La seguridad de los datos se ha convertido en una prioridad absoluta para instituciones de todos los tamaños, especialmente para los bancos, que son custodios de información financiera extremadamente sensible. El reciente incidente de brecha de datos que afectó al Bank of America, uno de los bancos más grandes y reconocidos a nivel mundial, sirve como un recordatorio crítico de la importancia de la ciberseguridad bancaria.
Bank of America ha alertado a sus clientes sobre una brecha de seguridad que expuso su información personal después de que Infosys McCamish Systems (IMS), uno de sus proveedores de servicios, fuera comprometido por piratas informáticos el año pasado.
La información de identificación personal (PII) de los clientes afectados en la violación de seguridad incluye nombres, direcciones, números de seguro social, fechas de nacimiento e información financiera, como números de cuentas y tarjetas de crédito, según los detalles compartidos con el Procurador General de Texas.
Bank of America atiende a aproximadamente 69 millones de clientes a través de más de 3800 centros financieros minoristas y aproximadamente 15,000 cajeros automáticos en los Estados Unidos, sus territorios y más de 35 países.
Aunque Bank of America aún no ha revelado la cantidad exacta de clientes afectados por la violación de datos, una carta de notificación de violación de IMS presentada ante el Fiscal General de Maine en nombre de Bank of America reveló que un total de 57,028 personas se vieron directamente afectadas.
"Alrededor del 3 de noviembre de 2023, IMS experimentó un incidente de ciberseguridad cuando un tercero no autorizado accedió a sus sistemas, lo que provocó la indisponibilidad de ciertas aplicaciones IMS", señala la notificación de violación de datos.
"El 24 de noviembre de 2023, IMS informó a Bank of America que los datos relacionados con los planes de compensación diferida atendidos por Bank of America podrían haberse visto comprometidos. Los sistemas de Bank of America no se vieron comprometidos".
"Es poco probable que podamos determinar con certeza qué información personal fue accesible como resultado de este incidente en IMS".
Conoce más sobre: Evitando el Desastre del Data Breach
La brecha de seguridad ocurrida en noviembre resultó en la "indisponibilidad de ciertas aplicaciones y sistemas en IMS", tal como se detalló inicialmente en una presentación ante la Comisión de Bolsa y Valores de EE. UU.
El 4 de noviembre, la banda de ransomware LockBit se adjudicó la responsabilidad del ataque a IMS, afirmando que sus operadores cifraron más de 2000 sistemas durante el incidente.
La operación de ransomware como servicio (RaaS) de LockBit surgió en septiembre de 2019 y desde entonces ha dirigido sus ataques hacia varias organizaciones de renombre, incluyendo el Royal Mail del Reino Unido, el gigante automovilístico Continental, la ciudad de Oakland y el Servicio de Impuestos Internos de Italia.
En junio, las autoridades de ciberseguridad de Estados Unidos y sus aliados internacionales emitieron un aviso conjunto estimando que la banda LockBit había extorsionado al menos 91 millones de dólares de organizaciones estadounidenses mediante unos 1.700 ataques desde 2020.
Infosys, la empresa matriz de IMS, es un coloso multinacional proveedor de servicios y consultoría en tecnologías de la información, con más de 300.000 empleados y clientes en más de 56 países.
La información financiera, incluyendo cuentas, tarjetas de crédito, números de seguridad social y/u otros números de identificación emitidos por el gobierno de los clientes de Bank of America, fue comprometida después de que la plataforma MOVEit Transfer del proveedor de servicios fuera violada en mayo de 2023 por la pandilla de cibercrimen Clop.
"Bank of America nos ha informado que sus sistemas y servidores no se vieron afectados por este evento", reveló Ernst & Young en una presentación ante el Fiscal General de Maine, indicando que el incidente de mayo de 2023 impactó a 30,210 personas.
Te podrá interesar: Detección de Ataques de Ransomware con Wazuh
Mientras los bancos y otras instituciones trabajan en fortalecer sus defensas, también hay pasos que los individuos pueden tomar para proteger su información financiera:
Conoce más sobre: Concientización: Esencial en la Ciberseguridad de tu Empresa
El incidente de brecha de datos en el Bank of America es un recordatorio oportuno de que la ciberseguridad debe ser una prioridad máxima para todos, desde las mayores instituciones financieras hasta el individuo promedio.
A través de la implementación de prácticas de seguridad robustas, la inversión en tecnología avanzada como nuestro SOC as a Service, y la educación continua sobre riesgos de seguridad, podemos fortalecer nuestras defensas contra los crecientemente sofisticados ataques cibernéticos.
Mientras avanzamos en esta era digital, recordemos que la seguridad de nuestros datos financieros comienza con la conciencia y la acción proactiva tanto a nivel individual como colectivo.