La aplicación financiera venezolana Cashea confirmó que detectó una filtración de datos vinculada a información histórica de su plataforma. La empresa aseguró que el incidente “ya fue contenido” y que las contraseñas y accesos de los usuarios no quedaron comprometidos.
En un correo electrónico enviado a sus clientes y aliados comerciales, informó que la filtración se produjo “a través de un acceso comprometido a una cuenta de correo asociada a la plataforma de aliados”, tras una investigación preliminar.
Nombres, cédulas, teléfonos y detalle de transacciones
“Queremos informarte que el día 21 de febrero detectamos una filtración de datos que está relacionada con información histórica vinculada a nuestra plataforma, que ya fue contenida por nuestros equipos”, señaló la empresa en el comunicado.
De acuerdo con la explicación, la información expuesta está relacionada con “registros transaccionales de la plataforma, específicamente cédulas, teléfonos, nombres y detalle de transacciones”.
Cashea subrayó que, hasta la fecha de la comunicación, “las contraseñas y accesos de nuestros usuarios y aliados están protegidos y no han sido comprometidos” y que la aplicación continúa “100% operativa y funcionando con normalidad”.
La plataforma funciona bajo el modelo “compra ahora, paga después”, lo que permite a usuarios adquirir productos y servicios en tiendas aliadas en Venezuela mediante cuotas quincenales sin intereses, como alternativa a la tarjeta de crédito tradicional.
¿Qué medidas anunció Cashea tras la filtración de datos?
Tras detectar la situación, se activaron los protocolos internos de respuesta ante incidentes y se implementaron medidas adicionales de seguridad.
“Activamos nuestro protocolo de respuesta ante incidentes. Implementamos medidas técnicas y organizativas adicionales para reforzar nuestros sistemas e intensificamos el monitoreo de nuestra infraestructura tecnológica”, detalló.
Asimismo, Cashea indicó que contactó a las autoridades competentes conforme a la normativa aplicable y comenzó una investigación con especialistas externos en seguridad digital.
Al concluir el proceso, prometió presentar un informe público, claro y detallado con la cronología de los hechos y las medidas concretas adicionales.
La compañía pidió a los usuarios realizar pagos únicamente a los datos bancarios que aparecen dentro de la aplicación y reportar cualquier situación irregular a través de los canales oficiales.
Mayor precisión en el informe final
El defensor de derechos humanos y derechos digitales Luis Serrano, director de la organización Redes Ayuda, valoró que la empresa ampliara la información respecto a su primera comunicación pública.
“Mandaron un correo a sus usuarios donde corrigen varios puntos clave que hacían falta en su primera comunicación (datos expuestos, riesgo real y recomendaciones al usuario). Así se maneja mejor una crisis”, escribió.
No obstante, pidió mayor precisión en el informe final. “Ahora sería bueno, como usuarios, tener un informe final más preciso: alcance real, período afectado, detalle del riesgo y una guía completa para usuarios y aliados”.
Riesgo de intentos de estafa mediante llamadas y mensajes
Por su parte, el ingeniero de software y activista digital Giuseppe Gangi —creador de la plataforma de transparencia electoral Macedonia del Norte, en la que expone el fraude en las presidenciales del 28 de julio de 2024 — advirtió que antes de la confirmación ya circulaba información sobre la exposición de registros, incluidos datos de usuarios, comercios e historiales de transacciones.
“Me llama la atención que el equipo técnico de Cashea diga que el 21 de febrero se dio cuenta de la filtración de datos, cuando por días ha circulado por Internet que hubo un ataque a la aplicación. Claramente, lo que todo el mundo se pregunta es cómo afecta al usuario. Ellos confirman que no hay exposición de las contraseñas, parece que las cuentas están seguras”, dijo.
En un análisis difundido en redes sociales, explicó que, aunque no se habrían comprometido contraseñas, la filtración de datos personales como nombres, cédulas y teléfonos puede abrir la puerta a intentos de estafa mediante llamadas o mensajes que utilicen información real para ganar la confianza de las víctimas.
¿Cómo te podrían estafar?
Entre las recomendaciones a los usuarios, Gangi destacó no suministrar información adicional y verificar siempre que cualquier gestión se realice exclusivamente dentro de la aplicación oficial.
“Tienes que tener mucho cuidado con los mensajes y las llamadas que recibes porque ya hay personas que tienen datos sensibles tuyos y eso puede funcionar para hacer estafas. Alguien puede llamarte o mandarte un mensaje haciéndose pasar por, por ejemplo, los comercios donde compraste con Cashea y decir que necesitan otros datos tuyos y sacarte más información, ganándose tu confianza usando los datos filtrados”, explicó el ingeniero.
“¿Qué debería hacer Cashea ahora? Debería estar haciendo seguramente una auditoría forense, una auditoría técnica de lo que ocurre o de lo que ocurrió y cómo evitarlo, además de blindar toda puerta de acceso a los datos de los usuarios porque, si ya lo hicieron una vez, ¿qué puede evitar que lo hagan de nuevo? Entonces, esa es la confianza que se tiene que ganar la empresa”, añadió.
“Las empresas tienen que responder”
En opinión de Gangi, en Venezuela debe haber una regulación. Señaló que en otros lugares, como Europa y Estados Unidos, existen marcos legales que obligan a las empresas a responder, incluso económicamente, ante este tipo de incidentes, lo que termina presionándolas a reforzar sus sistemas y a tomarse la seguridad con mayor seriedad.
“Las empresas tienen que responder a sus usuarios por la filtración de sus datos”, instó.
También planteó que la transparencia no debería limitarse al momento de la crisis y afirmó que las compañías tienen que explicar no solo qué pasó, sino qué hacen de forma permanente para evitar que vuelva a ocurrir.
“Este incidente marca, sin duda, un punto importante para hablar sobre la seguridad digital en Venezuela. Lo que pase en los próximos días será de vital importancia para saber qué nivel de confianza se puede tener en este tipo de aplicaciones después de un incidente así”, expresó.
EL NACIONAL
