- hace 2 días
Categoría
🗞
NoticiasTranscripción
00:00El pasado jueves 14 de agosto
00:06recibí un correo a las 4 de la mañana
00:10Leo Gómez Berniga, buenos días
00:12Muy buenos días Mabel, bueno a Benru, Iván, Pablo y a todo el equipo
00:16Bueno, Leo es integrante de nuestro equipo de investigaciones
00:21y ha estado trabajando y siguiendo muy de cerca
00:25todo el tema de la filtración de datos
00:29de clientes pertenecientes a Bueno
00:31¿Qué es lo que dicen en esta carta?
00:34Y yo voy a resumir rápido porque es impresa la carta nomás
00:40O sea, lo que el hacker dice, tiene dos carillas y media
00:44Más después nos envió una copia en CSV
00:50¿Cómo le llaman CSV?
00:53Sí, una base de datos
00:55Una planilla electrónica
00:57Nos copiaron en formato CSV
01:00Nos copiaron la prueba de lo que ellos tenían
01:04Como les decía, la parte de advertencias y la narración de todo lo que ocurrió
01:14tiene dos páginas y media impresa
01:18Pero yo voy a ser muy abuelo de pájaro
01:21para no dar entidad tampoco a esto, ¿verdad?
01:26¿Qué es lo que dice?
01:27Que durante aproximadamente, supuestamente
01:30y voy a decir todo supuestamente porque es lo que dice un hacker
01:33que supuestamente durante 14 meses hackearon la base de datos
01:37que tuvieron acceso a servicios internos, servicios críticos
01:41El documento está íntegramente redactado en inglés
01:45lo que significa que sea un anglosajón
01:48una persona habla anglosajona
01:50pudo haber escrito en inglés deliberadamente
01:53o no, no lo sabemos
01:55Vuelvo a decir, es lo que aparece en el correo
01:58Dice que obtuvieron cientos de millones de líneas de datos
02:03de información bancaria de clientes en todo el país
02:07detalle de tarjeta de crédito, transacciones realizadas, recibidas
02:10número de teléfono, direcciones de correo electrónico
02:12domicilios particulares y laborales, historiales crediticios
02:16puntajes y otras actividades
02:18En resumen, todo ha sido robado
02:20Y cuenta por qué se tomaron tanto tiempo en hablar
02:25Quise darle una oportunidad a Federico Vázquez
02:29dice, al excluir a los infiltrados de esta operación
02:33informé a la alta gerencia del banco
02:36y a algunos inversionistas
02:38incluidos a los del Banco Interamericano de Desarrollo de Inversiones
02:42Les ofrecí la oportunidad de resolver esto internamente
02:46por un precio más bajo de lo que habitualmente pediríamos
02:50Me demoraron unos 10 días
02:52y me dijeron que estaban abiertos a un acuerdo
02:54pero como sospechaba, esto fue una táctica dilatoria
02:57Si hubieran aceptado mi demanda
03:00nadie se habría enterado de este incidente
03:04Ni un solo dato de cliente habría sido filtrado
03:08y podrían haber solucionado las vulnerabilidades restantes
03:13En cambio, desperdiciaron tiempo
03:15e ignoraron las consecuencias
03:17A partir de ahora, los datos de una selección aleatoria de clientes de bueno
03:22probablemente alrededor de unas 50.000 personas
03:25comenzarán a aparecer en foros de la Dark Web
03:29Ahí me voy a aclarar nomás
03:31Este correo llegó a las 4 de la mañana
03:34Así es
03:34Del jueves pasado
03:35Del jueves pasado
03:36¿A qué hora ya subieron a la Dark Web?
03:39Nosotros vimos ya disponibilizada la información
03:41en el transcurso de la tarde de ese mismo día
03:44No al día siguiente como dijeron que iban a hacer
03:47No, no, no
03:47Ese mismo día hicieron
03:48En ese mismo día, efectivamente
03:49Podemos poner la placa, por favor
03:51en la cual estuvieron subastando supuestamente
03:55al mejor postor la base de datos
03:57La base de datos que subieron
04:00era una base de datos libre
04:06era una gratuita
04:09Para aclarar un poco
04:10Lo que hacen ellos es cumplir esa advertencia
04:12disponibilizando una base de datos de libre descarga
04:16¿Qué van a entender con esto?
04:18Normalmente estos grupos comercializan después estos datos
04:21Todavía no hay una abierta publicación de venta
04:25Pero lo que está haciendo es habilitando un canal
04:28que después ciertos actores maliciosos
04:30terminan comprando para la reutilización de estos datos
04:33El correo que yo recibí
04:35tenía solamente nombres, números de clientes
04:39números de teléfono
04:40tenía números de clientes del banco
04:45y datos por el estilo
04:47Pero lo que apareció en la dark web
04:50ya aparece con las transacciones
04:53que ustedes empezaron a chequear
04:57con alguna de las personas que aparecen ahí
04:59¿Con quiénes lograron chequear?
05:01Nosotros conseguimos chequear esto con periodistas
05:04logramos chequear esto con familiares
05:09de los propios colegas acá
05:10pudimos chequearlo con la diputada
05:14Joana Ortega que estuvo hablando esta mañana
05:16Yo chequeé con Leo Rubín
05:19que confirma también que la transacción que aparece
05:22es de él, fue del mes de julio
05:24Exactamente
05:25Y fue realizado de Bueno a Itaú
05:29y por el monto que aparece
05:31Exactamente
05:32Yo también pude chequear con algunos funcionarios públicos
05:35La mayoría
05:37o si no todas las transferencias
05:39que nosotros pudimos monitorear hasta el momento
05:41son del mes de julio
05:42lo que marcaría que el corte que hicieron
05:45es un corte reciente
05:46no es una base de datos vieja
05:47Y si bien borraron las fechas de la base de datos
05:52cuando hicimos y corroboramos
05:54pudimos determinar que eran del mes de julio
05:55Yo quiero rápidamente contar lo que dice
05:58que hicieron
05:59que los hackers
06:01o el hacker
06:02porque no sabemos si es uno o son más
06:04se comunicaron por Telegram
06:06con directivos del banco
06:08y les enviaron
06:11les enviaron
06:15Me contactaron a través de una cuenta de Telegram
06:18que solo ellos conocían
06:20Hablamos durante días
06:22Según ellos
06:23el pago debía hacerse hoy
06:24rompieron la promesa
06:26Dice
06:29Ahora estoy enojado
06:32porque me hicieron perder tiempo
06:34Y dice
06:35Me acerqué a ellos
06:37como un hacker grey hat
06:39¿Qué significa esto?
06:41Un hacker grey hat
06:42es un hacker de sombrero gris
06:45Hay tres categorías
06:47hasta donde sé
06:48El hacker de sombrero blanco
06:50que es el hacker profesional
06:52que trabaja para bancos
06:53para corporaciones
06:55para instituciones
06:56y son personas
06:58altamente preparadas
07:00que lo que buscan
07:01es vulnerabilidades del sistema
07:04trabajan a sueldo
07:05se les premia por sus hallazgos
07:07por hallar
07:08donde están las patas débiles
07:10de algo
07:10donde está el talón de aquile de algo
07:13esos son los hackers
07:14de sombrero blanco
07:15como se llaman entre ellos
07:17Después están los hackers
07:19de sombrero negro
07:20que son directamente
07:21los criminales
07:23que están ahí
07:23pescando vulnerabilidades
07:25para alzarse con esos datos
07:26son esa gente
07:28que están ahí
07:29y que están pendientes
07:31de tus movimientos
07:32de tus contraseñas
07:33bien fáciles
07:35que a veces pone
07:36o que te escanearon
07:38con tu tarjeta de crédito
07:39y están usando
07:40en otros países
07:41y después están
07:43los hackers
07:44de sombrero gris
07:45que es lo que dice
07:46esta persona
07:47que es
07:48¿por qué le llaman
07:49hacker de sombrero gris?
07:50porque es una zona gris
07:51ellos dicen
07:52que no son
07:53ni blancos
07:54ni negros
07:55personalmente
07:56todo lo que no sea blanco
07:57para mí
07:58está del otro bando
07:59sigo contando
08:01qué es lo que dice
08:02él dice
08:02que no quería dañar
08:04al banco
08:04porque es un lugar
08:06usado por millones
08:07de personas
08:08y con empleados
08:09que tienen familias
08:10que alimentar
08:11la cantidad que pedí
08:13era insignificante
08:14aún así
08:15bueno
08:15eligió este camino
08:16no me dejaron
08:17otra opción
08:18a los 14
08:20que estamos
08:21en ese correo
08:21nos dice
08:22si quieren
08:22pueden contactarme
08:23por telegram
08:24mañana comenzaré
08:26a filtrar los datos
08:27la realidad
08:27es que lo hizo
08:28ya esa tarde
08:29la persona
08:30que me contactó
08:31en telegram
08:32decía ser
08:33el CEO
08:33del banco
08:34o de la empresa
08:36holding
08:36si eso es cierto
08:38no
08:38ustedes lo investigarán
08:40pero su respuesta
08:42a los correos
08:42en diferentes fechas
08:44y horas
08:44está bastante claro
08:45que se trata
08:46de alguien
08:46con mucha autoridad
08:47dentro del banco
08:48dice
08:50lo que lo puso
08:52furioso
08:52es que hicieron
08:54una transferencia
08:55de 100 dólares
08:56como
08:56para verificar
08:57que la billetera
08:58le correspondiera
08:59al hacker
09:00le enviaron
09:02tres enlaces
09:03acortados
09:04diferentes
09:04por telegram
09:05en tres ocasiones
09:06distintas
09:07tratando de robar
09:08mi cámara
09:09ubicación
09:10e ip
09:10el último
09:11hicieron hoy
09:12o sea
09:12a las 4 de la mañana
09:13cuando él estaba
09:14escribiendo
09:15supuestamente
09:16le habían enviado
09:17un enlace
09:18pensaron
09:19que yo caería
09:20en una trampa
09:21de phishing
09:22de only fans
09:23y que yo no sabría
09:25lo que son
09:25los sitios
09:26de rastreo
09:26de ip
09:27la idea
09:28de que alguien
09:29capaz de hackear
09:31un banco
09:31con las habilidades
09:33técnicas y sociales
09:34necesarias
09:34se comunicara
09:36con ellos
09:36desde una máquina
09:37real
09:38con cámara
09:39y ip
09:39rastreable
09:40es ridícula
09:41da hasta pena
09:42me mandaron
09:44su último mensaje
09:45hace un momento
09:46y con solo
09:4735 minutos
09:49que quedaba
09:50para cumplirse
09:51el plazo
09:51no me han dado
09:53ninguna información
09:54significativa
09:55estoy escribiendo
09:56el correo
09:56mientras espero
09:57algo de parte
09:58de ellos
09:58después sigue
10:00esperé
10:00dos horas
10:01y como pueden ver
10:02no hicieron el pago
10:03seguro van a negar
10:05todo esto
10:06y dice
10:07durante dos semanas
10:09me hicieron perder
10:09tiempo
10:10pensando que podrían
10:11encontrar las amenazas
10:12internas
10:13sin mi ayuda
10:15lo único que hizo
10:17el equipo de seguridad
10:18del banco
10:18es enviarme
10:19ridículos
10:20mensajes de rastreo
10:21de ip
10:22y
10:23leí solamente
10:25lo más importante
10:25para no darle
10:26demasiada entidad
10:28a esto
10:28a lo que yo quiero ir
10:30leo
10:30es al manejo
10:32que hizo
10:33de la información
10:34que se filtraba
10:36el propio banco
10:38que está obligado
10:39a la protección
10:40de datos personales
10:41efectivamente
10:42en paraguay
10:43los datos
10:43están protegidos
10:44tanto desde
10:45la constitución
10:46nacional
10:46a pesar de que
10:48no tengamos una ley
10:49aún de protección
10:50de datos
10:50si los bancos
10:52tienen una responsabilidad
10:53al momento
10:54incluso de la
10:54auditoría bancaria
10:55con el bcp
10:56el bcp
10:57tiene lineamientos
10:58de seguridad
10:58en la información
10:59el bcp
11:00tiene directrices
11:01para las entidades
11:02de información
11:03crediticia
11:04la sedeco
11:05también tiene
11:06atribuciones
11:06para que si algún
11:07usuario
11:08alguna de las personas
11:09afectadas
11:10siente
11:10que tiene que denunciar
11:12esto porque se vulneró
11:13la cadena de custodia
11:14podría llevar adelante
11:15no puede intervenir
11:16de oficio
11:17como hicieron
11:17en el caso
11:18billis
11:18exactamente
11:19deberían estar
11:20dando una respuesta
11:21vieron una denuncia
11:22digo a esta altura
11:24ya estamos viendo
11:25que esto
11:26ha recorrido
11:27todas partes
11:28efectivamente
11:29y además
11:30el banco
11:30tiene deber
11:31de comunicación
11:33y esto es algo
11:33que parece
11:34que están fingiendo
11:35demencia
11:36las propias directrices
11:38del banco central
11:39hablan incluso
11:40de comunicaciones
11:41dentro de las 24 horas
11:42en caso de vulnerabilidades
11:44¿qué dijo el banco central
11:45cuando los contactaron?
11:47empecemos por el presidente
11:48del BCP
11:49porque ayer
11:50Enrique Vargas Peña
11:50le preguntó
11:51¿qué dijo él?
11:52bueno
11:53él dijo
11:53que no tenía
11:55suficiente conocimiento
11:57que iba a derivar
11:58el asunto
11:59a la superintendencia
12:00de bancos
12:02¿qué dijo el señor
12:03Holstein
12:04cuando ustedes
12:05lo contactaron?
12:06creo que fue el único
12:07sincero
12:08entre parientes
12:08fue el que tuvo
12:10una respuesta
12:10digamos
12:11más
12:11más coherente
12:12porque si bien
12:13nos mandó
12:14al comunicado
12:15del banco
12:15que el banco
12:16niega totalmente
12:17el asunto
12:18dijo
12:19voy a hacer
12:20la consulta
12:21pertinente
12:22con el banco
12:22afectado
12:24que es lo que se espera
12:26que efectivamente
12:27la superintendencia
12:28de bancos
12:29abra una investigación
12:30porque los usuarios
12:31son al fin y al cabo
12:32los afectados
12:32lo que sí nos sorprendió
12:34es la respuesta
12:35de la fiscalía
12:36del doctor
12:36Rodrigo Villamayor
12:38que es el director
12:40de denuncias penales
12:41porque le escribieron
12:43creo que al fiscal
12:44general del estado
12:45él les dio el teléfono
12:46del doctor Villamayor
12:48y cuando ustedes
12:49le preguntan
12:50él les dice
12:51miren el comunicado
12:52de bueno
12:52exactamente
12:53o sea
12:54tipo
12:55yo no soy
12:56de este barrio
12:57actuó
12:58prácticamente
12:59como un
13:00rpp de bueno
13:01miren el comunicado
13:02exactamente
13:03la misma respuesta
13:04también tuvimos
13:04de otra persona
13:05del MITIC
13:06si bien pudimos
13:07hablar con el
13:08ministro Villate
13:09también sobre el asunto
13:10él nos dijo
13:11yo no tengo atribución
13:12porque no es una entidad
13:13pública
13:14esto es responsabilidad
13:15del banco
13:16y es responsabilidad
13:17en todo caso
13:18de las autoridades
13:19de control
13:20y por tanto
13:22no hay ningún tipo
13:23de acción promovida
13:24desde el MITIC
13:25podemos ver la placa
13:27Zuni
13:28la placa solamente
13:29donde está
13:30el día que subieron
13:32a la
13:33dark web
13:34o
13:35le llaman dark web
13:37le llaman la
13:38deep web
13:39le llaman internet
13:40oculta
13:41no
13:41la placa sola
13:42por favor
13:43si pudieras ponerme
13:44yo te había pasado
13:45una consultita
13:47leo también
13:48que gana
13:49el hacker
13:50con esto
13:50decir
13:51yo puedo entrar
13:52yo puedo entrar
13:53en tu casa
13:53cuando quiero
13:54así es que
13:55dame plata
13:55y no divulgo más
13:57esa es la
13:58esa es la extorsión
13:59digamos
13:59efectivamente
14:00así funcionan
14:02el punto principal
14:04es que no hay que pagarle
14:05a un actor malicioso
14:06hay que ser transparente
14:07sobre la vulnerabilidad
14:08cualquier entidad
14:10nadie está exento
14:11de una vulneración
14:12de seguridad
14:12y esto también
14:13es importante
14:13comunicarle a la gente
14:15es más sano
14:16que te informen
14:17para que puedas
14:18tomar medidas
14:18a que nunca te enteres
14:20o que te enteres
14:21de esta manera
14:23tarde
14:23donde se puedan
14:24eso es lo que a mí
14:25me hace tomar
14:26con mucho cuidado
14:27este caso
14:28porque yo creo
14:29que
14:30no sé
14:31hemos visto
14:32vulneraciones
14:34monumentales
14:36de instituciones
14:36que uno pensaría
14:37que no tendrían
14:38vulneraciones
14:39o sea
14:39exacto
14:40la vulneración
14:42estamos expuestos
14:43todos
14:43en cadena
14:45exacto
14:45porque ellos
14:46hay gente
14:47que no duerme
14:49y está solamente
14:50buscando
14:50cómo robar
14:51información
14:52el tema
14:53es el manejo
14:54que uno haga
14:55a partir de eso
14:55esta es
14:56esta es
14:58allá arriba
14:59si se fijan
15:00la data base
15:02bueno
15:03van
15:03customer data
15:04200k
15:05free
15:06up to data
15:07lo que anuncia
15:09que podría ser
15:10actualizado
15:10esta es una captura
15:12del 14 de agosto
15:13a las 11.35pm
15:16esto ya era
15:17claro
15:18esto ya es
15:19ese horario
15:190 de Greenwich
15:21o sea
15:21nosotros estábamos
15:22un poco más temprano
15:23por eso les digo
15:2411.10
15:25sería un poquito más
15:25a la tarde
15:26del 14
15:27bueno
15:28señoras y señores
15:30tenemos que irnos
15:31leo muchísimas gracias
15:33por todo
15:34el trabajo
Sé la primera persona en añadir un comentario