YoTePresto expuso correos y contraseñas de todos sus 1.4 millones de clientes

Todos los clientes de la plataforma de préstamos YoTePresto se vieron afectados por un ataque cibernético que dejó expuestos nombres de cuentas de correo y contraseñas encriptadas. La cuenta de correo es la llave de acceso de los clientes de YoTePresto, con la que se dan de alta para solicitar un crédito de financiamiento colectivo. […]

Todos los clientes de la plataforma de préstamos YoTePresto se vieron afectados por un ataque cibernético que dejó expuestos nombres de cuentas de correo y contraseñas encriptadas.

La cuenta de correo es la llave de acceso de los clientes de YoTePresto, con la que se dan de alta para solicitar un crédito de financiamiento colectivo. Ahora esos registros se encuentran a la venta en foros de hackers, según el sitio de noticias de ciberseguridad BleepingComputer. 

El incidente de seguridad de la información de YoTePresto ocurrió el 21 de junio de 2020, cuando los sistemas informáticos de la compañía registraron accesos no autorizados que tuvieron a su disposición 1.4 millones de registros con los correos electrónicos y contraseñas de todos los clientes de YoTePresto. “Son todos los clientes. Es la base de datos de clientes, es la tabla de clientes”, dijo Luis Rubén Chávez, fundador y director ejecutivo de YoTePresto, una fintech con sede en Guadalajara, Jalisco, que ofrece préstamos de financiamiento colectivo, consultado sobre el caso.

De acuerdo con Chávez, la brecha de seguridad fue detectada “a primera hora” del lunes 22 de junio; los ingenieros de YoTePresto corrigieron la falla de inmediato y la compañía notificó a sus usuarios y a la autoridad bancaria. “No hubo ninguna afectación de ningún tipo a ningún cliente. A nadie le pudieron entrar a su cuenta, jalar la información ni mucho menos, porque para poder hacer cualquier transacción todas las operaciones tienen que ser validadas con un método de doble autenticación”, dijo Chávez.

“Normalmente lo que pasa en este tipo de casos es que luego pueden intentar hacer phishing, mandando correos apócrifos. Ya les dijimos (a nuestros clientes): ‘Si ven correos raros, como cualquiera, no los abres; si vienen archivos adjuntos, no los abras’. Y con esto las acciones de mitigación fueron concluidas y reportadas a la Comisión Nacional Bancaria y de Valores en su momento”, dijo Chávez.

Aseguró que en el incidente no hubo datos personales involucrados y por eso no se requirió la intervención del Inai, la autoridad de protección de datos personales. “En ningún momento ningún dato sensible ni personal fue vulnerado, que es normalmente donde entra el Inai, pero como no se reveló ningún nombre, domicilio, teléfono, dato, INE, documento de trabajo, ingreso, sexo, religión, nada de datos personales: fue literal un correo y la contraseña encriptada y nada más”.

Además del correo electrónico y las contraseñas encriptadas, el o los intrusos sólo tuvieron acceso a “cosas ya muy internas” relacionadas con las cuentas de los clientes, como configuraciones de inversión y notificaciones. “Cosas que ya no afectan nada a nivel transaccional y ni a los datos personales. Se llaman datos de configuración de la cuenta. Entonces hasta ahí llegó el alcance”, dijo Chávez.

Los datos personales, dice la ley federal en la materia, son “cualquier información concerniente a una persona física identificada o identificable”. La cuenta de correo puede considerarse dato personal en la medida en que los caracteres que la componen puedan asociarse con una persona física. Si la cuenta de correo dice el nombre de su titular, indefectiblemente es un dato personal.

El Inai, autoridad para imponer criterios en materia de protección de datos personales, ha resuelto que las cuentas de correo electrónico pueden asimilarse al número de teléfono móvil o al domicilio particular de una persona física (RRA 1024/16 y RRA 5719/173). En materia mercantil y penal, el correo electrónico es un elemento probatorio aceptado por jueces y tribunales.

YoTePresto, que se encuentra a la espera de su autorización para operar como compañía de tecnología financiera (fintech) regulada, no está obligada a notificar al Inai sobre incidentes de seguridad de la información que dejen expuestos los datos personales que gestiona. En 2019, tras la filtración de datos personales que protagonizó la empresa de consultoría de negocios KPMG, el comisionado presidente del Inai, Francisco Javier Acuña, urgió al Poder Legislativo a reformar la ley para obligar a los privados a notificar a la autoridad, “para que no estemos como pasa ahora, que nos tenemos que enterar por los medios de comunicación”.

“El hackeo nos muestra la realidad de que las compañías deben tener cuidado y conocer las repercusiones de la vulneración de datos personales. La pandemia nos dejó claro que las personas tenían tiempo para encontrar vulnerabilidades y explotarlas”, dijo Hiram Alejandro Camarillo, cofundador y director de InfoSec en Seekurity, una compañía mexicana que ofrece servicios de consultoría en seguridad de la información y ciberseguridad. “Dentro de los próximos meses estaremos viendo cómo saldrán estos y otros casos de hackeos ocurridos durante la pandemia”, dijo Camarillo, consultado sobre el caso.

“Nos sentimos tristes de que nos haya pasado esto, pero al mismo tiempo tranquilos de que la mitigación y la remedición que hicimos funcionó al grado de que ni un cliente perdió un centavo y ningún dato personal fue vulnerado”, dijo Chávez.