El neobanco se deslinda de responsabilidad directa y asegura que sus sistemas no fueron comprometidos. Base de datos aparece a la venta en foro de la dark web por US$200.

Nu Colombia confirmó este viernes que uno de sus proveedores externos de servicios de cobranza fue objeto de un incidente de ciberseguridad que habría expuesto información de decenas de miles de clientes, el caso más reciente caso de vulneración de datos en el sector financiero.

El neobanco precisó que la brecha no se originó en sus propios sistemas, sino en una “plataforma externa” operada por un tercero contratado para gestionar procesos de recuperación de cartera.

“Uno de nuestros proveedores de cobranzas reportó un evento de ciberseguridad en una plataforma externa. Tan pronto conocimos la situación, activamos nuestros protocolos e iniciamos una investigación conjunta para determinar el alcance, en coordinación con autoridades”, indicó la compañía en un pronunciamiento enviado a Forbes Colombbias.

Según reportes de inteligencia de amenazas, un actor malicioso no identificado publicó en un foro de la dark web una base de datos que afirma contiene más de 30.000 registros de clientes, ofreciéndola a la venta por US$200. Los datos presuntamente comprometidos incluyen nombres completos, números de identificación nacional, números de teléfono, montos en mora, días de atraso y detalles internos de campañas de recuperación de cartera.

Las agencias de cobranza EmergiaCC y Conalcréditos habrían sido los terceros involucrados en la operación afectada, de acuerdo con la misma información circulada en foros especializados. Forbes Colombia no pudo verificar de forma independiente la autenticidad de la base de datos ni la participación directa de dichas firmas.

Nu reiteró que la información comprometida no incluye claves, contraseñas ni datos de productos de ahorro o depósitos, y aseguró que no se ha detectado “ningún acceso no autorizado” a su infraestructura tecnológica ni a la información financiera de sus usuarios.

Externalizar procesos sensibles como la cobranza es una práctica habitual en el sector pero que implica transferir datos de clientes a terceros con estándares de seguridad potencialmente distintos.

La Superintendencia Financiera de Colombia, que regula a Nu Colombia, no se ha pronunciado al respecto.