La institución financiera suiza Habib Bank AG Zurich está investigando los informes de un importante ciberataque después de que un grupo de ransomware se atribuyera la responsabilidad de robar alrededor de 2,5 terabytes de datos internos. Los atacantes, conocidos como Qilin, dijeron que obtuvieron casi dos millones de archivos del banco, incluida información confidencial de clientes y documentos internos.
El grupo publicó el reclamo en su sitio de filtraciones el 5 de noviembre y publicó capturas de pantalla que parecen mostrar escaneos de pasaportes, saldos de cuentas bancarias, registros de transacciones y secciones del código de software interno del banco. Los investigadores de seguridad cibernética que revisaron el material filtrado dijeron que parece consistente con los datos tomados de una institución financiera, aunque la violación aún no ha sido verificada de forma independiente.
Habib Bank, que fue fundado en 1967, opera en varias regiones, incluidas Suiza, el Reino Unido, los Emiratos Árabes Unidos, Hong Kong y Kenia. La compañía emplea a cerca de 8,000 personas en casi 600 sucursales en todo el mundo y reportó alrededor de $ 750 millones en ingresos el año pasado. El banco aún no ha comentado públicamente sobre el incidente ni ha confirmado si sus sistemas se vieron comprometidos.
Si se confirma, la violación sería uno de los ataques más graves contra una institución financiera europea este año. La escala de los datos supuestamente tomados sugiere que los atacantes tenían un acceso profundo a los sistemas operativos. Los expertos en ciberseguridad dicen que la inclusión del código fuente interno podría permitir más ataques o exponer debilidades en la infraestructura digital del banco.
El grupo Qilin, que ha sido vinculado a varias grandes campañas de extorsión, generalmente utiliza un modelo de doble extorsión. Encripta los sistemas de las víctimas y roba grandes volúmenes de datos, luego amenaza con liberar la información robada a menos que se pague un rescate. La divulgación pública en el sitio de filtración del grupo se utiliza a menudo para aumentar la presión y el daño a la reputación de la organización víctima.
Las instituciones financieras siguen siendo objetivos frecuentes de tales operaciones debido al volumen de información confidencial que poseen y al potencial apalancamiento financiero que pueden obtener los atacantes. Los bancos también están interconectados en múltiples jurisdicciones, lo que complica la respuesta y la supervisión regulatoria. Los expertos advierten que los grupos de ransomware a menudo explotan sistemas obsoletos, dependencias de software de terceros e infraestructura heredada compleja que es difícil de parchear rápidamente.
Para los clientes de Habib Bank, la exposición potencial de identificadores personales y registros de transacciones aumenta el riesgo de fraude y robo de identidad. Si los datos filtrados son auténticos, también podrían permitir intentos de phishing o ingeniería social dirigidos a los titulares de cuentas y al personal. Se espera que las autoridades de Suiza y el Reino Unido revisen si el banco debe notificar a los reguladores o a los clientes afectados en virtud de la ley de protección de datos.
Las investigaciones ahora se centran en confirmar el alcance de la violación y determinar cómo los atacantes obtuvieron acceso. Es probable que los equipos forenses estén examinando si el compromiso se originó en los sistemas internos, el acceso de los proveedores o las credenciales de los empleados. Dada la afirmación de que se tomó el código fuente interno, es posible que el banco deba auditar sus herramientas de desarrollo de software y monitorear los intentos de explotar el código recién expuesto.
Los ataques de ransomware a instituciones financieras son cada vez más estructurados y profesionales. Los analistas dicen que los actores de amenazas están pasando del phishing oportunista a campañas de varias etapas que combinan el robo de datos con la extorsión financiera y la manipulación del mercado. Los grupos criminales ahora operan con jerarquías de estilo corporativo y, a menudo, dependen de socios para el lavado de datos, la negociación y el mantenimiento de la infraestructura.
Este caso también refleja el desafío continuo de equilibrar la seguridad y la transparencia. Los bancos rara vez confirman los incidentes cibernéticos de inmediato debido al impacto potencial en la confianza del mercado. Sin embargo, las afirmaciones públicas sobre los sitios de fugas pueden forzar rápidamente una respuesta. Si el grupo Qilin publica más datos, los reguladores y las agencias de aplicación de la ley pueden intervenir para coordinar una investigación transfronteriza.
Para el sector financiero en general, el incidente es otro recordatorio de que la resiliencia operativa depende de algo más que auditorías de cumplimiento o certificaciones estándar de ciberseguridad. Se insta a las instituciones a adoptar el monitoreo en tiempo real, mejorar la detección de transferencias de archivos anormales y fortalecer los controles de acceso interno. Las pruebas de seguridad periódicas, los programas de concientización del personal y las auditorías externas también se consideran esenciales.
El caso de Habib Bank demuestra que incluso las instituciones financieras establecidas desde hace mucho tiempo son vulnerables a los ataques modernos de ransomware. Si las afirmaciones resultan precisas, la exposición tanto de los datos de los clientes como del código fuente podría tener consecuencias a largo plazo para el banco y sus clientes. A medida que continúan las investigaciones, el incidente se suma a la creciente evidencia de que el ransomware sigue siendo una de las amenazas más disruptivas y costosas para la industria bancaria mundial.