La fintech Evertec informó que detectó un acceso no autorizado a determinados sistemas que permitió la obtención de información relacionada con tarjetas de pago de clientes de Banco Popular de Puerto Rico. La compañía activó medidas de respuesta, notificó a las entidades afectadas y continúa la investigación del incidente.
Evertec, una Fintech con sede en Puerto Rico y que presta servicios de procesamiento de pagos, transacciones electrónicas y tecnología para bancos, comercios, gobiernos y otras organizaciones en América Latina y el Caribe, informó a la Comisión de Bolsa y Valores de los Estados Unidos (SEC) que identificó un incidente de ciberseguridad relacionado con un acceso no autorizado a parte de su infraestructura tecnológica. La compañía indicó que detectó actividad sospechosa el pasado 31 de mayo y activó sus procedimientos de respuesta para contener el evento, iniciar una investigación y evaluar el alcance de la situación.
Según el documento presentado ante la SEC, la empresa contrató especialistas externos en ciberseguridad para apoyar el análisis forense y notificó a las autoridades competentes. La investigación determinó que un tercero no autorizado logró acceder y obtener determinada información almacenada en sistemas de la organización. La compañía señaló que continúa revisando los datos involucrados y trabajando con clientes y organismos reguladores.
Evertec indicó que la información comprometida corresponde principalmente a datos relacionados con tarjetas de pago procesadas para algunas instituciones financieras. La empresa comunicó que “había sufrido un incidente de ciberseguridad que afectó a ciertos datos de sus clientes”.
Un portavoz de la empresa señaló a varios medios que una vez que detectaron el incidente “activamos nuestros protocolos de respuesta y hemos monitoreado nuestros sistemas 24/7 para detectar cualquier posible actividad adicional. Inmediatamente contactamos a las autoridades e involucramos a expertos en ciberseguridad para apoyar la investigación”.
Diversos medios de Puerto Rico informaron que una de las entidades afectadas es Banco Popular de ese país (BPPR), algo que también indica la empresa en el reporte a la SEC. De acuerdo con las comunicaciones realizadas a clientes, la información expuesta incluyó determinados datos asociados a tarjetas bancarias. Las organizaciones involucradas indicaron que iniciaron procesos de notificación y monitoreo para atender a los clientes potencialmente afectados.
Acerca de la información comprometida, la Fintech señaló que se accedieron a números de tarjetas y, en algunos casos, a nombres, fecha de expiración, fecha de nacimiento e información de contacto. La empresa enfatizó que no se obtuvieron las contraseñas de las tarjetas (PIN) o los códigos de seguridad CVV.
Evertec también indicó que el incidente ocurrió en una herramienta provista por un tercero. Hasta ahora no se han identificado transacciones fraudulentas asociadas al incidente.
Tras conocerse el incidente, organismos públicos de Puerto Rico iniciaron labores de seguimiento. Medios de ese país informaron que el Departamento de Asuntos del Consumidor (DACO) indicó que se mantiene atento a los resultados de la investigación y a las medidas adoptadas para proteger a las personas potencialmente afectadas por la exposición de información financiera. “Las expresiones de la empresa apuntan a que no se comprometieron elementos críticos de autenticación financiera. Sin embargo, nuestro deber es mantenernos vigilantes y continuar evaluando el desarrollo de los acontecimientos para proteger a los consumidores y orientarlos oportunamente si fuese necesario”, señalaron las autoridades del organismo.
Evertec señaló además que mantiene comunicación con las instituciones impactadas y que continuará proporcionando actualizaciones conforme avance la investigación. La empresa indicó que sigue implementando acciones destinadas a reforzar la seguridad de sus sistemas y a atender los requerimientos regulatorios asociados al incidente.
Evertec está presente en 26 países en América Latina y el Caribe, entre ellos, Argentina, Brasil, México, Costa Rica, Panamá y Chile.