Sernac evalúa acciones por reconocimiento de filtración de datos de Correos de Chile

La incógnita que rondaba desde la primera filtración de tarjetas de crédito el pasado 25 de julio, era de dónde la banda de hackers Shadow Brokers logró obtener la información. Y los primeros dedos apuntaron hacia Correos de Chile. De hecho, la principal operadora de tarjetas de crédito del país, Nexus, de propiedad de siete bancos, se ocupó de cruzar la información de las tarjetas filtradas, y concluyeron que la mayor coincidencia venía por la firma estatal, aunque el patrón era menor al 50%.

En un principio la empresa lo negó. "Los análisis y revisiones pertinentes en un trabajo conjunto con el proveedor externo" determinaron "que según la información disponible, dicha filtración no tendría relación con los sistemas de Correos", comentó la estatal tras la primera filtración de julio.

Pero esta semana Correos de Chile cambió: "Existe una alta probabilidad de que éstas (filtraciones) hayan tenido su origen en el servicio Casilla

Virtual Miami de Correos de Chile, el cual es provisto a través de un proveedor internacional", aseguraron.

El proveedor al que se referiría, sería el e-commerce Trans-Express de Florida.

Esto, pese a que PULSO contactó a la banda de hackers que se ha adjudicado las últimas filtraciones, quienes aclararon mediante Twitter que las tarjetas no las obtuvieron de Correos de Chile, pero que tras conocer los rumores sobre la empresa estatal decidieron buscar una vulnerabilidad en sus sistemas. Y así fue: accedieron y filtraron una base de datos con correos electrónicos. Es más, entregaron a PULSO una prueba técnica de ello, y confirmaron que lo hicieron mediante una vulnerabilidad por inyección SQL, un método de infiltración. Tras consultar a expertos, señalaron que la prueba sería real.

Por otro lado, desde el Sernac confirmaron que están evaluando acciones a seguir. "Recordar que el Servicio ofició a Correos de Chile el pasado 27 de julio preguntándole respecto de su responsabilidad en este caso, a lo cual dicha empresa respondió que dicha filtración no tenía su origen en su servicio Casilla Miami", dijo el Sernac.

¿Por qué Correos de Chile hizo el anuncio esta semana, más de un mes después de la primera filtración?

Fuentes conocedoras del proceso señalan que la banca buscaba que Correos aclarara esta situación en base a los antecedentes existentes. De hecho, hubo varios contactos durante el último mes, hasta que la estatal declaró esta semana luego de que, según explicaron, el proveedor les reconoció la vulneración de la base de datos.

Una de las preguntas y respuestas que hay en el sitio web de Correos, apunta justamente a este punto: "¿Qué seguridad tengo respecto a la información de mi tarjeta de crédito? La información de tu cuenta, datos personales y de tarjeta de crédito, están alojados en una plataforma de sitio transaccional seguro, que mantiene información de tarjeta de crédito encriptada en nuestros sistemas".

La Asociación de Bancos (ABIF) informó ayer mediante un comunicado que "el reconocimiento de Correos de Chile sólo viene a confirmar lo que hasta ahora ha sostenido la banca, en cuanto a que no tiene responsabilidad alguna en las filtraciones de datos, como tampoco la tienen sus sociedades de apoyo al giro".

Por su parte, la Superintendencia de Bancos (SBIF) señaló que recibió información de Correos de Chile y la remitió a los operadores de tarjetas para que puedan cruzar datos y adoptar las medidas preventivas. De este modo, ahora los operadores de tarjetas podrán analizar la base de datos completa, pues hasta ahora los emisores sólo contaban con los antecedentes de las tarjetas que habían hecho transacciones mediante Correos de Chile, pero no de aquellas que fueron registradas en la plataforma y que no concretaron transacciones.

Cristián García-Huidobro, secretario general de la CCS, comentó que "existe preocupación dada la relevancia del tema, aunque los episodios recientes han estado relacionados con la vulneración de bases de datos y con brechas de seguridad en compras realizadas a sitios extranjeros. En nuestro país, los medios de pago para compras online en general cuentan con estándares internacionales sofisticados, orientados a minimizar los riesgos, lo que se ve reflejado en el alto desempeño de seguridad que tiene el comercio electrónico".

Para Manuel Melero, presidente de la Cámara Nacional de Comercio, "es una buena noticia que finalmente se haya destapado este tema, pero mala noticia que se tardó mucho". Asimismo, agregó que "este ya no es un problema de la banca, es un tema país".