-
La información vulnerada incluiría titulares de tarjetas Gold, Platinum, Black de Visa y Mastercard.
-
Bitcoin, por su diseño descentralizado, evita los fallos que proveen los custodios centralizados.
El hacker identificado bajo el alias «F***3» estaría vendiendo una base de datos de 750.000 clientes de tarjetas de crédito premium de BBVA Argentina en un marketplace clandestino de origen chino, según alertó la firma de análisis y ciberseguridad VECERT Analyzer este 17 de junio.
El hecho ilustra uno de los riesgos estructurales que el diseño de Bitcoin busca evitar desde su origen: cuando el patrimonio o la identidad de una persona dependen de un custodio, una sola falla podría expone simultáneamente a todos los que confían en el custodio, sin que el individuo tenga control ni recursos para eludir ese problema.
Según VECERT Analyzer, el atacante habría accedido a información de titulares de tarjetas Gold, Platinum, Black e International de las marcas Visa y Mastercard, con campos que incluirían nombre completo, género, fecha de nacimiento y dirección de correo electrónico.
Un dato que agrava el impacto potencial, según la firma, es que las muestras publicadas están en texto plano, es decir, sin ningún tipo de cifrado, lo que las hace legibles y utilizables de forma inmediata por cualquier persona que acceda a ellas.
Para sustentar la autenticidad del lote, VECERT señala tres elementos en las muestras publicadas los días 16 y 17 de junio. Primero, las marcas de tiempo de los registros corresponden a fechas entre el 9 y el 15 de junio de 2026, lo que, según la firma, descarta que se trate de un reempaquetado de filtraciones antiguas y apunta a una extracción activa y reciente.
Segundo, los identificadores numéricos comienzan con el prefijo «54», el código telefónico internacional de Argentina, consistente con bases de datos de perfiles de clientes regionales. Y ,tercero, las categorías de tarjeta listadas corresponden exactamente a la segmentación real de BBVA en el mercado argentino.
No obstante, y pese a la revisión de VECERT, su equipo indicó que el estatus formal de la alerta es «no confirmado».
Posibles vectores del ataque
Según VECERT Analyzer, el vector de ataque probable habría sido una inyección SQL o el uso de credenciales comprometidas en sistemas de fidelización, plataformas de generación de estados de cuenta o portales de atención a clientes premium.
La inyección SQL es una técnica que consiste en insertar instrucciones maliciosas en los campos de entrada de una aplicación para extraer o manipular datos directamente desde la base de datos del sistema.
Las credenciales comprometidas, por su parte, son nombres de usuario y contraseñas robados previamente que permiten a un atacante ingresar a un sistema como si fuera un usuario legítimo.
Bitcoin evita este problema por diseño
El presunto robo a BBVA Argentina no es una falla excepcional. Es la consecuencia previsible de un modelo donde millones de personas delegan la custodia de su dinero y sus datos a una entidad central.
Cuando esa entidad es comprometida, todos los que dependen de ella quedan comprometidos al mismo tiempo, sin haber tomado ninguna decisión equivocada y sin poder hacer nada para evitarlo.
Bitcoin opera sobre un principio opuesto. La red no requiere que ningún banco, empresa ni organismo registre la identidad de sus usuarios ni custodie su patrimonio. Cada persona es su propio banco y cada persona controla sus fondos mediante claves criptográficas propias. No hay un servidor central que concentre los datos de 750.000 usuarios ni un punto único cuyo compromiso habilite el acceso masivo a fondos ajenos.
La privacidad y la autonomía no dependen de que un custodio proteja correctamente la información del usuario, sino de que el usuario resguarde su propia clave. Un ataque del tipo que describe VECERT no tendría, en ese esquema, una base de datos centralizada que exfiltrar.
El problema, entonces, no reside en los datos almacenados, ya que la blockchain de Bitcoin contiene cientos de registros financieros de millones de usuarios. Sin embargo, gracias a su sistema de privacidad y pseudoanonimato, Bitcoin puede mantener una base de datos abierta que, a su vez, protege la identidad de sus usuarios.
Este incidente se suma a dos alertas recientes de perfil similar en la región. El mismo 17 de junio, VECERT reportó el presunto robo de 186.500 registros de la Plataforma de Oro Soberano del Banco Central de Venezuela, con datos de ciudadanos y organismos de seguridad del Estado. Semanas antes, el 2 de junio, la misma firma había alertado sobre una presunta filtración del Registro Nacional de las Personas de Argentina (RENAPER), donde un atacante habría puesto a la venta acceso a datos de identidad de ciudadanos argentinos.
