Óscar Rodríguez. 25 mayo
El Banco de Costa Rica niega que sus sistemas informáticos hayan sido vulnerados por el grupo cibercriminal Maze, e indica que la manera en cómo se fugó la información está siendo investigada por el OIJ. Foto: Rafael Pacheco/Archivo
El Banco de Costa Rica niega que sus sistemas informáticos hayan sido vulnerados por el grupo cibercriminal Maze, e indica que la manera en cómo se fugó la información está siendo investigada por el OIJ. Foto: Rafael Pacheco/Archivo

El Banco de Costa Rica (BCR) confirmó que entre los datos divulgados la semana anterior por un grupo cibercriminal denominado Maze hay tarjetas de débito y crédito emitidas por la institución, pero descarta que la información pueda utilizarse para cometer algún tipo de fraude.

Así lo confirmaron, Douglas Soto, gerente general de la entidad financiera; Johnny Chavarría, gerente Corporativo de Tecnologías de la Información (TI); y Manfred Sáenz, gerente Corporativo Jurídico, durante una entrevista con La Nación este 25 de mayo.

Esta situación también había sido confirmada, al inicio de la tarde de este lunes 25 de mayo, por Bernardo Alfaro, jerarca de la Superintendencia General de Entidades Financieras (Sugef).

A pesar de la filtración, los tres representantes del BCR aseguraron que la información difundida, el pasado 21 de mayo por Maze, no puede ser utilizada para efectuar un fraude a sus clientes ni a la entidad. Sin embargo, indicaron que el Banco se hará responsable del eventual daño económico que pueda sufrir alguno de sus usuarios por la divulgación de los números de sus tarjetas.

“Respecto al archivo que anda en circulación, efectivamente, contiene información de tarjetas del Banco. Contiene información de tarjetas de hace más de dos años y medio. Son transacciones que corresponden a enero del 2018. Muchas son tarjetas inactivas que han ido siendo sustituidas por tecnologías chip. Respecto a la fuente de información, es un tema que está en investigación por el Organismo de Investigación Judicial”, confirmó Chavarría.

El BCR corroboró los datos del archivo publicado, luego de descargarlo en un ambiente seguro.

De la revisión hecha al documento, la entidad confirmó que el 70% de las tarjetas de la entidad están inactivas. Cuando detectan un plástico activo, el restante 30%, se comunican con el cliente para cambiar la tarjeta inmediatamente.

“La información que se revela contiene información sobre procesamiento (de tarjetas). Pero es información de vieja data, segundo mucha de esa información hoy no está vigente y, tercero, no está la información completa para poder perpetrar un fraude, como el código de seguridad de la tarjeta”. Johnny Chavarría, gerente Corporativo de TI del BCR.

“Hemos hecho la verificación de la información y hemos determinado que un porcentaje muy alto de estas tarjetas están hoy inactivas. Hablamos de más del 70% de los datos procesados hasta el momento”, manifestó Chavarría.

El grupo cibercriminal Maze publicó datos de tarjetas de crédito de Visa y Mastercard emitidas por el BCR. Pero también hay información de tarjetas de otras entidades financieras.

Chavarría dijo que, desde inicio de ese mes, se pusieron en comunicación con el resto de entidades para alertarlos.

Douglas Soto, por su parte, reconoció que sin duda la intención de Maze era la de generar un daño a la entidad y al sistema financiero costarricense.

“El Banco se responsabiliza de todos sus sistemas y, en caso de que alguna persona fuera perjudicada por esta situación, el Banco le reintegrará (el dinero) inmediatamente. Pero al día de hoy nadie ha sido afectado”, recalcó Soto.

El jerarca insistió que siempre han estado en contacto con sus clientes para mantenerlos informados vía correo electrónico, llamadas y hasta personal.

“La intención de Maze era hacernos un daño reputacional, pero hemos tomado las medidas de protección tanto de los clientes como del Banco. Por supuesto que golpea la reputación del Banco. Se ha invertido mucho dinero en los sistemas de seguridad y nos sentimos tranquilos de la información brindada a nuestros clientes”, recalcó Soto.

Medidas de prevención

Bernardo Alfaro, jerarca de la Superintendencia General de Entidades Financieras (Sugef), destacó que la información difundida no puede ser utilizada para cometer fraudes. El BCR también lo confirmó.

“Ese listado NO contiene el código CVC (el que aparece en el reverso de las tarjetas), y por lo tanto es muy difícil que esos datos sirvan para cometer fraudes”, destacó el jerarca, ante consultas de La Nación sobre la situación ocurrida con el BCR, desde hace varias semanas.

Mientras tanto, el Superintendente recomendó a los usuarios no ingresar a ninguna página donde ofrezcan verificar si su tarjeta aparece en los números liberados la semana anterior.

“La principal recomendación para todos los usuarios de tarjeta de crédito o débito, es que No accedan a ningún link o página web que les ofrezca verificar si su tarjeta está en el listado que publicaron el viernes. Es una trampa para capturar sus datos mediante un malware y causarles un perjuicio”, recalcó Alfaro.

“Debe destacarse que el Banco de Costa Rica está tan seguro de que no se está causando perjuicio a las personas, que ofreció cubrir cualquier eventualidad que alguien pueda sufrir en este caso”. Bernardo Alfaro, superintendente de Sugef.

La semana anterior, el Banco de Costa Rica negó que sus sistemas fueran vulnerados por el grupo Maze. Desde el 1. ° de mayo pasado, la institución catalogó este caso como una extorsión y así lo denunció en la vía judicial, reconocieron en ese momento.

El jerarca de la Sugef enfatizó que si algún cliente tiene dudas sobre si su tarjeta está o no en esta lista, debe consultar a la entidad para que haga la indagación del caso.

“Debe destacarse que el Banco de Costa Rica está tan seguro de que no se está causando perjuicio a las personas, que ofreció cubrir cualquier eventualidad que alguien pueda sufrir en este caso”, recalcó Alfaro.

El funcionario destacó que mantienen comunicación diaria con las autoridades del BCR y sus asesores tecnológicos y de seguridad.

De momento, dijo, no considera necesario emitir alguna disposición para el resto del sistema financiero desde la Superintendencia.

La recomendación de especialistas legales y bancarios consultados por La Nación, a propósito de este caso, es que si un cliente se siente afectado por la divulgación de la información, puede solicitar a la entidad financiera la reposición de su tarjeta.

Nota del editor: El título y el contenido de esta información fueron actualizados a las 5:15 p. m. con las declaraciones de los jerarcas del Banco de Costa Rica, donde reconocen la divulgación de información de las tarjetas y las medidas que se están adoptando para atender la situación.