Hace poco se descubrió un problema de seguridad que afecta a los clientes de Ripley en Perú. No fue directamente un ataque al banco, sino a un sistema que usa Ripley para procesar pagos con tarjeta, pero termina afectando a los tarjetahabientes de Banco Ripley. Este sistema pertenece a una empresa llamada Alignet, que se encarga de manejar las transacciones de las tarjetas Ripley a través de un portal privado al que llamaremos «back office».
El inconveniente es que el usuario que tenia acceso a ver las transacciones de las tiendas Ripley en Perú, tenía una contraseña muy débil, algo que permitió que una persona no autorizada accediera a información privada de los clientes. Entre los datos expuestos hay nombres, direcciones, correos electrónicos y algunos datos de transacciones, como los últimos números de las tarjetas (afortunadamente, los números completos de las tarjetas no fueron revelados). En total, se filtraron más de 130,000 registros de transacciones.
¿Cómo Pasó Esto?
El usuario de las tiendas Ripley en Perú usaba una contraseña muy simple: «admtendaripley22» (Su mismo nombre de usuario como contraseña). Es como si pusieras «1234» en la cerradura de tu casa; cualquiera podría adivinarla fácilmente. Ripley, como cliente de Alignet, eligió esa contraseña, pero Alignet también tiene responsabilidad aquí. Ellos deberían haber exigido que se usaran contraseñas más fuertes, con letras mayúsculas, números y símbolos, para proteger mejor la información.
¿Qué Tiene que Ver la Seguridad de las Tarjetas?
Hay reglas internacionales para proteger la información de las tarjetas de crédito, conocidas como PCI DSS (un estándar de seguridad para pagos con tarjeta). Estas reglas dicen, entre otras cosas, que las contraseñas deben ser difíciles de adivinar y que los sistemas deben estar bien protegidos. En este caso, ni Ripley ni Alignet cumplieron del todo con estas reglas:
- Contraseñas débiles: PCI DSS pide que las contraseñas sean complicadas y que se usen sistemas como la autenticación en dos pasos (por ejemplo, un código que te llega al celular). Aquí, la contraseña era muy fácil de adivinar.
- Falta de protección extra: Alignet, como empresa que procesa pagos, debería haber obligado a Ripley a usar contraseñas más seguras y revisar que su portal estuviera bien protegido.
- Datos personales expuestos: Aunque los números completos de las tarjetas no se filtraron, sí se expusieron datos como nombres, direcciones y correos electrónicos, que también son importantes y están protegidos por la ley peruana de protección de datos.
¿Qué Datos se Filtraron?
La información que se filtró incluye:
- Nombres completos, direcciones y correos electrónicos de clientes (por ejemplo, datos de personas que compraron en tiendas Ripley, como en el C.C. La Rambla en San Borja o el Real Plaza en Huancayo, entre otras).
- Algunos datos de transacciones, como los últimos números de las tarjetas Ripley (por ejemplo, 5254 35** **** 2284) y el estado de los pagos (si fueron aprobados o rechazados).
Por lo que se sabe, todas las tarjetas afectadas son de Banco Ripley, así que otras tarjetas no están involucradas. (Esto basado en el BIN de las tarjetas).
¿Qué Significa Esto para los Clientes?
Primero, no hay evidencia de que los números completos de las tarjetas hayan sido robados, así que no parece que puedan usarlas directamente para hacer compras. Sin embargo, los datos personales que se filtraron (como nombres y direcciones) podrían ser usados por personas malintencionadas para intentar estafas, como enviar correos falsos pidiéndote información adicional (esto se llama «phishing»). Por eso, es importante que estés atento a cualquier mensaje sospechoso y no compartas datos personales si algo te parece extraño.
Además, este caso viola la Ley de Protección de Datos Personales en Perú, que obliga a las empresas a proteger tu información y avisar si hay un problema. Banco Ripley y Alignet podrían enfrentar sanciones por esto.
¿Qué Pueden Hacer Banco Ripley y Alignet para Evitar que Esto Vuelva a Pasar?
- Ripley: Debería usar contraseñas más fuertes y asegurarse de que sus sistemas sean seguros antes de usarlos.
- Alignet: Como empresa que procesa pagos, debería exigir a sus clientes (como Ripley) que usen contraseñas seguras y revisar regularmente que su portal no tenga fallos de seguridad.
- Ambos deberían usar sistemas de monitoreo para detectar si alguien no autorizado intenta entrar y proteger mejor los datos de los clientes, incluso los que no son números de tarjeta.
¿Qué Puedes Hacer Tú?
- Revisa tus movimientos bancarios con Ripley para asegurarte de que no haya cargos extraños.
- Si recibes correos o mensajes pidiéndote datos personales, no los respondas y avisa a Banco Ripley.
- Considera cambiar tus contraseñas en otros servicios si usas alguna similar a las que tienes con Ripley.
Un Tema para los Apasionados de la Ciberseguridad
Para quienes les interesa este campo, este incidente muestra lo importante que es seguir estándares como PCI DSS. El uso de contraseñas débiles (como «admtendaripley22») y la falta de controles básicos en el portal de Alignet son fallas claras que podrían haberse evitado. Además, aunque los datos de las tarjetas estaban parcialmente protegidos, la exposición de datos personales sigue siendo una violación seria. Esto nos recuerda que la seguridad no solo se trata de proteger números de tarjeta, sino toda la información que puede afectar a los clientes.
Reflexión Final
Este incidente no debe causar pánico, pero sí nos invita a estar más atentos a cómo las empresas manejan nuestros datos. Banco Ripley y Alignet tienen trabajo por hacer para recuperar la confianza de sus clientes, y todos podemos aprender la importancia de usar contraseñas seguras y estar alerta ante posibles estafas. La ciberseguridad es responsabilidad de todos: las empresas deben protegernos, y nosotros debemos estar informados para cuidarnos.
Nota: Según el whois del dominio «pay-me.cloud» el registrante es Alignet S.A.C. adquiriente y procesador de pagos en Perú.