Un reciente incidente de exposición de datos ha encendido las alarmas en el sector financiero de India, luego de que cientos de miles de documentos sensibles sobre transferencias bancarias quedaran accesibles en línea debido a un servidor en la nube sin la seguridad adecuada. La filtración reveló números de cuentas, montos de transacciones y datos de contacto de clientes.

Descubrimiento de la brecha

Investigadores de ciberseguridad de UpGuard identificaron el problema a finales de agosto, al encontrar un bucket de almacenamiento en Amazon accesible públicamente que contenía aproximadamente 273,000 documentos PDF relacionados con transferencias bancarias de clientes indios. Estos archivos eran formularios utilizados para procesar transacciones a través del National Automated Clearing House (NACH), un sistema que gestiona pagos recurrentes de alto volumen, como salarios, pagos de servicios y préstamos.

Según los investigadores, los datos expuestos estaban vinculados a al menos 38 bancos e instituciones financieras diferentes. Aunque finalmente se aseguró la filtración, inicialmente no estaba claro cuál fue el origen del problema.

Nupay confirma responsabilidad

Tras la publicación del incidente, la fintech india Nupay reconoció que los archivos expuestos provenían de uno de sus buckets de Amazon S3, citando una “brecha de configuración” como causa. La empresa aseguró que los registros incluían solo un “conjunto limitado de archivos de prueba”, la mayoría de ellos datos ficticios. Además, Nupay afirmó que no había evidencia de acceso no autorizado, mal uso o impacto financiero.

Sin embargo, UpGuard cuestionó esta explicación, señalando que la mayoría de los documentos analizados contenían datos reales de clientes y referencias a múltiples instituciones financieras. Los investigadores también señalaron que el bucket público estaba indexado en Grayhatwarfare, una base de datos que registra almacenamiento en la nube expuesto, lo que hacía difícil asegurar que no hubiera habido acceso indebido.

Impacto y respuesta

Entre los documentos expuestos, más de la mitad mencionaban a Aye Finance, un banco indio que presentó una oferta pública de $171 millones el año pasado. También se encontraron documentos del State Bank of India, uno de los bancos estatales más grandes del país.

UpGuard notificó a Aye Finance, a la National Payments Corporation of India (NPCI) —responsable de NACH— y finalmente escaló el caso al equipo de respuesta a incidentes de ciberseguridad de India, CERT-In. Los datos expuestos permanecieron accesibles públicamente hasta principios de septiembre, cuando finalmente se tomaron medidas para asegurar el servidor.

Implicaciones generales

Aunque Nupay ya ha cerrado la exposición, el incidente destaca los riesgos persistentes de las configuraciones incorrectas en la nube, una de las causas principales de filtraciones de datos sensibles en todo el mundo. Con el almacenamiento en la nube siendo cada vez más central en las operaciones financieras, garantizar configuraciones de seguridad correctas es crucial para prevenir exposiciones a gran escala.

Este caso sirve como un recordatorio de que errores humanos en la gestión de la nube pueden crear vulnerabilidades significativas, y que la observabilidad y monitoreo proactivo son esenciales para proteger la información financiera a gran escala.

Fuente: https://techcrunch.com/2025/09/26/thousands-of-indian-bank-transfer-records-found-online