasar por Banco Interbank. Fuente: La República.

Este caso ejemplifica cómo los delincuentes pueden aprovechar la información personal de clientes y empleados de instituciones financieras. Pero, ¿cómo obtienen estos datos? Hace tres meses, un colegio en Surco, que prefirió mantener su identidad en reserva, contrató a una empresa para organizar el viaje de promoción de sus estudiantes de quinto de secundaria.

Como parte del proceso, padres y alumnos llenaron formularios en línea con datos personales, incluyendo nombres, edades, teléfonos, direcciones y fotografías. Por descuido del proveedor, esta información quedó expuesta públicamente en la web, sin medidas de seguridad, y fue aprovechada por ciberdelincuentes que la descargaron y vendieron en la Dark Web, según detectó Soluciones Virtuales.

Un caso similar ocurrió a principios de noviembre, cuando el usuario “juliusdeane” publicó en un foro de la web oscura un paquete con más de 8,400 evaluaciones psicológicas de estudiantes de la Universidad de Lima. Jorge Román Deacon, director de Tecnologías Cloud y Ciberseguridad de Soluciones Virtuales Perú, explicó que muchas filtraciones no siempre responden a ataques externos, sino también a vulnerabilidades internas y descuidos en la gestión de datos.

Estos incidentes evidencian la creciente vulnerabilidad del entorno digital en Perú y la necesidad urgente de fortalecer las medidas de seguridad y protección de datos. La colaboración entre instituciones públicas, privadas y los propios usuarios es fundamental para reducir el riesgo y garantizar la confidencialidad de la información personal.