Aunque la muestra publicada corresponde a usuarios en el Perú, no se descarta que la base contenga información de clientes de otros países. La filtración fue detectada por la firma de ciberseguridad Hackmanac, que alertó sobre la presencia de los datos en DarkForums, un conocido foro clandestino en la dark web.
Newsletter exclusivo para suscriptores
¿Qué tan grave puede ser una filtración de este tipo?
Imagen creada con IA.
“Más allá de la industria —sea un banco, una operadora o una empresa de otro rubro— el objetivo de los ciberdelincuentes suele ser el mismo: obtener datos personales”, explica a El Comercio Sergio Azahuanche, experto en ciberseguridad. Esto incluye nombres, teléfonos, correos, direcciones, números de documento, e incluso fragmentos de tarjetas de crédito.
Con esta información, los atacantes pueden realizar fraudes como suplantación de identidad, acceder a servicios ajenos o incluso convencer a las víctimas de entregar sus propios datos sensibles mediante técnicas de ingeniería social.
“Por ejemplo, si un atacante sabe que pagas un servicio con cierta tarjeta, puede contactarte simulando ser esa empresa y pedirte completar los datos de tu tarjeta con fecha de vencimiento y CVV, diciendo que hubo un problema de cobro”.
También pueden enviar enlaces a sitios web falsos que imitan plataformas legítimas para capturar datos directamente de la víctima. En algunos casos también se usa la suplantación hasta para obtener préstamos financieros, aunque esto puede ser un poco más complejo, ya que supondría que la entidad financiera no valide correctamente la información.
Los ciberdelincuentes tienen métodos para abordar y tratar de engañar a sus víctimas, recurren muchas veces a un trabajo de ingeniería social, es decir, hacen un seguimiento de sus víctimas, los observan, ven sus comportamientos y tratan de conocerlo lo más que puedan.
“El peligro no está solo en el dato individual, sino en cómo puede combinarse con otros para construir un perfil más completo del usuario”, advierte Azahuanche, quien también es consultor de Marsh. Por ejemplo, si un delincuente tiene tu DNI y teléfono filtrados de una operadora, y además accede a otra base que contenga tu banco o lugar de trabajo, puede armar una imagen precisa de ti.
Esto se traduce en ataques más dirigidos y creíbles. “El riesgo aumenta porque la ingeniería social se vuelve más efectiva: no es lo mismo un intento de estafa genérico que uno que ya conoce tus servicios, tu consumo o tus patrones”.
¿Cómo se obtienen las filtraciones?
Los cibercriminales puden aprovechar vulnerabilidades en los sistemas y aplicaciones.
Las filtraciones de datos pueden ocurrir por múltiples vías, no siempre evidentes para el usuario. Una de las más comunes, explica el especialista en seguridad cibernética, ocurre cuando existen vulnerabilidades técnicas en los sistemas de una empresa que no han sido corregidas a tiempo. Estas fallas pueden ser aprovechadas por ciberatacantes para acceder a información sensible o copias de bases de datos.
Otro escenario frecuente se da durante el desarrollo de nuevas aplicaciones o actualizaciones. En estos casos, los equipos técnicos pueden usar bases reales —extraídas del entorno de producción— para hacer pruebas en entornos de desarrollo. El problema es que esas muestras de datos, al no ser adecuadamente protegidas o eliminadas, pueden quedar expuestas y convertirse en un blanco accesible para los atacantes. “Por eso muchas veces se dice que una base filtrada está desactualizada. Es porque fue tomada para pruebas meses o años atrás, cuando en realidad en esos casos deberían usarse datos ficticios o anonimizados”, señala el experto en ciberseguridad.
El riesgo también puede venir desde fuera. Los proveedores o terceros que acceden a información sensible como parte de un contrato con la empresa —por ejemplo, agencias de publicidad, empresas de TI o ‘call centers’— no siempre cuentan con los mismos niveles de seguridad. “Es por eso que hoy la ciberseguridad también exige que los proveedores tengan un nivel de robustez similar al de la empresa que los contrata”, añade.
Finalmente, existen otros métodos como el uso de ransomware, donde el atacante se infiltra en los sistemas, cifra los datos y luego amenaza con publicarlos a menos que se pague un rescate. Este tipo de ataques también implica extracción previa de información. Y en muchos casos, todo se agrava si la organización no cuenta con herramientas avanzadas de detección, como un buen anti-malware, sistemas de prevención de fuga de información (DLP), o soluciones capaces de identificar comportamientos anómalos dentro de la red.
Medidas de seguridad
(Foto: Freepik.es)
Aunque los ataques informáticos ocurren a gran escala, hay varias medidas que cualquier usuario puede tomar para proteger su información personal. El primer paso, según Azahuanche, es el sentido común: nunca brindar datos sensibles —como contraseñas, números de tarjeta o códigos de verificación— por canales como correos electrónicos, mensajes de texto o aplicaciones de mensajería, sin importar quién los solicite. “Aunque digan que es el banco o incluso el papa, si piden tus datos por WhatsApp, sospecha”, advierte el especialista.
Otro recurso clave es activar la verificación en dos pasos en todas las plataformas posibles. Esta medida añade una capa extra de seguridad y puede evitar que un tercero acceda a tus cuentas, incluso si consigue tu contraseña. Azahuanche recomienda especialmente el uso de aplicaciones de autenticación por encima del envío de códigos por SMS o correo electrónico, que pueden ser interceptados con mayor facilidad.
Para quienes deseen monitorear si su información ya ha sido comprometida, existen servicios de ciberseguridad personal que alertan al usuario si su correo, DNI o contraseñas han sido detectados en bases de datos filtradas en la dark web. “Son herramientas accesibles, que no cuestan demasiado, y ofrecen un nivel de vigilancia útil para actuar a tiempo”, señala.
También sugiere el uso de contraseñas fuertes y únicas para cada servicio, almacenadas en bóvedas digitales, así como prestar atención a cualquier movimiento extraño en tarjetas bancarias. “Un cobro mínimo en dólares o soles que no reconozcas puede ser un indicio de que están probando tu tarjeta. Ante la duda, bloquéala de inmediato”, recomienda.
Telefónica del Perú, por su parte, ha dicho que sus servicios operan con normalidad y que no se ha identificado ningún incidente de seguridad que comprometa sus sistemas. En un comunicado, la empresa indicó que investiga el alcance de la posible filtración de datos que están vinculados a registros de clientes inactivos, pero precisó que los servicios actuales de los usuarios no se han visto afectados.
