La startup fintech Revolut confirmó que ha sufrido la semana pasada un ciberataque muy selectivo que ha permitido a los hackers acceder a los datos personales de más de 50.000 clientes. Así lo dejó saber la notificación de la firma a la Inspección Estatal de Protección de Datos de Lituania (VDAI, por sus siglas en Lituano).
El portavoz de Revolut, Michael Bodansky, dijo que «un tercero no autorizado obtuvo acceso a los detalles de un pequeño porcentaje (0,16%) de nuestros clientes durante un corto período de tiempo.» Revolut descubrió el acceso malicioso a última hora del 10 de septiembre y aisló el ataque a la mañana siguiente.
«Identificamos y aislamos inmediatamente el ataque para limitar eficazmente su impacto y hemos contactado con los clientes afectados», dijo Bodansky. «Los clientes que no han recibido un correo electrónico no se han visto afectados».
Las cifras hablan
Revolut, fundada en 2015, con licencia bancaria en Lituania, y cuyo lanzamiento como banco en España ocurrió este año, no dijo exactamente cuántos clientes se vieron afectados. Sin embargo, si la compañía tiene aproximadamente 20 millones de clientes como lo refleja su sitio web, entonces el 0,16% se traduciría en unos 32.000 clientes.
Ahora bien, de acuerdo con declaraciones de Revolut a las autoridades de Lituania, la compañía dice que 50.150 clientes se han visto afectados por la brecha, incluyendo 20.687 clientes en el Espacio Económico Europeo y 379 ciudadanos lituanos. Revolut tampoco habló del tipo de datos a los que se ha accedido. Solo informó que los actores de la amenaza no se han robado fondos en el incidente.
Un detalle que despierta curiosidad es que algunos usuarios notaron que algunas funciones de la aplicación no funcionaban bien, como el chat de soporte, en el que aparecían mensajes poco serios que incluían lenguaje no apropiado.
¿Control de daños?
En un mensaje publicado en Reddit dirigido a los clientes afectados, la compañía especialista en banca digital dijo que «no se accedió a los detalles de la tarjeta, los PIN o las contraseñas.»
Sin embargo, la divulgación de la brecha afirma que los hackers accedieron probablemente a datos parciales de pago con tarjeta; junto con nombres, direcciones, direcciones de correo electrónico y números de teléfono de clientes.
La publicación afirma que el hacker utilizó métodos de ingeniería social para acceder a la base de datos de Revolut, lo que normalmente implica persuadir a un empleado para que suministre información sensible como contraseñas y otros datos. Este tipo de táctica se ha convertido en popular en los últimos ataques contra una serie de empresas conocidas como Mailchimp, Okta y Twilio.
Tomando medidas
Revolut advirtió que la brecha habría desencadenado una campaña de phishing, instando a sus clientes a tener precaución cuando reciban cualquier tipo de comunicación relacionada. Asimismo, la fintech advirtió a los clientes pidiéndoles que no llamen ni envíen mensajes SMS solicitando datos o códigos de acceso.
Como otro mecanismo de prevención, Revolut ha formado también un equipo dedicado a vigilar las cuentas de sus clientes para verificar que tanto el dinero como los datos están a buen resguardo.
«Nos tomamos incidentes como este con increíble seriedad, y nos gustaría pedir sinceras disculpas a cualquier cliente que se haya visto afectado por este incidente, ya que la seguridad de nuestros clientes y sus datos es nuestra máxima prioridad en Revolut», añadió Bodansky.
En 2021, Revolut recaudó 800 millones de dólares en capital fresco, lo que permitió que la valoración de la startup ascendiera a más de 33.000 millones de dólares. Según CoinDesk, Revolut ofrece exposición a unos 80 criptoactivos, cuyo comercio representa aproximadamente el 10% de sus ingresos anuales, unos 300 millones de dólares en 2020.
Imagen de Freepik.