Tesco Bank expuso a sus clientes a los delincuentes cibernéticos al emitir números secuenciales de tarjetas de débito, una práctica que la mayoría de los bancos evita porque permite que no se pueda detectar a los hackers mientras trabajan rápidamente a través de miles de cuentas, de acuerdo con bancos rivales.
Un ataque cibernético constante contra Tesco Bank el mes pasado obligó a la compañía a pagar 2 millones 500 mil libras de pérdidas a 9 mil clientes en un robo que los reguladores describieron como sin precedentes. Desde entonces, la Autoridad de Conducta Financiera (FCA, por su sigla en inglés) contactó a varios bancos británicos para revisar si también emiten números secuenciales de tarjetas, de acuerdo con ejecutivos de dos bancos a los que contactó el regulador.
Tesco Bank se negó a confirmar si emitió números secuenciales de tarjetas o si recientemente cambió sus métodos en esa área. En una declaración que envió por correo electrónico dijo: “Ya que es una investigación en curso, no vamos a comentar sobre preguntas específicas que tengan que ver con el incidente. Sin embargo, vamos a confirmar que nuestra principal prioridad fue, y todavía es, asegurar que las cuentas de nuestros clientes son seguras, y que vamos a comunicarnos inmediatamente con ellos de forma transparente”.
La rama financiera del grupo de supermercados más grande de Reino Unido no dio a conocer cómo se robó el dinero. Pero insistió en que no se perdieron los datos de ningún cliente y que no se violaron sus sistemas en un “ataque muy sofisticado”.
Expertos de seguridad cibernética y ejecutivos de banca dicen que la emisión de números secuenciales de tarjetas facilita a los hackers adivinar las fechas de vencimiento y los códigos de seguridad sin alertar al banco de que existe un riesgo de fraude. “Se plantea una interrogante que no es buena”, dijo uno.
James Maude, ingeniero de seguridad senior del asesor cibernético Avecto dijo: “Usar números secuenciales puede significar que es más difícil detectar el fraude porque cada número de tarjeta que se prueba puede ser genuina, por supuesto”.
Las tarjetas de débito Visa que emitió Tesco Bank tienen un número de identificación del emisor seis dígitos, un número único de cuenta primaria de nueve dígitos para cada cliente, y un número de revisión de un solo dígito. La mayoría de los bancos utilizan software para generar de manera aleatoria el número de cuenta primaria para cada cliente. Pero en Tesco Bank estos números se emitieron de forma secuencial, de acuerdo con los ejecutivos de dos bancos rivales y otra persona que tiene información sobre las operaciones de seguridad de Tesco.
La FCA no quiso hacer comentarios.
TAGS RELACIONADOS:
