En octubre del 2024, el banco Interbank del Perú fue objeto de una filtración de datos de sus clientes, lo que generó, entre otras consecuencias, un estado de pánico financiero. Un usuario identificado como “Kzoldyck” publicó en el portal “breachforums.st” que había obtenido 3.7 terabytes de información del banco. Según afirmó, decidió liberar esta información tras el fracaso de una negociación con los representantes del banco quienes se habrían negado a pagar un monto de dinero para evitar la divulgación de los datos[1].
Este caso resulta relevante, ya que representa la primera vez que se hace pública la posible vulneración del sistema de seguridad de una entidad financiera en este país de manera gravosa. Además, se hicieron públicas conversaciones entre el ciberatacante y el banco (las cuales, a la fecha, no han sido confirmadas o desmentidas públicamente por la entidad bancaria) sobre las acciones de extorsión sufridas por la entidad.
Este incidente merece ser examinado, desde el punto de vista legal, con el objetivo de identificar las principales implicancias que se derivan de él. Así, primero describiremos los hechos conocidos hasta la fecha sobre la filtración de datos y el posible ciberataque. Luego, abordaremos los principales desafíos legales que identificamos en este caso.
Es importante señalar que, para hablar de ciberseguridad, es necesario hacerlo desde distintas esferas de comprensión, ya que este tema se aborda de manera holística y no de forma estricta en una sola materia. En esta ocasión, nos enfocaremos únicamente en los aspectos relacionados con la protección de datos personales, el marco de confianza digital (o ciberseguridad) y en materia financiera. Finalmente, realizaremos una breve reflexión acerca del nivel de ciberseguridad del sistema financiero en Perú y los retos para construir un mejor panorama frente a estos casos.
Historia de un ciberataque: descripción de los hechos
De acuerdo con fuentes periodísticas[2], el 30 de octubre del año pasado, el usuario “kzoldiyck” anunció en “Breachforums” que había obtenido datos financieros del banco Interbank. Asimismo, se menciona que el atacante, publicó temporalmente un archivo con un script que contenía credenciales para acceder a una base de datos alojada en New Relic (proveedor del banco)[3]. Dicha base de datos incluye datos de movimientos bancarios, dispositivos y números telefónicos de los clientes del banco.
Paralelamente, el banco informaba mediante sus canales oficiales que algunos de sus canales y servicios no estaban disponibles (billetera digitales y aplicaciones). Incluso se dio a conocer que ese día por la mañana se había determinado que algunas sucursales no dieran atención al público. Ese mismo día por la tarde, el ciberdelincuente publicó un mensaje afirmando que el banco no había accedido a pagar el monto exigido para evitar la comercialización ilegal de la información sustraída. Además, compartió capturas de correos electrónicos que supuestamente mostraban conversaciones entre ambas partes, negociando el precio y las condiciones del pago, aunque finalmente el banco decidió no continuar con la negociación. Cabe destacar que, hasta la fecha, la entidad bancaria no ha precisado públicamente la autenticidad de dichas conversaciones.
Frente al estado de pánico por parte de los clientes del banco, al día siguiente, 31 de octubre, el CEO del banco, Carlos Tori, informó públicamente que el 30 de octubre el banco “había sido objeto de una filtración de datos de clientes por parte de un tercero no identificado con la intención de extorsionar al banco”. También indicó que el problema operativo era independiente a la exposición de datos y que sus canales digitales ya estaban disponibles[4].
¿Cómo prepararse y responder efectivamente?
Protección de los datos personales
El primer aspecto que corresponde analizar es la consecuencia que tuvo este incidente dentro del marco de protección de datos personales pues se habrían comprometido datos bancarios de trabajadores y clientes del banco. La ley peruana de protección de datos personales (Ley 29733) y su Reglamento establecen que los responsables del tratamiento de los datos deben asegurar el control de aquellos que acceden al tratamiento de los datos, además de implementar todas las medidas legales y operativas que permitan proteger esta información y evitar que terceros accedan a la misma[5]. Dada la confirmación por parte de la entidad bancaria que un tercero no autorizado pudo haber accedido a dichos datos de carácter sensible, se verifica que, por un lado, el derecho a la protección de los datos de los clientes habría sido vulnerado y, que no se habrían implementado, en principio, las medidas necesarias para evitar que esto ocurriese, especialmente en lo vinculado a la gestión y control de privilegios.
Además, la normativa vigente establece que, en caso de incidentes de seguridad[6] que involucren datos personales y que generen la exposición de grandes volúmenes de los mismos, ya sea por cantidad, tipo de datos o que afecten a un número significativo de personas —o cuando se trate de datos sensibles o se produzca un perjuicio evidente a otros derechos—, el responsable del tratamiento debe notificar a la Autoridad Nacional de Protección de Datos Personales en un plazo máximo de 48 horas desde que tenga conocimiento o constancia del incidente. Esta obligación persiste incluso si el responsable considera que el incidente ha sido subsanado o resuelto internamente.
Cabe señalar que, en el momento de los hechos, el nuevo Reglamento de la Ley de Protección de Datos que establece la obligación de notificación aún no había entrado en vigor. Sin embargo, es posible que la entidad, como parte de sus prácticas de buen gobierno corporativo y compliance, haya procedido con el reporte correspondiente.
Según las disposiciones sancionadoras, no notificar a la Autoridad correspondiente un incidente de seguridad que afecte datos personales, se considera una infracción grave, sancionada con una multa de hasta 50 Unidades Impositivas Tributarias (UIT), lo que equivale aproximadamente a 74,000 dólares estadounidenses. De igual manera, el tratamiento indebido de datos personales sensibles, en contravención de las medidas de seguridad establecidas por la legislación vigente, que cause perjuicio al titular de los datos o implique una exposición no autorizada de los mismos, puede ser sancionado con hasta 100 UIT, lo que representa alrededor de 148,000 dólares estadounidenses. En este contexto, si se llegaran a acreditar incidentes relacionados con la ciberseguridad que involucren datos personales, las sanciones podrían ascender hasta 200,000 dólares en multas.
Marco de confianza digital y medidas de reporte frente a incidentes de seguridad
La normativa peruana establece la necesidad de tomar medidas de ciberseguridad a través del marco de Confianza y Seguridad Digital. Este marco busca generar confianza en el entorno digital, aplicando medidas prácticas para proteger a las personas y bienes importantes del país frente a riesgos cibernéticos. Esto se basa en el Decreto Legislativo 1412, Ley de Gobierno Digital, y el Decreto de Urgencia 007-2020 de Confianza Digital.
De acuerdo con dicho marco regulatorio, las entidades de la administración pública, los proveedores de servicios digitales del sector financiero, servicios básicos (energía eléctrica, agua y gas), salud y transporte de personas, proveedores de servicios de internet y los proveedores de actividades críticas, deben, entre otros: (i) notificar al Centro Nacional de Seguridad Digital todo incidente de seguridad digital, (ii) gestionar los riesgos de seguridad digital en su organización con fines de establecer controles que permitan proteger la confidencialidad, integridad y disponibilidad de la información (los tres pilares fundamentales de la ciberseguridad- “la triada”); y, (iii) mantener una infraestructura segura, escalable e interoperable.
El sector financiero es catalogado como una actividad crítica en tanto es una actividad económica cuya interrupción tiene graves consecuencias en la seguridad de los ciudadanos, en el funcionamiento efectivo de los servicios esenciales que mantienen la economía y la afectan. De esta forma, debe seguir los lineamientos establecidos en la normativa. Sin embargo, si bien Perú tiene este primer paso que establece las obligaciones generales de seguridad, a la fecha, el instrumento legal que desarrolla estas obligaciones todavía no se ha publicado. Esto es preocupante porque la falta de un marco legal detallado y actualizado impide una implementación efectiva de medidas de ciberseguridad, dejando expuestas a las instituciones a posibles riesgos y vulnerabilidades que podrían afectar gravemente la estabilidad económica y la confianza de los usuarios en los servicios financieros.
En este contexto, es ilustrativo revisar la normativa europea en la materia. Así, el Digital Operational Resilience Act (Reglamento “DORA”), aplicable para el sector financiero y el Network and Information Security Directive (Directiva “NIS2”), aplicable supletoriamente, reconocen que los incidentes de ciberseguridad y la falta de resiliencia operativa tienen la posibilidad de poner en peligro la solidez de todo el sistema financiero.
Así, establecen requisitos y obligaciones específicas, de manera que, de forma resumida, se puede señalar que las entidades financieras deben llevar a cabo:
- El desarrollo de marcos integrales de gestión de riesgos. Esto implica identificar y clasificar los activos críticos, realizar evaluaciones continuas de riesgos, y establecer la responsabilidad del órgano de dirección de la entidad.
- El establecimiento de sistemas de monitoreo y registro de incidentes que incluye la obligación de informar el incidente a la autoridad competente, clientes y socios (de corresponder).
- Pruebas de resiliencia operativa que incluyan evaluaciones periódicas de vulnerabilidades y pruebas de penetración (pen-testing) con amenazas específicas.
- Monitorizar el riesgo de la cadena de suministro de las entidades financieras. Es decir, que las entidades financieras deben asumir un rol activo en la gestión de riesgos de terceros que les provean servicios TIC. En ese sentido, sus proveedores también estarán sujetos a la normativa DORA.
En este sentido, y considerando el último punto relacionado con la monitorización de proveedores de servicios TIC, en un escenario hipotético como el que estamos analizando, es plausible que New Relic, como proveedor financiero dedicado a monitorear y mejorar el rendimiento de sistemas digitales, también pudiera estar sujeto a la implementación de medidas de seguridad, reporte y pruebas periódicas de resiliencia[7]. De hecho, como vimos previamente, el ámbito de aplicación del marco de confianza digital peruana incluye expresamente a los proveedores del sistema financiero, por lo que se encuentra obligado a cumplir con sus disposiciones.
Por otro lado, aunque ninguna medida de seguridad o defensa puede garantizar una fiabilidad total, dado que las amenazas cibernéticas están en constante evolución, sería relevante señalar que, en el contexto del caso Interbank, fuentes periodísticas mencionaron que el acceso a los datos personales de los clientes podría haberse producido a través de la obtención de credenciales (usuarios y contraseñas) de usuarios privilegiados con acceso a esta información. Esto sugeriría que, según lo que se observa en casuística similar, es posible que un colaborador de la empresa o de su proveedor New Relic pudiera haber sido objetivo de un ataque mediante una técnica de ingeniería social, y el tercero habría logrado obtener sus credenciales para acceder a las contraseñas.
Normativa sectorial a nivel financiero
En 2021, Perú publicó la Resolución SBS 504-2021, mediante la cual se aprobó el Reglamento para la gestión de la seguridad de la información y la ciberseguridad en el sector financiero. El objetivo de este reglamento es que las entidades supervisadas implementen un entorno seguro y confiable para la provisión de productos y servicios, asegurando que estén preparadas frente al incremento de los riesgos asociados con la seguridad de la información. De este modo, se busca fortalecer la protección de los datos y la infraestructura tecnológica dentro del sector financiero.
El Reglamento establece responsabilidades específicas para alcanzar estos objetivos y define tres regímenes diferenciados: general, simplificado y reforzado. La aplicación de cada régimen depende del tamaño, naturaleza y complejidad de los servicios y operaciones de las entidades financieras, lo que permite una adaptación más precisa a las necesidades y capacidades de cada institución.
En el caso del régimen general, que se aplica a las entidades bancarias, se establecen tres responsabilidades clave: (i) analizar las amenazas y vulnerabilidades en los activos; (ii) garantizar la implementación de controles de seguridad adecuados y desarrollar capacidades para la detección, respuesta y recuperación ante incidentes de seguridad de la información; y (iii) integrar estos aspectos con los planes de emergencia, crisis y continuidad. Además, el reglamento establece que es responsabilidad de cada entidad financiera definir los roles y responsabilidades contractuales de sus proveedores en relación con la seguridad de la información, asegurando que se lleven a cabo las implementaciones complementarias necesarias para cumplir con los requerimientos del reglamento.
Este régimen también incluye la obligación de enviar un reporte a la entidad reguladora del sector sobre incidentes de seguridad. En efecto, de acuerdo con el artículo 15 del Reglamento 504, la empresa debe reportar a la (la Superintendencia de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones de Perú- SBS) “en cuando advierta la ocurrencia de un incidente de ciberseguridad que presente un impacto adverso significativo verificado o presumible de: a) Pérdida o hurto de información de la empresa o de clientes, c) Impacto negativo en la imagen y reputación de la empresa”.
Con relación al reporte, de la revisión realizada en medios públicos, no se tiene conocimiento que los representantes de esta entidad confirmaran si el banco avisó oportunamente al regulador que había tenido una amenaza. Sin embargo, los representantes del banco indicaron en una sesión en el Congreso de la República que el ente regulador había iniciado un procedimiento de investigación por este caso.
En conclusión, la Resolución SBS 504-2021 representa un avance inicial en la gestión de la seguridad de la información y la ciberseguridad en el sector financiero de Perú. Con la implementación de este reglamento, se busca crear un entorno más seguro y confiable para la provisión de servicios financieros, y asegurar que las entidades estén preparadas frente al aumento de los riesgos relacionados con la seguridad de la información. De esta forma, a nivel financiero se podría precisar que el sector estaría inicialmente cubierto.
Breve reflexión
A pesar de contar con normativas iniciales, se observa que aún persisten brechas en áreas clave como la gestión de accesos privilegiados, la supervisión de proveedores externos y la capacitación del personal. La dependencia de terceros resalta la necesidad de garantizar que estos proveedores cumplan con los más altos estándares de seguridad. Además, el incidente pone en evidencia la falta de protocolos efectivos para prevenir, detectar y responder de manera oportuna ante ciberataques. En este sentido, la transparencia en la comunicación con clientes y autoridades es fundamental para preservar la confianza y mitigar el impacto de estos eventos.
Este caso subraya, además, la importancia crucial de la capacitación continua para los colaboradores encargados de la ciberseguridad. Como bien señaló Kevin Mitnick, uno de los hackers más conocidos de la historia, “las empresas invierten millones en firewalls, cifrado y dispositivos para acceder de forma segura, y es dinero malgastado, porque ninguna de estas medidas corrige el eslabón más débil de la cadena de seguridad: las personas”.
Esta reflexión pone de manifiesto que, además de implementar tecnologías y políticas de protección, es esencial formar y sensibilizar a los empleados sobre las mejores prácticas de seguridad, a fin de minimizar los riesgos derivados de posibles errores humanos.
Abogada por la Pontificia Universidad Católica del Perú. especialista en derecho digital con estudios en políticas públicas y gobierno digital. Candidata a Master en Ciberseguridad y Entornos Digitales por la Universidad de León, España.
Miembro del Grupo de Investigación en Innovación y Transversalidad en Derecho Privado de la PUCP.
_________________________________________________________
Recuerda seguirnos por todas las redes sociales a través del usuario @datalawrd y nuestro canal de Youtube para ver más sobre nuestro contenido.
[1] Ver https://www.bleepingcomputer.com/news/security/interbank-confirms-data-breach-following-failed-extortion-data-leak/
[2] Ver https://ojo-publico.com/5390/ciberdelincuencia-la-ruta-detras-del-robo-datos-interbank
[3] Sobre este aspecto, técnicos expertos en ciberseguridad señalan que esto sugeriría que el hacker obtuvo información significativa sobre las operaciones internas del banco. Sin embargo, también se indicó que el análisis de infraestructura de almacenamiento de datos no mostró alertas, y que el atacante no alteró información en las bases de datos. Esto da a entender que, aunque tenía cierta información no logró comprometer directamente los sistemas de almacenamiento.
[4] Ver: https://www.youtube.com/watch?v=U1RSztHEfzk&ab_channel=InterbankPer%C3%BA
[5] Artículo 9 de la Ley de Protección de Datos Personales en consonancia con el Capítulo VI “Medidas de Seguridad” del Reglamento de la Ley.
[6] De acuerdo con la Ley de Protección de Datos Personales, un incidente de seguridad es toda vulneración de la seguridad que ocasione la destrucción, pérdida, alteración ilícita de los datos personales o la comunicación o exposición no autorizada de dichos datos.
[7] Es importante señalar que este análisis se realiza con fines académicos, y no pretende señalar responsabilidades específicas en la práctica real.
