Bankingly: Datos de 135,000 residentes de América Latina se filtraron en la red

La plataforma de banca en línea Bankingly ha filtrado datos de 7 instituciones financieras, afectando a clientes en toda América Central y del Sur.

El 24 de mayo, el equipo de Cybernews identificó 7 contenedores de Azure Blob Storage que carecían de la autenticación adecuada. Debido a esta vulnerabilidad, los datos personales de casi 135,000 clientes de América Latina quedaron expuestos al público.

La filtración afectó a ciudadanos de República Dominicana, México, Ecuador, El Salvador, Bolivia y Costa Rica. La mayoría de las víctimas, alrededor de 100,000 personas, son de República Dominicana.

Número de víctimas, países e instituciones financieras afectadas

Bankingly es una plataforma fintech que proporciona servicios web y aplicaciones móviles para instituciones financieras en América Latina. La empresa, con sede en Uruguay, atiende principalmente a bancos pequeños y medianos, cooperativas de crédito e instituciones de microfinanzas, la mayoría ubicadas en áreas rurales de América Latina.

Bankingly utilizaba contenedores de almacenamiento para almacenar los datos de los clientes, incluida su información personal y datos bancarios, con el fin de proporcionar soluciones de software a las instituciones financieras.

Los siguientes datos se vieron comprometidos:

• Nombres completos;
• Nombres de usuario de aplicaciones financieras;
• Direcciones de correo electrónico;
• Números de teléfono;
• Números de teléfono del trabajo.

Las instituciones afectadas por la filtración incluyen:

• «San Martín de Porres» (COSMART);
• «La Nacional de Ahorros y Préstamos» (ALNAP);
• Caja Buenos Aires;
• Caja Mitras;
• Coac Puellaro;
• Credecoop;
• AMC.

Datos expuestos

El problema no solo reside en el daño reputacional para las instituciones financieras. La filtración también plantea serios riesgos para la seguridad de los datos de los clientes. Aunque los datos publicados no dan a los delincuentes acceso directo a operaciones financieras, pueden utilizarse como base para sofisticados ataques de phishing.

Por lo general, para llevar a cabo tales operaciones se requieren datos más sensibles, como documentos de identificación, números de seguridad social o contraseñas. Sin embargo, la disponibilidad de datos personales incrementa el riesgo de ataques de phishing y técnicas de ingeniería social. Por ejemplo, los estafadores pueden enviar correos electrónicos en nombre de la institución financiera de la víctima o realizar llamadas, haciéndose pasar por empleados bancarios para obtener más información personal o credenciales.

Otro riesgo potencial son los ataques de "credential stuffing", donde los delincuentes usan cuentas previamente filtradas para acceder a otras plataformas si las víctimas reutilizan las mismas contraseñas.

Actualmente, la vulnerabilidad de Bankingly ha sido corregida y se ha restringido el acceso a las bases de datos. No obstante, la empresa aún no ha emitido un comunicado oficial. Cybernews también ha contactado a las instituciones financieras afectadas y está a la espera de sus respuestas.