EVO Banco ha comunicado que ha experimentado un incidente de ciberseguridad que podría haber comprometido los datos personales de algunos de sus clientes. Se percataron del mismo el pasado 9 de abril.
El banco colgó en la correspondencia del área de cliente un escrito el pasado 19 de abril avisando de este problema, aunque sin previo aviso para los afectados y sin proporcionar demasiada información sobre lo sucedido.
Los detalles que podrían haber quedado expuestos incluyen "datos básicos de carácter identificativo" que los usuarios facilitaron cuando se dieron de alta. Entre ellos, estaría el IBAN.
No obstante, la firma señala que la información vulnerada, "no permite, por sí sola, el acceso a nuestros sistemas ni la realización de operativa alguna". Además, afirman que "no se ha visto afectada la información financiera sobre tus operaciones, posiciones, tarjetas o movimientos de ningún tipo, ni tampoco tus contraseñas".
La compañía cuenta que, una vez detectaron la infracción, activaron "el protocolo especial de seguridad que incluye medidas de refuerzo, tanto técnicas como organizativas para contrarrestar dicha situación". Aseveran que estas medidas impiden que "dichos datos puedan ser utilizados por un tercero que haya podido acceder ilicitamente a los mismos".
Desde EVO Banco también aseguran que, hasta la fecha, no tienen constancia de que esa información se haya utilizado con fines maliciosos.
Por otro lado, la firma financiera habría comunicado los hechos a todos los organismos competentes, con los que ha estado colaborando estrechamente para "evitar cualquier incidencia".
EVO Banco no ha revelado la naturaleza del incidente ni ha dado información sobre cuántos clientes podrían haberse visto salpicados por este agujero de seguridad. Tampoco ha proporcionado más detalles en su comunicado sobre los datos concretos expuestos.
La entidad sugiere a sus clientes que, para evitar cualquier intento de fraude en el futuro, tomen medidas como prestar atención a cualquier comunicación sospechosa, no descargar ni abrir archivos de fuentes no fiables, no pinchar en los enlaces incluidos en comunicaciones de remitentes desconocidos, no contestar mensajes sospechosos de WhatsApp, SMS o cualquier medio equivalente y actualizar con frecuencia las contraseñas de acceso a cualquier app que contenga datos sensibles.
El banco también ha recordado que nunca emiten llamadas "de manera proactiva" para pedir datos bancarios ni los códigos que envían para hacer operaciones.
Un ciberdelincuente afirma tener más datos
La comunicación de EVO se ha publicado pocos días después de que un pirata informático que se hace llamar R4nsom anunciara en un foro ruso que había hackeado el banco.
El actor de amenazas aseguró tener en su poder datos como números de DNI, direcciones, cuentas corrientes, números de teléfono, información de tarjetas de crédito e incluso detalles sobre los salarios de los clientes afectados.
El hacker también afirma haberse puesto en contacto con el CISO de la entidad sobre la vulnerabilidad, pero indica que no recibió ningún tipo de respuesta o reconocimiento por su parte. Este silencio, parece que fue lo que le motivó a hacer público el incidente, según comenta.