El error de un desarrollador chileno habría originado una filtración de código fuente y datos de acceso a la plataforma interna de un servicio de Scotiabank, exponiendo a la empresa bancaria canadiense a posibles vulneraciones a sus sistemas.

El hecho fue revelado por el profesional informático Jason Coulls a The Register, quien publicó en su Twitter parte de los archivos filtrados, que evidencian vínculos con un profesional chileno que trabaja para la empresa Indra que, según confirmaron desde Scotiabank a BioBioChile, es proveedor externo del banco en cuestión.

Like that is clearly not supposed to be public…. and is 7 months old. pic.twitter.com/jcF45AdZP6 — (ノ°Д°）ノ︵ sןןnoɔ (@coulls) September 19, 2019

Desde Scotiabank aseguraron también que, “de acuerdo al trabajo realizado hasta la fecha, la información identificada en un repositorio de datos en línea no contiene información que ponga en riesgo a nuestros clientes, empleados y socios”.

En tanto, desde Indra trascendió que sólo esta jornada fueron notificados por el banco por el incidente, por lo cual aún están en proceso las diligencias para clarificar lo ocurrido.

Códigos privados en un sitio público

Según reveló el medio extranjero, el problema fue bastante sencillo: por algún motivo, un desarrollador publicó el código sensible de la empresa en un repositorio del sitio web GitHub, desde donde era accesible para cualquier persona. Así se mantuvo, a la vista, durante meses.

Entre los datos publicados, se incluye código fuente para una aplicación móvil, y para integrar el sistema del banco con servicios de pago como Samsung y Google Pay, y con tarjetas de crédito como Visa y Mastercard.

Una vez que el medio advirtió al banco y publicó la información, que calificó como “una potencial mina de oro de vulnerabilidades para ser explotada por criminales y hackers”, la empresa comenzó a borrar los repositorios.

Estuvo pública por meses

Manuel Moreno, CEO de la empresa de ciberseguridad GlobalSecure, uno de los especialistas que tuvo acceso al código que estuvo disponible al menos desde el 25 de febrero de este año, calificó la información como “crítica”, asegurando que aunque no se pone en peligro a los usuarios de forma directa, evidencia falencias en el trabajo del banco.

“Acá hay un tema de directrices que tienen que ir desde la alta dirección o de los gerentes de proyecto para el uso correcto de herramientas como GitHub”, sostuvo, explicando que “muchas veces no se entrena a la gente o a los equipos de desarrollo y suceden desastres como estos”.

Cuestionó en este sentido que sólo hace poco está comenzando a tener énfasis la seguridad informática en la formación universitaria de los profesionales de las tecnologías de la información.