Responsabilidad pública y privada por brecha de seguridad del Banco de Chile

El día 24 de mayo, a través de las redes sociales, principalmente vía Twitter, se comenzó a informar que uno de los bancos más importantes del país (el Banco de Chile), tenía problemas en sus sucursales de atención al público, porque presuntamente sus sistemas no estaban en línea. Esto significaba en la práctica que no estaban atendiendo a clientes y ante tal situación comenzaron rumores respecto a problemas informáticos, caídas de sistema por migración en plataforma informática, presuntos hackeos que afectaban a usuarios, llamados a no utilizar los sistemas de transferencia electrónica, ni a usar cajeros automáticos ni aplicaciones web y un largo etcétera.

Lo que llamó la atención es que el Banco de Chile ese mismo día utilizó su cuenta de twitter para dar información a sus clientes de manera absolutamente genérica y sin dar ninguna explicación concreta de lo que estaba sucediendo. Así, uno de su primer mensaje fue: “Estimados clientes: Prefiera nuestra página web y app móviles. Estamos trabajando en regularizar algunos servicios no disponibles.”

Sin embargo, con posterioridad informaron que: “Estamos trabajando en las soluciones de los problemas en nuestras estaciones de trabajo que no afectan en ninguna medida la seguridad de nuestras operaciones. Internet y aplicaciones móviles están funcionando con total normalidad.”

Como este tipo de informaciones no eran del todo precisos, claros ni concretos, el Banco de Chile decidió sacar una primera  declaración, en la que llama la atención el tipo de mensaje, en respuesta a fuertes rumores de vulneración de seguridad del banco y en el que sólo indica que “se presentaron problemas en sus estaciones de trabajo, las que están siendo debidamente solucionados”. Lo paradójico de este mensaje, es que sin mencionar algún problema de seguridad, les recuerda a sus clientes medidas de protección para evitar que sean afectados por phishing, engaños, virus o similares.

No obstante lo anterior, el día siguiente a los hechos, es decir, el 25 de mayo, el Banco de Chile decidió sacar una Declaración Pública, que es similar a la anterior, pero donde sutilmente mencionan palabras que diferencia el tipo de problema al mencionar existencia de una “falla”, que generó “activar protocolo de contingencia”. Informan al mismo tiempo señalando “no viéndose en ningún caso afectada la seguridad de los productos y transacciones de nuestros productos”… De ninguna forma señala existencia de vulneración de sistemas propios del banco, hackeo, virus, ni transferencia irregular de fondos al extranjero o pérdida de dineros o patrimonio del Banco por estos hechos

Lo curioso de esta situación es que tuvo que pasar 4 días desde la “incidencia” (es decir el día 28 de mayo), para que finalmente el Banco de Chile sacara una nueva declaración un poco más extensa, pero no por ello más precisa, donde otorga más luces respecto a lo sucedido y que explicara el fallo de atención de clientes presenciales y la “caída” de sus sistemas.
En esta nueva declaración pública, por primera vez habla de una exhaustiva investigación; de determinación respecto a que el origen de la falla detectada fue un virus; que presumiblemente su fuente son redes internacionales; que se aplicaron medidas de contingencia para continuidad y seguridad de productos y servicios; que el virus estaba destinado a dañar al Banco y no a los clientes; que se ha mantenida informada a la Superintendencia de Bancos e Instituciones Financieras (SBIF) sobre contingencias, medidas y acciones.

He querido destacar algunas palabras importantes de la declaración pública, porque todas nos permiten visualizar no una declaración pública críptica y genérica, sino que nos daba luces respecto a la existencia de hechos relevantes, como es una vulneración grave de la seguridad de la información del Banco, y en la que efectivamente existía un perjuicio económico importante producto a un hackeo, utilizando técnicas avanzadas de implantación y puesta en marcha de virus informático cuya finalidad eran desvíos de fondos no autorizados.

Debemos recordar que para la seguridad de un banco, no es relevante si los afectados son los clientes o el patrimonio del banco, porque sus medidas preventivas y de ciberseguridad deberían ser aplicadas en el todo el funcionamiento de la institución bancaria.

Lo realmente preocupante de esta situación, es que el Superintendente de Bancos e Instituciones Financieras fue citado a la comisión de Economía del Senado el día 6 de junio, y en esta instancia hubo un gran cuestionamiento respecto al rol de Fiscalizador de la Superintendencia, como también de la información entregada por el Banco de Chile a esta institución estatal.
En esta sesión el regulador reconoció que hasta el momento de la citación a la comisión del senado, se ha determinado que no existe patrimonio de los clientes afectado, desconociendo si parte del capital propio del banco fue sustraído.

De hecho, el lunes 04 de junio, a semanas del hecho inicial, un equipo de auditoría de la Sbif concurrió a las dependencias del banco, y no antes, puesto que la entidad no quiso “estorbar” para que el propio banco pudiera trabajar en solucionar la emergencia. Incluso ratificó el superintendente que la Sbif no se constituyó en el Banco de Chile el mismo día en que se produjo el problema es que no habían “valores suficientes” para justificar una intervención.

Las declaraciones del superintendente Mario Farren, no pueden pasar desapercibidas. Así, él admitió en la sesión que el equipo de la Sbif para enfrentar este tipo de emergencias “tiene un nivel básico”; que para mejorar esta situación, habría propuesto al ministro de Hacienda, Felipe Larraín, la creación de un equipo técnico dentro del organismo, como también abordar cambios regulatorios en esta materia ya que está comprometida la “seguridad nacional del país”. Además, Farren señaló que ahora el foco de su gestión al mando de la Sbif será la ciberseguridad.

Es posible ver parte de la sesión a través del siguiente video:

Después de esta citación, y ante la presión de mayor información, es que finalmente en una entrevista a un medio nacional, el 9 de junio recién pasado, Eduardo Ebensperger, gerente general del Banco de Chile, reconoció que el ataque informático que afectó a la entidad en mayo pasado tenía como fin generar distracción y así poder robar 10 millones de dólares.

Ebensperger explicó que fueron atacados por el malware SWAPQ, “que es un virus de día cero, es decir, que no ha atacado en ninguna parte antes. Si bien existía el tipo de virus, se trataba de un virus mutado”.

Junto con ello, señaló que pudieron detectar que los fondos robados fueron derivados a Asia. “Generalmente la plata llega a un banco corresponsal, y luego llega a otro banco en otra parte, aquí usaron varios corresponsales en distintas latitudes, pero la mayoría del dinero llegó a Hong Kong”.

“Este era un evento destinado a dañar al banco, nos dimos cuenta que ese era el objetivo y cuadraba con este tipo de banda criminal. Nos demoramos dos o tres días para hacer todos los análisis para asegurarnos de que no se haya perdido ningún tipo de información, ni claves, ni fondos de los clientes” apuntó.

El episodio de vulnerabilidad de seguridad del Banco de Chile genera diversas conclusiones:

  • Es altamente preocupante que el Banco haya tenido un nivel de respuesta comunicacional tan limitado y absolutamente genérico cuando ocurrió el episodio de ataque.
  • No es posible que el Banco valore más su reputación como marca y no reconocer que estaba comprometida su seguridad (más que la de sus clientes) y no reconociera abiertamente la brecha existente.
  • Es absolutamente relevante que las instituciones estatales funciones, más la SBIF, en cuanto a que frente a un hecho como éste, no se quede tan sólo con lo informado por el banco, sino que verifique la calidad de la información recibida y el efecto de esta situación, que repitiéndose, podría afectar a otras instituciones financieras o comerciales.
  • La ciberseguridad no se basa solamente en aplicar “protocolos de continuidad y seguridad”, sino más bien en un ecosistema en que participar actores públicos y privados en donde debe existir información transparente, rápida y efectiva.
  • No es posible que tras días del hecho mencionaran la existencia de un virus y semanas posteriormente reconocieran la presunta pérdidas de (hasta este momento) US$10 millones. Algunos expertos mencionan que adicionalmente el monto podría ser mayor a esa cantidad informada.
  • Sería importante saber cuanto de las millonarias ganancias que reportan los bancos, especialmente el banco de Chile, destinan para ciberseguridad, entendiendo no tan sólo la contratación de profesionales, sino medidas de prevención, contingencia, educación, coordinación y monitoreo constante de sistemas de seguridad.
  • Es primordial que el Comité de Ministros de Ciberseguridad, que fue creado en la administración anterior,  y que fue convocado por la actual justamente a raíz de este episodio, no tan sólo anuncie medidas concretas para situaciones de afectación a ciberseguridad de bancos, sino que tenga mirada ecosistémica amplia, tal como está considerada.
  • No podemos tener una autoridad reguladora y fiscalizadora de bancos e instituciones financieras tan pasiva y que considere sólo en este momento la ciberseguridad como elemento de preocupación. Es necesario que sea preventiva y no reactiva, que establezca regulaciones en su ámbito de competencia y no espere cambios normativos generales.

 


A propósito de este tema, en programa “Ciudadanos Conectados” de Radio Valparaíso hablamos de este tema en su último capítulo. Puedes escucharlo online acá:

Deja un comentario