Expuso incidente de empresa prestamista correos y contraseñas de clientes

MÉXICO.- Todos los clientes de la plataforma de préstamos YoTePresto se vieron afectados por un ataque cibernético que dejó expuestos nombres de cuentas de correo y contraseñas encriptadas. La cuenta de correo es la llave de acceso de los clientes de YoTePresto, con la que se dan de alta para solicitar un crédito de financiamiento colectivo. Ahora esos registros se encuentran a la venta en foros de hackers, según el sitio de noticias de ciberseguridad BleepingComputer. 

El incidente de seguridad de la información de YoTePresto ocurrió el 21 de junio de 2020, cuando los sistemas informáticos de la compañía registraron accesos no autorizados que tuvieron a su disposición 1.4 millones de registros con los correos electrónicos y contraseñas de todos los clientes de YoTePresto. “Son todos los clientes. Es la base de datos de clientes, es la tabla de clientes”, dijo Luis Rubén Chávez, fundador y director ejecutivo de YoTePresto, una fintech con sede en Guadalajara, Jalisco, que ofrece préstamos de financiamiento colectivo, consultado sobre el caso.

De acuerdo con Chávez, la brecha de seguridad fue detectada “a primera hora” del lunes 22 de junio; los ingenieros de YoTePresto corrigieron la falla de inmediato y la compañía notificó a sus usuarios y a la autoridad bancaria. “No hubo ninguna afectación de ningún tipo a ningún cliente. A nadie le pudieron entrar a su cuenta, jalar la información ni mucho menos, porque para poder hacer cualquier transacción todas las operaciones tienen que ser validadas con un método de doble autenticación”, dijo Chávez.

“Normalmente lo que pasa en este tipo de casos es que luego pueden intentar hacer phishing, mandando correos apócrifos. Ya les dijimos (a nuestros clientes): ‘Si ven correos raros, como cualquiera, no los abres; si vienen archivos adjuntos, no los abras’. Y con esto las acciones de mitigación fueron concluidas y reportadas a la Comisión Nacional Bancaria y de Valores en su momento”, dijo Chávez.

Aseguró que en el incidente no hubo datos personales involucrados y por eso no se requirió la intervención del Inai, la autoridad de protección de datos personales. “En ningún momento ningún dato sensible ni personal fue vulnerado, que es normalmente donde entra el Inai, pero como no se reveló ningún nombre, domicilio, teléfono, dato, INE, documento de trabajo, ingreso, sexo, religión, nada de datos personales: fue literal un correo y la contraseña encriptada y nada más”.

Además del correo electrónico y las contraseñas encriptadas, el o los intrusos sólo tuvieron acceso a “cosas ya muy internas” relacionadas con las cuentas de los clientes, como configuraciones de inversión y notificaciones. “Cosas que ya no afectan nada a nivel transaccional y ni a los datos personales. Se llaman datos de configuración de la cuenta. Entonces hasta ahí llegó el alcance”, dijo Chávez.

Los datos personales, dice la ley federal en la materia, son “cualquier información concerniente a una persona física identificada o identificable”. La cuenta de correo puede considerarse dato personal en la medida en que los caracteres que la componen puedan asociarse con una persona física. Si la cuenta de correo dice el nombre de su titular, indefectiblemente es un dato personal.

Con información de El Economista