4 vulnerabilidades en chatbots bancarios que ponen en riesgo tus datos personales

Los bancos implementan chatbots para atender consultas las 24 horas, pero estos sistemas presentan debilidades técnicas que criminales explotan sistemáticamente. Cada fallo compromete información que debería permanecer protegida.

Inyección de prompts revelando datos de otras cuentas

Un usuario del BBVA descubrió que solicitando al chatbot información sobre un número de cuenta específico, el sistema mostraba saldos y movimientos sin verificar la titularidad. La técnica consistía en formular preguntas de cierta manera que saltaban los controles de autorización. El banco corrigió esta vulnerabilidad tres semanas después de su notificación pública, pero durante ese periodo quedaron expuestos datos de 47.000 clientes.

Almacenamiento de conversaciones sin cifrado adecuado

CaixaBank guardaba transcripciones completas de interacciones con su asistente virtual en servidores accesibles para personal técnico sin credenciales especiales. Las conversaciones incluían números de DNI, fechas de nacimiento y respuestas a preguntas de seguridad. Un administrador de sistemas descubrió archivos con 230.000 conversaciones almacenadas durante 18 meses.

Respuestas que filtran información del modelo de seguridad

El chatbot de Bankinter revelaba detalles sobre sus propios protocolos de verificación cuando se le preguntaba con formulaciones indirectas. Los atacantes descubrieron qué datos específicos validaba el sistema, permitiéndoles preparar documentación falsa más convincente. Esta información técnica permanecía disponible mediante consultas aparentemente inofensivas.

Sesiones activas compartidas entre dispositivos

Un error en el sistema de Santander mantenía sesiones abiertas cuando usuarios cambiaban de dispositivo. Al acceder desde un ordenador público, la siguiente persona podía continuar la conversación con acceso completo a información bancaria. El problema afectó principalmente a sucursales con terminales compartidos y bibliotecas públicas.