Evertec (NYSE: EVTC) confirmó este martes que mantiene bajo investigación un incidente de ciberseguridad, en el que “un actor no autorizado” obtuvo información de ciertas instituciones financieras a las que la tecnológica presta servicios en Puerto Rico y sus clientes.
“Al detectar la situación, activamos nuestros protocolos de respuesta y hemos monitoreado nuestros sistemas 24/7 para detectar cualquier posible actividad adicional. Inmediatamente contactamos a las autoridades e involucramos a expertos en ciberseguridad para apoyar la investigación”, comunicó la tecnológica.
La empresa informó que la información impactada incluye números de tarjetas y, en algunas instancias, nombres, fecha de expiración, fecha de nacimiento e información de contacto. No obstante, aseguraron que como parte de la investigación no se obtuvieron las contraseñas de las tarjetas (PIN) o los códigos de seguridad CVV.
La empresa explicó que el incidente no ocurrió directamente en sus sistemas internos, sino en una herramienta provista por un tercero. Al momento, la investigación no ha identificado ninguna transacción fraudulenta.
Evertec confirmó a El Nuevo Día que esta es la primera vez que enfrenta en Puerto Rico un incidente de esta naturaleza relacionado con acceso no autorizado a datos de instituciones financieras.
Sobre el proveedor externo involucrado, Evertec indicó a preguntas de este diario que evalúa continuamente sus controles de seguridad y que, como parte del proceso posterior al incidente, revisa oportunidades para fortalecer sus medidas de protección y evitar situaciones similares en el futuro.
“Aunque la investigación continúa en curso, estamos confiados en que nuestros sistemas han sido protegidos y contenidos. Asimismo, podemos confirmar que las operaciones de Evertec no se han visto impactadas”, aseguró.
Ante preguntas sobre la identidad del atacante, la compañía indicó que por tratarse de una investigación en curso no puede ofrecer detalles sobre si se trata de un individuo, grupo u organización.
La empresa tampoco divulgó cuáles fueron las instituciones financieras afectadas ni la cantidad exacta de clientes impactados, al argumentar que el análisis continúa. Sin embargo, informó que mantiene comunicación directa con las entidades financieras y que, según la información preliminar disponible, solo un número limitado de tarjetas requerirá reemplazo.
“A la fecha, y con base en la información preliminar proporcionada por las instituciones financieras, creemos que solo un número limitado de tarjetas de pago de los tarjetahabientes requerirá reemplazo. Los clientes pueden continuar utilizando sus tarjetas con normalidad”, comunicó la empresa.
Confirman los bancos
Aunque Evertec no quiso ofrecer detalles sobre las instituciones financieras afectadas, los tres bancos comerciales principales de laisla -Banco Popular, FirstBank y Oriental Bank- confirmaron a El Nuevo Día que fueron informados de que el incidente de ciberseguridad con la tecnológica incluyó a sus conglomerados bancarios.
“Los sistemas de Popular no se vieron afectados por este incidente. En respuesta a este incidente, hemos reforzado las medidas de monitoreo de fraude y estamos evaluando la situación de cerca con Evertec para proteger a nuestros clientes”, comunicó Popular a este diario
La institución bancaria reiteró, además, que Popular nunca se comunicará con los clientes para solicitar o validar información confidencial.
"Queremos que nuestros clientes se sientan acompañados y tranquilos. Popular se hace responsable por cualquier pérdida por transacción en su cuenta no autorizada como resultado de este incidente", indicó Popular.
Mientras que FirstBank indicó estar al tanto del incidente reportado por Evertec e indicaron que están priorizando la protección de la información de sus clientes.
“Deseamos dejar claramente establecido que esta situación no ha afectado los sistemas, la infraestructura ni el entorno interno de datos de FirstBank. Nuestros controles de seguridad se mantienen sólidos, y las cuentas y los fondos de nuestros clientes están seguros. Los clientes pueden continuar utilizando sus tarjetas de débito con normalidad”, comunicó FirstBank.
A su vez, José Rafael Fernández, principal oficial ejecutivo (CEO) y presidente de la matriz de Oriental Bank, informó que algunos de los clientes del banco se vieron afectados, por lo que están notificado a los depositantes a través de la aplicación del banco.
“El cliente no se impacta, porque la perspectiva de sus depósitos están protegidos”, indicó Fernández. “El número exacto de clientes (afectados) no lo podemos compartir todavía, pero la cantidad de clientes no es una cantidad significativa en el caso de Oriental. Cuando van a la aplicación nuestra te dice si estás afectado o no”.
Además, destacó que Oriental cuenta con tres líneas de defensa digital, la cuales se están reforzando para proteger a los clientes.
¿Qué tienen que hacer los clientes?
Evertec adelantó que comenzará a enviar notificaciones por correo postal a los clientes cuyos datos hayan sido identificados como parte del incidente. Estas comunicaciones incluirán información sobre el evento y detalles sobre un servicio gratuito de monitoreo de crédito por 24 meses.
La compañía explicó que los consumidores no tienen que tomar medidas adicionales si no reciben una notificación y que pueden continuar utilizando sus tarjetas. También recomendó mantenerse vigilantes ante posibles actividades sospechosas y comunicarse con su institución financiera si identifican algún movimiento no autorizado.
Como parte de las medidas preventivas, Evertec habilitará un centro de llamadas y una página informativa para orientar a los consumidores afectados. Además, reiteró que ni la empresa ni las instituciones financieras solicitarán por teléfono, correo electrónico o mensajes de texto información sensible como números de tarjeta, PIN o códigos de seguridad.
En septiembre pasado, Sinqia S.A., una subsidiaria de Evertec en Brasil, identificó “actividad no autorizada” en sus sistemas, lo que afectó el sistema de pagos del Banco Central de Brasil, conocido como Pix, provocando millones de dólares transacciones no oficiales, según un informe sometido por la tecnológica ante la Comisión de Bolsas y Valores de Estados Unidos (SEC, en inglés).
Evertec notificó este martes a la SEC sobre el incidente de ciberseguridad en Puerto Rico.
Para preguntas adicionales, Evertec habilitó un sitio web donde puede encontrar respuestas sobre el incidente: https://info.evertectrends.com.