Grave hackeo a EVO Banco
La entidad ha sufrido un hackeo de extrema gravedad sin precedentes que deja muchos datos de clientes y ex-clientes al descubierto.
El pasado 19 de abril, EVO Banco colgaba en la correspondencia del área cliente un comunicado. Además, el 20 de abril informaba por email de que había un mensaje importante, animando a entrar a éste sin adelantar nada del contenido. Aquí el documento en cuestión:
Como podemos observar, se trata de un comunicado ambiguo pues no concreta mucho, pero sí parecía ser de poca gravedad. Nada diferente a lo que han sufrido otras empresas. Sin ir más allá, Vodafone, Inversis, entre otras, se han visto en una tesitura similar recientemente. No obstante, en este caso, parece que se ha debido a una negligencia de la entidad.
¿Qué ha ocurrido?
La información que conocemos es escasa y se basa en las afirmaciones realizadas por el hacker. Si lo que dice éste es cierto, lo ocurrido es muy grave. Un hacker llamado R4nsom en un foro ruso explica que detectó una vulnerabilidad en el proceso de alta de EVO que le permitía acceder a los datos de otros clientes. A cada cliente se le asignaba un código de identificación (IDE) que seguía el mismo patrón para cada uno. Cuando se dejaba un alta a medias, se enviaba una notificación para finalizarla. En ese momento, el usuario con el alta a medias podía meter otro código que le permitía ver los datos del cliente con código distinto al suyo, sin ningún otro tipo de verificación. Lo peor, es que esos códigos seguían todos el mismo patrón de construcción y se conservaban todos los antiguos. Entonces, este hacker decidió probar hasta dónde llegaba la seguridad, o la falta de ella, en EVO.
Post de R4nsom. Fuente: LinkedIn de Antonio M.D..
¿Os ha pasado alguna vez que os equivocais de contraseña y el acceso se bloquea temporalmente por seguridad? Pues esto no se implementó en EVO en el proceso de alta. Desde una misma IP y/o mismo dispositivo, fue probando códigos sin cesar. Según afirma, entre 6 y 7 millones de intentos. R4nsom dice entre 6 y 7M y entendemos que es así, ya que en inglés se usaría la letra “k” si quisiera decir miles, incluso en personas cuyo idioma habitual es distinto del inglés. Que haya hecho esa cantidad de intentos sin que salte ninguna alarma en sus sistemas es una auténtica barbaridad.
Los datos robados según el hacker son:
Número de teléfono.
NIF (DNI, NIE, pasaporte…).
Número de cuenta corriente.
Dirección.
Salario.
Trabajo.
Según un post posterior, los datos de la tarjeta de crédito.
PSD2: el sistema que nos facilita el OTP (one-time password). Se trata del típico código que recibimos por SMS en el caso de EVO Banco para confirmar operaciones, o para entrar al área cliente en un nuevo dispositivo. Es el segundo factor de autenticación (2FA). Si el hacker tiene acceso a ello, podría operar en nuestro nombre. Rafa López, de Perception Point, a quien ya entrevistamos en nuestro podcast por ser experto en ciberseguridad, ha afirmado cuando le hemos consultado al respecto que sería el equivalente a tener una “llave maestra”.
Un largo etcétera no concretado por el hacker.
¿Qué medidas ha tomado EVO?
En primer lugar, una obsesión por el comportamiento del cliente en la app y en la web. Muchos mensajes pop-up constantes en la app sobre ciberseguridad, y también correos electrónicos. Al entrar en la app, aparece casi siempre una advertencia sobre no dar nuestras claves, ni códigos OTP recibidos por SMS… y realizando una transferencia llegamos a contar hasta 3 avisos distintos. Por su parte, en la web un aviso también a pantalla completa nada más acceder.
Algunos de los avisos de la web y app de EVO Banco sobre ciberseguridad.
EVO Banco tiene en su plantilla a un responsable de ciberseguridad. El nombre del cargo es CISO por su escritura en inglés: Chief Information Security Officer.
Según el hacker, éste comunicó al CISO de EVO Banco sobre la vulnerabilidad. No respondió pero sí le puso remedio. Al hacker no le ha sentado nada bien y, entonces, ha acabado publicando el mensaje que habéis visto anteriormente. Exige que EVO dé la cara y, dice, no va a vender los datos de los clientes. A su vez, parece que sí los está publicando según un último post según ha publicado Fernando Rodríguez Moral en su LinkedIn:
➡ "En primer lugar es importante recalcar que estos datos no se están vendiendo a terceros ni a ninguna empresa, por favor no escribáis a los privados intentando comprarlos, solo queremos que EvoBanco se responsabilice PÚBLICAMENTE y no «informe» solo a algunos clientes."
➡ "Ya he visto que habéis solucionado la vulnerabilidad, enhorabuena después de casi 1 mes habéis tomado cartas en el asunto. Y no lo neguéis por favor, sabéis que todos los datos personales salen aunque el usuario tenga cc en esa cuenta o no y hasta el inicio del contrato."
➡ "Por otro lado, por qué no decía lo fácil que es conseguir la tarjeta de crédito de cada cliente de tu banco entrando por subdominios, entregas toda la CC y caducidad."
➡ "Para finalizar, aquí tenéis otros 500 datos de clientes, deja de hacer post de m*erda en twitter y dad la cara merluzos."
Por otro lado, el comunicado es del todo insuficiente pues parece afectar también a antiguos clientes y el comunicado se ha enviado a través del área cliente. El email solo invita a entrar en ella. Un antiguo cliente no dispone de acceso al área cliente y debería ser informado debidamente. A su vez, el comunicado no es fiel a la realidad y maquilla la gravedad del asunto, pues no detalla ni el cómo se ha producido ni explica de manera transparente hasta dónde ha llegado el hacker. Además, Rafa López también nos ha manifestado que debería haberse comunicado de manera mucho más abierta y transparente a la sociedad en general.
Además, si tienen acceso a esa “llave maestra” como es el segundo factor de autenticación, esto significa que la posibilidad de vaciar las cuentas de los clientes podría estar ahí. ¿Han puesto remedio a esto? ¿Podría el hacker vaciar las cuentas de sus clientes si quisiera?
El comunicado ofrece un email de contacto y he decidido hacerlo. Han respondido que me llamarían. Lo han hecho, pero no he podido atender sus 2 llamadas cuando las han hecho. Si eres cliente o si lo fuiste en el pasado, te invito a contactarles y nos expliques en comentario lo que te han dicho. Yo haré lo mismo cuando consiga hablar con ellos, pues no han querido darme respuesta por email a las cuestiones planteadas. El email es dpo.evo@evobanco.com.
Actualización:
1) Una persona que dice conocer a R4nsom se ofrece a solucionar dudas y explicar en mayor detalle. No le ha debido gustar lo que le he preguntado porque se ha echado para atrás. O eso o era humo. No ha querido tampoco contestar a si intentó vender los datos de clientes en otro foro bajo otro username el 30 de marzo de 2024.
2) R4nsom ha publicado más detalles de clientes. He podido ver que es cierto. Datos personales a full de muchos clientes. El único dato bancario es el IBAN. Lo de psd2 parece ser un invent. Es algo que también le preguntamos y no quiso responder.
3) R4nsom ha decido compartir datos personales del CISO y del CEO de banco, dice, por “justicia”. Parece ser más un cyberbully y cibercriminal, no un justiciero como intenta vendernos. Impresión personal mía, por supuesto.
Nos comparten en privado que los datos de los clientes SÍ están a la venta, probablemente el mismo con otra cuenta en otro foro, o alguien distinto. Comparte una pequeña muestra con datos reales de clientes. Los intentó vender el 30 de marzo de 2024.