Dos conocidas apps de finanzas turcas filtran datos sensibles de sus usuarios

El equipo de investigación de Cybernews ha descubierto la existencia de una base de datos de MongoDB sin protección que albergaba mas de 4 millones de registros financieros confidenciales de usuarios de Turquía.

Entre estos datos que eran accesibles públicamente había nombres de usuario, direcciones de email, números de teléfono, información de pagos parciales, contraseñas cifradas y configuración de alertas financieras. También había credenciales de inicio de sesión.

Aunque las contraseñas estaban cifradas todavía será factible el robo de credenciales y ataques de fuerza bruta, facilitando a los amigos de lo ajeno el acceso a cuentas de múltiples plataformas.

Por su parte, el acceso a la configuración de alertas podría permitir a los atacantes manipular las notificaciones para dejar a los usuarios ‘ciegos’ a los cambios reales del mercado o enviarles señales falsas en momentos críticos.

Los detalles filtrados pertenecían a dos de las aplicaciones móviles de fintech más usadas en Turquía: Finans Cepte y FinansWebde.

Dichas herramientas permiten realizar seguimiento financiero, análisis de mercado y gestión de inversiones personales a más de un millón de usuarios.

¿Están los datos en manos de los ciberdelincuentes?

Por ahora no se sabe con exactitud cuánto tiempo han estado dicha información al acceso de cualquiera. Tampoco hay evidencia de que los cibermalos hayan accedido a ellos.

«Bases de datos expuestas como esta son una mina de oro para los atacantes, que monitorizan constantemente Internet en busca de bases de datos no seguras. Por lo tanto, es muy probable que si nuestros investigadores encontraron la base de datos, los atacantes también lo hayan hecho», señalan desde Cybernews.

Desde el medio se han puesto en contacto con la empresa que opera ambas apps, Pasyonis Medya Ve Bilisim Ticaret, pero la compañía no ha contestado.

«Este tipo de configuraciones erróneas han sido la causa de varias filtraciones importantes que han afectado a aplicaciones financieras en los últimos años», recuerdan desde Cybernews, citando lo ocurrido con la fintech nigeriana BestFin o la plataforma de banca digital uruguaya Bankingly (este último incidente fue bastante grave porque filtró datos de siete instituciones financieras, exponiendo a casi 100.000 personas en Latinoamérica).

• Acerca de
• Artículos recientes

Alberto Payo

Periodista especializado en tecnología y cultura. Co-fundador y responsable editorial de Applicantes. Colaborador de Forbes, SINC, Escudo Digital y laBerrea89. Amante de la fotografía, el cine, los comics, los viajes y el buen humor.
Seguir a @albertopayo

Últimas entradas de Alberto Payo (ver todo)

• Dos conocidas apps de finanzas turcas filtran datos sensibles de sus usuarios - 28 agosto, 2025
• AceCraft dispara animación clásica a tu móvil - 28 agosto, 2025
• Tres de cada cuatro apps de citas son inseguras, según un estudio - 27 agosto, 2025