La firma de análisis y ciberseguridad VECERT Analyzer publicó una alerta que generó inmediata circulación en redes sociales.
El posteo advertía que "un actor identificado bajo el alias "F***3" estaría ofreciendo a la venta, en un marketplace clandestino de origen chino, una base de datos que contendría información de 750.000 clientes de tarjetas de crédito premium de BBVA Argentina".
La supuesta base, siempre de acuerdo con el posteo, incluiría titulares de tarjetas Gold, Platinum, Black e International de las marcas Visa y Mastercard, con campos como nombre completo, género, fecha de nacimiento y dirección de correo electrónico.
Según VECERT, los datos estarían en texto plano (sin ningún tipo de cifrado), lo que los haría inmediatamente utilizables.
Los indicios técnicos que parecían confirmar la filtración
Para apoyar la supuesta autenticidad del material, la firma señaló tres indicios en las muestras publicadas los días 16 y 17 de junio:
- Las marcas de tiempo de los registros corresponderían a fechas del 9 al 15 de junio, lo que descartaría un reempaquetado de filtraciones viejas
- Los identificadores numéricos comenzarían con el prefijo "54" (el código telefónico de Argentina)
- Las categorías de tarjeta listadas coincidirían con la segmentación real del banco en el mercado local
Sin embargo, al pie de su propio análisis, VECERT aclaraba que el estatus formal de la alerta era "no confirmado". Esa palabra, enterrada al final del informe pero crucial para entender el alcance real de la denuncia, es el punto de partida de la historia.
Según pudo saber iProUP, todos los análisis realizados sobre los sistemas de BBVA Argentina muestran que no hubo ningún evento de este tipo. No existe ninguna evidencia que indique la ocurrencia de una brecha de seguridad ni exposición de información de clientes de Tarjetas BBVA en Argentina.
Mientras tanto, los canales del banco siguen operando con normalidad. No hay alertas internas activas, no hay investigación abierta por parte del área de ciberseguridad del banco vinculada a este incidente y ninguno de los elementos técnicos señalados por VECERT fue corroborado por una revisión independiente de los sistemas.
A raíz del posteo, un sinfín de clientes mostró preocupación frente a la posibilidad de ver vulnerada información muy sensible, cosa que finalmente nunca estuvo en riesgo.
El negocio del miedo: cómo funciona el mercado de datos falsos
Segundo Carranza, experto en ciberseguridad consultado por iProUP, aporta la perspectiva que suele quedar afuera de este tipo de noticias: "Muchas veces hay delincuentes que buscan lucrar en base al miedo y difunden este tipo de fake news".
"Hay mucho de este tipo de información en entornos digitales que circula como amenaza, pero que no responde a una vulneración real", precisa el experto. Según Carranza, "el objetivo es vender datos (reales o fabricados, a veces mezclados) y generar pánico que presione a las potenciales víctimas a pagar por 'protección' o a proporcionar información adicional".
El modelo de negocio que describe el especialista a iProfesional es conocido en el ecosistema de ciberseguridad. Un actor malicioso puede tomar datos de filtraciones previas, reorganizarlos con campos nuevos, asignarles marcas de tiempo recientes y publicar una muestra que parezca auténtica.
Si el banco en cuestión tiene presencia masiva en el país y el alias del supuesto atacante genera tensión, la alerta se viraliza sola.
Lo que hace más comprensible la rápida viralización de este rumor es el contexto inmediato. El mismo 17 de junio, VECERT reportó también el presunto robo de 186.500 registros de la Plataforma de Oro Soberano del Banco Central de Venezuela.
Y apenas el 12 de junio, una organización de monitoreo alertó sobre una filtración que contendría más de 19 millones de registros de clientes del Banco Central de la República Argentina (BCRA). Algo que tampoco fue confirmado oficialmente, pero que generó el mismo ciclo de pánico en redes antes de que el banco respondiese.
En ese escenario de alertas encadenadas, el anuncio de una nueva supuesta filtración en BBVA Argentina llegó al mercado con el terreno ya abonado por la desconfianza. El efecto es que la percepción de riesgo cibernético crece independientemente de si los ataques son reales o fabricados, porque el miedo no distingue entre incidentes confirmados y amenazas no verificadas.
BBVA Argentina no fue hackeado. Los sistemas no registran ninguna evidencia de brecha y los datos de sus clientes no estuvieron expuestos en el episodio denunciado el 17 de junio. Eso es lo que pudo verificar iProUP.
Pero el daño de la viralización ya ocurrió de todas formas. Cientos de miles de clientes vieron el titular circular en redes, algunos llamaron a sus sucursales, otros revisaron sus extractos con alarma.
El modelo de negocio que describe el experto Carranza funciona precisamente porque el miedo no necesita que el hackeo sea real para ser rentable: alcanza con que sea creíble durante el tiempo suficiente para que el rumor se instale.
Lo que esta historia revela no es una vulnerabilidad en los sistemas de BBVA, sino una en el ecosistema de información. Las alertas de ciberseguridad con estatus "no confirmado" llegan al usuario final con el "no confirmado" recortado.
Mientras ese problema no se resuelva, cualquier banco (o cualquier institución con base de datos masiva) es potencialmente víctima de un ataque reputacional que no requiere un solo byte de datos reales para hacerse efectivo.
