Un análisis realizado por la empresa de ciberseguridad Birmingham Cyber Arms demostró que hay un sinfín de documentos vinculados a distintas áreas del banco que abarcan períodos históricos y actuales.
Según pudo comprobar El Observador, entre los materiales analizados hay comprobantes de pago de cuotas de miles de clientes del banco.
Hay expedientes calificados como “reservados” por un plazo de quince años. En esos expedientes se fundamenta que su divulgación podría implicar la pérdida de ventajas competitivas para el banco, de acuerdo con las normas de confidencialidad vigentes.
Entre los documentos hallados figuran expedientes judiciales vinculados a grandes grupos empresariales, así como propuestas de conciliación presentadas por el banco en el marco de litigios. El material también incluye registros relacionados con procesos de ejecución hipotecaria, desde las intimaciones iniciales hasta las resoluciones judiciales y eventuales expropiaciones.
Los archivos contienen además documentación técnica sobre contratos de software celebrados con consultoras externas, junto con reportes operativos y manuales internos de sistemas informáticos.
Dentro de la información detectada se identificaron actas y resoluciones del Directorio, tanto de carácter histórico como actuales.
También fueron hallados expedientes y escaneos de préstamos hipotecarios, junto con índices de resoluciones y reportes de auditoría interna, que abarcan controles financieros y comunicaciones entre áreas de supervisión.
Además hay datos sobre la contabilidad, finanzas y tributos del organismo, con reportes de desempeño e indicadores internos. Incluso se encontraron documentos relativos a la gestión de riesgos financieros y no financieros, una función clave en la administración bancaria.
Otra parte de la información corresponde al Área Legal y Asuntos Judiciales, con expedientes, sentencias, embargos y acuerdos transaccionales. En paralelo, aparecen carpetas del Sector Notarial, que incluyen garantías, hipotecas, escrituras y acciones, así como registros de atención al cliente y comunicaciones operativas.
Las bases de datos a las que accedieron los atacantes contenían índices y plantillas históricas desde 2008 hasta la actualidad.
A su vez, una parte de los archivos estaba expresamente marcada con la leyenda “Secreto Bancario”, confirmando el carácter confidencial de los datos comprometidos.
Manejo informático
El ciberataque reveló malos manejos de la información por parte de la institución bancaria. Primero, el análisis hecho por Birmingham Cyber Arms muestra que las claves para el acceso a diferentes interfaces del banco estaban en archivos de Word y también en formato .txt y PDF.
Según el análisis de esta compañía, el ataque al banco refleja una falla de cultura de seguridad entre los usuarios y una capacitación insuficiente en el manejo de información sensible. Además, explicó que la institución no contaba con un sistema de prevención de pérdida de datos (DLP), una herramienta que detecta y bloquea automáticamente el envío o almacenamiento de datos confidenciales, como contraseñas o tarjetas de crédito por parte de los usuarios.
Existen tecnologías que permiten monitorear este tipo de riesgos en tiempo real —por ejemplo, eliminando mensajes con contraseñas o alertando al usuario—, y que un banco podría implementar sin dificultad un sistema de este tipo para proteger su información.
La auditoría también identificó documentos de la Secretaría de Informática, donde se alojaban instructivos, plantillas y procedimientos internos.
Además, en 2022 el Banco Central del Uruguay (BCU), encargado de regular y supervisar el sistema financiero, decidió aplicar una sanción al BHU debido a la reiteración de incumplimientos en materia de seguridad de la información y controles internos, según informó en su momento el diario El País.
El 19 de enero de ese año, el BCU le identificó 11 deficiencias en materia de seguridad y control interno en el Entre ellas, destacó la ausencia de control sobre administradores de bases de datos, y la carencia de controles mínimos por parte del área de Seguridad de la Información.
También observó que no existe una gestión centralizada de usuarios y roles, que el área de seguridad no participa en la evaluación de proveedores, y que no dispone de presupuesto propio.
¿Qué impacto tiene esto en los usuarios?
La filtración de información del Banco Hipotecario del Uruguay puede tener consecuencias directas para miles de personas que alguna vez tuvieron un préstamo, una cuenta o cualquier vínculo con la institución. En los archivos filtrados hay comprobantes de pago, datos personales y documentos legales que, en manos equivocadas, pueden usarse para cometer fraudes, suplantar identidades o realizar estafas.
La exposición de información sensible —como nombres, direcciones o números de cuenta— puede abrir la puerta a intentos de engaño más sofisticados.
Luego de que este lunes se publicara la información, el BHU publicó un comunicado diciendo que "no hubo afectación financiera" tras el ciberataque, que obligó a suspender los pagos de cuotas en locales de cobranza y que sufrió la caída de todo su sitio web durante varios días.
El banco subrayó que “cuenta con la información para restablecer la operativa”, aunque este proceso “se realizará en forma paulatina de acuerdo a las mejores prácticas de seguridad recomendadas por los organismos competentes”.
La institución mencionó que “está en curso una investigación” y que trabaja en conjunto con el CERT.uy, (Centro de Respuestas a Ataques Informáticos), la Unidad de Ciberdelitos del Ministerio del Interior y la Unidad Reguladora y de Control de Datos Personales.
