Dos servidores de Gentera estaban abiertos a cualquiera en internet

Dos servidores pertenecientes al grupo financiero Gentera estuvieron expuestos a cualquier persona conectada a internet por casi 7 meses, hasta el 17 de junio de 2020. Datos personales, como nombres de las cuentas de usuario, nombres completos, correos electrónicos, sexo, fecha de nacimiento, CURP, RFC, dirección y teléfono estaban disponibles en la red sin ningún tipo de contraseña o medida de seguridad para protegerlos. Los servidores pertenecen a Fiinlab, la unidad de investigación e innovación financiera de Gentera, que posee entre otras marcas el banco Compartamos y la red de corresponsales bancarios Yastás, informó la holding a El Economista.

Gentera confirmó que la información contenida en los dos servidores expuestos en Amazon Web Services, bajo el dominio gentera.com.mx, estaba disponible sin ningún mecanismo de seguridad que la resguardara, pero aseguró que los datos son ficticios o dummies, como se conoce en el argot.

WizCase, la plataforma de investigación en ciberseguridad que encontró y alertó sobre esta exposición de los servidores de Gentera, tiene otra versión: las bases de datos contenían 140,000 registros y resguardaban información fidedigna. “Hemos descubierto que los datos son reales y no falsos. (...) Siempre verificamos esto con algunos ejemplos de los datos y validamos que sean reales, para evitar informar sobre bases de datos con entradas ficticias, así como para tener pruebas en los casos en que la empresa niega la validez de los datos, que es común”, dijo el investigador en ciberseguridad Avishai Efrat, del equipo de WizCase.

“Nuestro proceso de verificación de datos consiste en verificar que una muestra de la información es real y no datos falsos o aleatorios, mediante la verificación cruzada de algunos de los detalles en línea para ver si coinciden con algunos de los detalles publicados por personas reales en línea. Además, estamos atentos a cualquier información sospechosa que pueda indicar que los datos son posiblemente falsos, como los correos electrónicos y los nombres completos que no coinciden, entradas no válidas y más”, dijo Efrat. El Economista pudo comprobar la veracidad de uno de los registros, proporcionado por Efrat.

WizCase es una plataforma de herramientas de ciberseguridad basada en Londres y cuya unidad de investigación ha descubierto diversas brechas de información en empresas de países como Estados Unidos, Brasil y otras naciones de Asia. Recientemente, WizCase reportó haber encontrado una base de datos con 100 millones de cuentas de usuario de los sitios japoneses de citas Charincharin.net y kyuun-kyuun.com; así como del estadounidense CatholicSingles.com. También fue la responsable de revelar la exposición de 80% del padrón electoral de Chile a mediados de 2019.

Los datos son falsos: Gentera

Al ser informada sobre este incidente de seguridad y luego de llevar a cabo una investigación interna, Gentera estableció que los servidores correspondían a su laboratorio de innovación Fiinlab y en particular a una prueba de concepto de su proyecto Compartefon, con el que buscan ofrecer servicios de telefonía móvil a sus clientes como un proveedor virtual de telecomunicaciones (OMV).

Según la holding, los servidores fueron utilizados por Fiinlab entre noviembre y enero del 2020 y estuvieron expuestos en internet hasta el 17 de junio pasado. Los servidores afectados son externos a la operación del banco por lo que la información de sus clientes no fue comprometida, dijo en entrevista Alejandro Puente, director ejecutivo de Relaciones Institucionales de Gentera. “No se vulneró en ningún momento datos, información de clientes o cualquier información sensible del negocio”, añadió.

Al ser inquirida acerca de la verificación de los datos hecha por WizCase, Gentera envió una comunicación a El Economista en la que reitera su posición respecto de que la información de los servidores es falsa o ficticia.

Gentera es una holding financiera mexicana dueña de empresas como Compartamos Banco, Compartamos Financiera, Compartamos SA, Yastás, Aterna y Fiinlab, las cuales están en su mayoría dedicadas a ofrecer microcréditos y otros servicios financieros a sectores de bajos recursos. Su valor de capitalización en la Bolsa Mexicana de Valores (BMV) asciende a 17,000 millones de pesos y cuenta con alrededor de 2.5 millones de clientes en México, Guatemala y Perú.

Consecuencias legales y de protección de datos

La exposición de datos personales en posesión de particulares e instituciones públicas tiene consecuencias legales y también a la seguridad de los titulares de la información y a la reputación de las propias organizaciones.

De acuerdo con Jorge Osorio Bretón, director de Servicios de Consultoría de la firma Consultores en Seguridad de la Información (CSI), entre las obligaciones legales que tienen las compañías privadas que sufren un incidente de seguridad de la información está la de notificar a los titulares de los datos afectados, de acuerdo con lo establecido en la Ley Federal de Protección de Datos Personales en Posesión de Particulares.

Cuando se trata de instituciones financieras, los incidentes de seguridad de datos personales deben notificarse también a las autoridades financieras, esto es la Comisión Nacional Bancaria y de Valores (CNBV), el Banco de México (Banxico) y la Secretaría de Hacienda (SHCP), según las Bases de Coordinación en Materia de Seguridad del sistema financiero mexicano.

“De la misma forma en que estos datos pueden caer en manos de personas buenas que reportan el incidente, también puede caer en malas manos, lo que abre la puerta a que sucedan otro tipo de crímenes, como puede ser el fraude y el robo de identidad, que son de los delitos que más hemos visto en los meses más recientes y que son muy graves”, dijo Osorio.

El Banco de México registró durante 2019 un total de ocho incidentes cibernéticos en instituciones del sistema financiero mexicano, los cuales supusieron afectaciones por 784.7 millones de pesos. En 2020, Banxico sólo ha registrado un ataque de ransomware en contra de un banco participante del sistema financiero, que no tuvo repercusiones económicas. En días recientes el defensor de los consumidores de servicios financieros, la Condusef, fue víctima de una vulneración a su sitio web mientras que el Banco de México y el Sistema de Administración Tributaria sufrieron ataques de denegación de servicio o DOS.

rodrigo.riquelme@eleconomista.mx