El robo de cerca de 10 millones de dólares que sufrió el Banco de Chile tras un ataque informático internacional, ha dejado en evidencia la vulnerabilidad y las brechas en ciberseguridad financiera. El incidente golpeó fuertemente a la red de sucursales del banco en todo el país y a su banca telefónica. Un hecho inédito que ha generado una serie de cuestionamientos como, por ejemplo, sin la banca ha invertido lo necesario en la prevención de estos ataques. Por su parte  el gobierno no ha querido pasar  por alto esta crisis. Por ello,  el  Ministerio de Hacienda realizó una reunión con el Banco Central, la Comisión para el Mercado Financiero y  las superintendencias de Bancos y Pensiones, cuyo objetivo fue adoptar y aprobar medidas para trabajar en la ciberseguridad del sistema financiero local.

En esta entrevista el profesor de Ingeniería Civil Informática, Ricardo Seguel, nos devela algunas claves sobre la importancia y, a la vez, la vulnerabilidad  de la seguridad  de la información y cómo las empresas pueden enfrentar estas situaciones de riesgo.

¿Qué  efectos tienen este tipo de ataques informáticos?

Existen variados tipos de ataques informáticos o ciberataques que van desde el descubrimiento de una vulnerabilidad en los sistemas y controles de perímetro que aíslan a una organización del libre acceso desde el exterior, hasta el robo de credenciales de acceso a colaboradores clave utilizando aplicaciones instaladas en sus smartphones.  Las organizaciones, por lo tanto, deben velar por el aseguramiento de todos los posibles tipos de ataques que puedan significar una brecha de seguridad. Una brecha de seguridad que es explotada por un virus informático u otra de sus variantes como lo sucedido en el Banco de Chile, causa un daño inmediato tremendo.  Este daño se traduce en el acceso a información sensible de clientes, proveedores, trabajadores y otros stakeholders, pérdida monetaria y compromiso de sistemas y datos críticos que inhabilitan la entrega de un servicio o producto en una sucursal, transacciones en la página web del banco, entre otras.  Incluso, puede afectar sistemas de terceros como redes transnacionales de pago que dejen sin servicio a otros clientes en Chile y el extranjero.

 ¿Principales consecuencias para el Banco de Chile?

Las principales consecuencias de un ataque informático que no fue controlado a tiempo y que sale a la luz pública, son el malestar de los clientes, el llamado de atención y la auditoría del organismo regulador que cae encima.  El prestigio del equipo encargado de seguridad pasa a estar en juego y la opinión pública pone en tela de juicio a los asesores y proveedores de las soluciones de seguridad del banco.  Todo el ecosistema de seguridad informática, seguridad física de las instalaciones y seguridad de los colaboradores queda mermado. Por otra parte, e l daño a la imagen de la organización y a la confianza de sus clientes tarda en recuperarse, sobre todo cuando las señales que se entregan a la ciudadanía sobre los daños y sus efectos no son claras.

¿Cómo operan estos ataques y cómo se pueden prevenir?

En el ciberataque a un banco, el robo de dinero es intangible, es un número, es un monto que se carga de una cuenta a otra, pasando por varias cuentas hasta la cuenta de destino. Los montos pueden ser pequeños y pasar inadvertidos.  Transferir grandes cantidades de dinero entre varias cuentas generaría una alerta en los actuales sistemas de fraude que tienen las instituciones financieras. Por lo tanto, se requeriría de un esquema de fraude con muchos individuos involucrados en este “robo hormiga” por un largo tiempo, para lograr obtener unos cuantos millones de dólares. Más aún, el “robo hormiga” podría ser disfrazado bajo el concepto de un “cobro por mantención” u otros que a la vista de los clientes y colaboradores no levanten sospechas. El otro tipo de ataque es el robo de información sensible que puede consistir en el acceso y copia de datos confidenciales como números de cuentas y claves, o incluso el borrado completo o parcial de esos datos. En el primer caso, el ataque no es percibido por los clientes, pero los dispositivos de seguridad del banco podrían haber sido alertados del ataque.  En el segundo caso, las cuentas y servicios se ven inmediatamente afectados generando un caos.  En ambos casos, el robo no es dinero en sí, pero el robo de información podría ser avaluado en unos cuántos millones de dólares.

En estos casos,  la intervención de organismos reguladores y defensores de los clientes, accionistas y proveedores, son necesarios para que se entregue mayor claridad en el asunto.  La comunicación al interior y exterior de la organización es un factor clave para controlar las expectativas y recuperar la confianza de todos los actores ante un ataque de gran escala.

¿Estamos preparados para este tipo de virus informático?

Los ciberataques tienen escalas de complejidad relacionadas con los montos o impactos asociados.  Los ataques más complejos en que intervienen estos esquemas de fraude buscan robar grandes montos de dinero o causar un daño a los sistemas y datos.  Los bancos no son los únicos blancos de ataque.  Hay otros ataques complejos que buscan derribar los sistemas de instalaciones de suministro de energía, agua, sistemas de vuelo, tráfico vehicular, entre otros, para causar un daño con un alcance regional o nacional.

Estamos en una época donde el hacker no busca ser reconocido por su expertise como era hace unas décadas atrás.  Ya no atacan solos, lo hacen en grupos y buscan dinero, causar daños y realizar actos de vandalismo. En este escenario, las empresas e instituciones gubernamentales invierten cada año miles de dólares para mantener su perímetro seguro de los ataques externos.  Sin embargo la mayoría de los ataques vienen desde el interior de una organización

Y, ¿Qué se puede esperar de las medidas anunciadas al respecto por el gobierno?

Las medidas anunciadas por el gobierno van en buena dirección si se busca fortalecer la ley sobre seguridad de la información para nivelarla con estándares internacionales.  Sería ideal que se contemplen medios para la coordinación de los equipos especializados en seguridad de la información de las empresas e instituciones gubernamentales, y contar con un apoyo y coordinación más cohesionado con la policía  e Interpol. Todo esto en función de contar con un sistema de alerta temprana que coordine las acciones de defensa y prevención ante amenazas tanto desde el extranjero como nacionales. En Chile hemos aprendido a sobreponernos a catástrofes naturales, es hora que también aprendamos a prevenir y a responder a catástrofes informáticas.  En la era de la ciberguerra, es necesario aumentar los controles no sólo desde el exterior de las organizaciones, también desde el interior.

¿Qué tan vulnerables son las empresas en Chile, en especial las del rubro financiero y servicios?

Todas las empresas son vulnerables a amenazas de seguridad.  Las empresas del rubro financiero son siempre un blanco atractivo.  Sin embargo, empresas de otros rubros tienen activos de información que pueden ser atractivos para estos ataques. Si internalizamos en las empresas que la seguridad de la información, el gobierno y el control de riesgos son prioritarios, podríamos ver que las barreras de seguridad y estándares son incrementados.  Esto requiere de un esfuerzo e inversión que no son menores.