Agujero en Caja Rural: difunden la clave de acceso, móvil e 'email' de cientos de clientes

El Grupo Caja Rural, que engloba a 29 cajas rurales repartidas por todo el territorio español, además del Banco Cooperativo Español, Rural Servicios Informáticos y Seguros RGA, se acaba de encontrar con un serio problema. Según ha podido confirmar este diario, Ruralvía, el servicio de banca 'online' del Grupo, ha visto difundida una base de datos de al menos 637 clientes con información personal y privada como su nombre completo, su DNI, su correo electrónico, su número de teléfono móvil, la dirección de su casa y el 'hash' de su contraseña para acceder a su banca 'online', que puede ser desencriptado.

Por el momento se desconoce si la difusión de dicha base de datos, a la que ha tenido acceso El Confidencial, responde a un ciberataque dirigido hacia la entidad o a una brecha de datos interna que habría dado lugar al acceso, filtración y difusión de la información de carácter personal de sus clientes.

TE PUEDE INTERESAR

Diario de un 'hacker': "Mi jefe me ofreció 10.000 € por entrar al WhatsApp de su novia"

C. Otto

¿Qué datos se han filtrado?

En los documentos a los que ha tenido acceso este diario, los 637 clientes (mayoritariamente de Castilla y León, aunque también de otras provincias como Madrid, Barcelona y Gran Canaria) de las entidades han visto filtrados multitud de datos de carácter personal:

• Nombre y apellidos completos
• DNI
• 'Hash' de su contraseña de acceso a los servicios 'online' del banco
• Número de teléfono móvil
• Dirección completa de su domicilio

El Confidencial ha podido comprobar la veracidad de los datos expuestos tras hablar con 10 clientes afectados por esta brecha, que al responder nuestra llamada, han confirmado la mayoría de la información que alberga la base de datos. Esta ya ha empezado a ser difundida en algunos portales (este diario no enlaza, por motivos obvios, las publicaciones en las que está presente la base de datos al completo).

En la actualidad, el Grupo Caja Rural engloba a 29 entidades financieras de toda España y consta de Ruralvía como plataforma para sus servicios de banca 'online'. Es uno de los principales grupos bancarios operantes en España. Cuenta con más de 2.299 oficinas y 8.148 empleados y su estado financiero y patrimonial se plasma en 59.394 millones de euros en activos totales y más de 4.783 millones de euros en fondos propios.

¿Qué se puede hacer con esos datos?

Una vez recopilados dichos datos, el abanico de acciones que se puede llevar a cabo con ellos es muy amplio:

1.- Desencriptar la contraseña. Los documentos incluyen los 'hashes' de identificación de cada usuario. El 'hash' es un código que encripta la contraseña, pero hay varias formas de intentar desencriptarla. Para Román Ramírez, experto en ciberseguridad, este proceso no guardaría demasiados misterios: "Es más o menos difícil dependiendo de lo fuerte que sea el 'hash'. Este es un 'hash' del tipo SHA 1, que son muy fáciles de romper, ya que mucha gente los ha desencriptado ya. Hay webs de bases de datos de 'hashes' precomputados que te permiten meter un 'hash' y conocer la contraseña que hay detrás de él. Acceder a estas contraseñas es muy fácil, se tarda menos de medio segundo".

La operación, efectivamente, es sencilla. De hecho, en menos de un minuto, este diario ha entrado en una web que desencripta los 'hashes' y ha accedido a las contraseñas reales de varios usuarios de Caja Rural.

2.- Acceder a la banca 'online'. Una vez desencriptada la contraseña, quien la tenga podría acceder a los servicios de banca 'online' privados de cada cliente. Así mismo, puede tratar de contratar cualquier servicio adicional del banco con todos sus datos. Ahora bien, hay una excepción a esto: solo podrá entrar a la cuenta si el afectado ya lo ha hecho alguna vez desde el 14 de septiembre. Como expone Ruralvía, cuando se produce el primer acceso manda un segundo código de verificación al móvil del usuario. Pero si este ya ha entrado alguna vez, quien tenga su contraseña podrá acceder de nuevo sin necesidad de la segunda clave.

3.- Domiciliar servicios o comprar productos. Existen multitud de servicios que permiten domiciliar el cobro o la suscripción por recibir un material (cursos, compras 'online', suscripciones a revistas...) tan solo con dar la información personal que ya figura en la base de datos filtrada.

Los datos filtrados pueden servir para desencriptar la contraseña, suplantar la identidad de los clientes, hacerles 'phishing'...

4.- Suplantación de identidad. La suplantación de identidad generalmente no resulta sencilla, ya que se suele requerir una serie de datos que rara vez están en posesión de un ciberdelincuente. Sin embargo, la posesión de su nombre completo, DNI, número de móvil y domicilio postal puede abrir muchas puertas a la hora e intentar hacerse pasar por otra persona.

5.- Abrir la puerta al 'phishing'. Cuando recibimos 'phishing' (correos malignos en los que alguien hace pasarse por nuestro operador móvil, nuestra compañía de la luz, nuestro banco...) solemos ver que quien nos escribe tiene apenas un dato nuestro (el correo) o como mucho, dos (el correo y el nombre), con lo que no es tan fácil caer en la trampa. Sin embargo, si el emisor del correo nos da datos tan relevantes como nuestro nombre completo, DNI, teléfono y dirección, la posibilidad de caer en una estafa aumenta exponencialmente.

6.- Vender los datos. Si la persona que accede la base de datos filtrada no quiere dedicar tiempo intentar estafar a los usuarios, siempre podrá venderla, ya sea a servicios legales (compañías de telemarketing) o a posibles ciberdelincuentes que quieran acometer una estafa.

¿Multa? Depende del tipo de filtración

Teniendo en cuenta las consecuencias de esta filtración, ¿recibirá la entidad una multa de la Agencia Española de Protección de Datos (AEPD)? Para el abogado Samuel Parra, aún hay algunos aspectos que resolver: "Depende de cómo se haya producido esa filtración, de si ha sido un ciberataque o una brecha de datos". En el segundo caso, la ley dice que la notificación deberá ser obligatoria "en caso de violación de la seguridad de los datos personales". Parra cree que en este caso sí se aplica dicha obligatoriedad.

Una vez que el caso está en manos de la AEPD, la multa puede variar: "El RGPD marca que las sanciones pueden ser desde cero euros hasta 20 millones de euros o el 4% de la facturación anual de la empresa", si bien es cierto que "hasta ahora la AEPD suele imponer sanciones más bajas, de entre 50.000 y 60.000 euros".

La AEPD asegura que recibió una notificación de incidente del Banco Cooperativo Español el pasado 11 de octubre

Ahora bien, ¿ha notificado la entidad dicha brecha a la AEPD? Desde la agencia confirman a este diario que no existe ninguna notificación a nombre de Grupo Caja Rural, pero sí a nombre del Banco Cooperativo Español (parte del grupo) del pasado 11 de octubre, aunque no ha podido confirmar si se trata de este mismo asunto o de otro. Desde El Confidencial nos hemos puesto en contacto con la entidad. Su delegado de protección de datos ha negado, vía correo electrónico, que hayan sufrido ningún tipo de incidente: "Hasta el momento no hemos tenido conocimiento de filtración o queja comprensiva de la información que indica". La realidad es que la filtración se ha producido y los datos personales de cientos de clientes ya están disponibles en internet.

Si tiene información relevante sobre este tema u otro de relevancia para la opinión pública, no dude en escribirnos a investigacion@elconfidencial.com​. Gracias.