Qué sabemos de la falla de seguridad de Banco Falabella, un día después

Más de 24 horas se han cumplido desde que se reportaron los incidentes de seguridad donde Banco Falabella se vio involucrado. En ellos se permitía el acceso a las cuentas de los clientes únicamente con el RUT y sin una contraseña.

La noticia fue seguida por OhMyGeek! desde ayer, incluyendo los coletazos que continuaron durante el día de hoy.

Frente a esta situación, nos gustaría aclarar unos puntos para que noten el manejo de crisis que tiene la banca frente a situaciones que involucran la seguridad de sus clientes:

• Banco Falabella -públicamente- sólo se remitió a escribir un tweet que habían detectado errores en su Web. Sin especificar la gravedad del asunto en cuestión.
• La empresa no comunicó masivamente a sus clientes del incidente y tampoco habría notificado el hecho a la Superintendencia de Bancos e Instituciones Financieras de Chile (SBIF).
• OhMyGeek! se comunicó con el Director de Comunicaciones de la SBIF para recibir información y no fue atendida su consulta.
• La vulnerabilidad también fue reportada por empresas de seguridad informática. Es el caso de ‘Security Sense’, haciéndolo paralelamente a la información provista por usuarios individuales.
• No se sabe con exactitud cuánto tiempo estuvo la falla operativa. Pudieron ser horas e incluso días.
• Tuvimos que proteger la identidad de uno de los que advirtieron la falla por presiones que él directamente recibió. En ese sentido, modificamos las imágenes de las publicaciones anteriores.

¿El banco borra videos online?

Hoy la situación se complicó cuando los videos que publicaron los usuarios, evidenciando la falla, comenzaron a desaparecer.

En Twitter el video que subió Diego Godoy ya no está. Otro usuario nos informó que su compañero de labores le suspendieron la cuenta (temporalmente) por compartir un clip con lo mismo.

OhMyGeek! recibió una acusación en YouTube por el video utilizado en la nota que publicamos ayer. En esta se alega por el uso de imagen indebido por parte de una empresa llamada ‘Easy Solutions’, actualmente ‘Cyxtera Technologies’.

Esta compañía, para hacer el reclamo en YouTube, dijo que son los representantes de la propiedad intelectual de ‘Falabella Chile’.

Frente a esto -Falabella- comunicó a medios como Bío-Bío Chile y La Tercera que ellos niegan «tajantemente» que hayan pedido la remoción de material audiovisual online.

Aquí viene lo divertido: para solicitar la eliminación de un video en Twitter, la red social solicita una firma física o electrónica del titular o una persona autorizada para actuar por un tercero.

Es decir, si los videos se bajaron, debieron ser un acto directamente desde Falabella o un tercero que tenga autorización expresa para este proceso.

¿Se acuerdan lo que pasó con los videos que la FIFA enviaba a borrar por el Mundial de Fútbol? Es lo mismo.

Versión de Banco Falabella

Considerando que SBIF no se pronunció por el tema, el Banco explicó en un comunicado que levantaron una alerta por una falla en el sistema. Frente a esto realizaron medidas de control, lo que resguardaron la información de los clientes.

Por lo mismo, según la entidad financiera, no hubo ninguna operación que no fuese autorizada por los mismos.

Finalmente y continuando con las consultas, por ahora sólo necesitamos resolver lo siguiente:

• OhMyGeek! preguntó a Google cómo alguien puede enviar una solicitud de remoción de un video acusando el uso de imagen indebido. ¿Se presentaron documentos que validara la representación de ‘Cyxtera Technologies’ hacia Falabella para este propósito? Si no, técnicamente, todos nos podríamos acusar por cualquier cosa sin antecedentes.
• Por otra parte seguiremos atentos a lo que SBIF pueda decir. Considerando que a 24 horas de lo sucedido, pareciera que -aún- no se han dado cuenta.
• Banco Falabella debe explicar el por qué sucedió una falla tan grave como esta. Especificando cuánto tiempo estuvo la vulnerabilidad operativa y cuánto les tomó darse cuenta para repararlo.

ACTUALIZACIÓN (7 de agosto 2018 | 13:00 hrs.)

SBIF respondió a nuestra solicitud de comentarios, indicando que los reportes de incidentes que sufren los bancos es de carácter reservado. Y ellos no pueden aportar detalles por restricciones legales.

Por otro lado esta misma entidad informa que la vulnerabilidad fue comunicada por parte de Banco Falabella y su solución fue ‘inmediata’. Todo esto sin especificar tiempos u horarios.