Hackeo a proveedor expone datos de clientes de BBVA y Nu: nombres, cédulas y teléfonos en riesgo
Un ciberataque contra un tercero que manejaba la gestión de cobranza para BBVA y Nu Colombia filtró información personal de clientes, incluyendo nombres, cédulas y números telefónicos. Los bancos confirmaron que los datos robados no incluyen contraseñas ni información financiera directa, pero advirtieron sobre riesgos de fraude por llamadas o mensajes de texto. Ambas entidades activaron protocolos de seguridad y desconectaron al proveedor comprometido.
El problema no fue con los bancos directamente, sino con quién trabajaba para ellos. Un proveedor externo que se encargaba de cobrar deudas de clientes de BBVA y Nu Colombia sufrió un ataque informático que permitió a delincuentes robar información personal: nombres, cédulas y números de teléfono. Esto es lo que en el lenguaje técnico se llama una "exfiltración", que significa que los datos salieron de donde debían estar protegidos y ahora están en manos de criminales.
Lo grave aquí va más allá de un simple hackeo. El caso expone una vulnerabilidad poco discutida en Colombia: mientras que los bancos reciben supervisión constante, los proveedores externos que manejan información sensible suelen quedar en la sombra. Es como tener una puerta de seguridad de lujo pero una ventana sin cerradura. BBVA fue el primero en informar públicamente, declarando que "detectó un acceso no autorizado en la plataforma tecnológica de uno de sus proveedores externos encargado de la gestión de cobranza, que compromete algunos datos de un conjunto de clientes". Poco después, Nu confirmó que también fue afectado.
Ahora bien, hay una buena noticia entre lo malo: los datos robados no incluyen contraseñas, códigos de seguridad ni saldos de cuentas. El proveedor simplemente no tenía acceso a eso. Lo que sí robaron puede usarse de formas más sutiles: llamadas o mensajes fingiendo ser el banco, pidiendo que confirmes datos o hagas transferencias. Es fraude por teléfono, no transferencias fantasma desde tu cuenta.
Tanto BBVA como Nu desconectaron inmediatamente al proveedor comprometido y activaron investigaciones con las autoridades. BBVA además lanzó advertencias específicas a sus clientes: desconfía de llamadas inesperadas pidiendo datos personales, no hagas clic en enlaces de mensajes de texto sospechosos, y nunca compartas códigos de verificación aunque alguien diga que es para "proteger" tu cuenta.
El incidente plantea una pregunta incómoda para el sistema financiero colombiano: si los proveedores terceros manejan datos sensibles pero reciben menos supervisión que los bancos, ¿cuántas vulnerabilidades similares pueden estar acechando en otras compañías del sector? Por ahora, ambas entidades trabajan para determinar cuántos clientes exactamente fueron afectados y si otras instituciones también fueron comprometidas a través del mismo proveedor.
Fuente original: Portafolio - Economía
