Desde su creación en 2015, el neobanco llamado Revolut ha ido ganando más y más relevancia como alternativa financiera para muchos usuarios. Es de hecho una de las startups británicas que más ha crecido —su valoración en 2021 era de 33.000 millones de dólares—, pero ese éxito la convierte también en objetivo de ciberataques. Uno de ellos ha tenido éxito y un ciberdelicuente ha logrado hackear Revolut, aunque de forma limitada.
Qué ha pasado. La semana pasada usuarios de Revolut indicaron que habían recibido un mensaje confirmando una intrusión en sus sistemas. «Un tercero no autorizado puede haber ganado acceso a parte de tu información durante un corto periodo de tiempo», explicaban. Los responsables de Revolut «detectaron y aislaron» el problema, y comenzaron a ponerse en contacto con los afectados.
Cuánta gente se ha visto afectada. Según el mensaje, el hackeo afectó a un 0,16% de sus clientes. El organismo de inspección de protección de datos el Lituania, donde Revolut tiene una sede, indicaba además que la empresa había confirmado que en todo el mundo la cifra de afectados era de 50 150, mientras que en la Área Económica Europea ese número era de 20 687. Solo los afectados han recibido un correo indicándoles que cambien su contraseña: si eres cliente y no te ha llegado nada, puedes estar tranquilo, ya que ese ataque no logró filtrar tus datos.
Qué datos se han robado. En el hackeo ese ciberdelincuente logró acceder a nombres completos, direcciones postales, números de teléfono y correo electrónico de esos usuarios. Además tuvo acceso a datos parciales de las tarjetas de pago —el número completo está codificado—, así como a datos de la cuenta (pero no de la tarjeta). No ha habido acceso a PIN o a contraseñas, y en Revolut aseguran que el dinero está a salvo. «No se accedió a los fondos ni fueron robados. Tu dinero está seguro, como siempre», indicaban en el mensaje a sus usuarios afectados.
Cómo se han robado los datos. Aquí no ha habido ataques de fuerza bruta. El ciberatacante (o ciberatacantes) ha usado la técnica del phishing, y con técnicas de ingeniería social como enlaces maliciosos ha logrado engañar a los usuarios con una propuesta singular. Les advertían de que en Revolut se estaba produciendo un ciberataque y se les indicaba que pinchando en un enlace cancelarían las tarjetas. Lo que ocurría es que esos usuarios se convertían en víctimas y el ciberdelincuente lograba acceder a datos de sus cuentas en Revolut cuando pinchaban en ese enlace malicioso.
Un ataque que vuelve a ponernos alerta. El caso es desde luego pequeño en comparación con otros ciberataques —Uber fue hackeada a lo grande en esas mismas fechas—, y de nuevo aquí saltan las alarmas sobre todo al tratarse de una entidad financiera que maneja nuestro dinero. Una vez más conviene recordar que no hay que fiarse de correos, WhatsApps o SMS extraños que dicen provenir de entidades de las que somos clientes. Ante la duda, mejor no hacer nada, y es buena idea llamar a esas entidades para confirmar que se han querido poner en contacto con nosotros.
Imagen | Sophie Dupau
