Pais:   Chile
Región:   Metropolitana de Santiago
Fecha:   2018-06-17
Tipo:   Prensa Escrita
Página(s):   B6
Sección:   ECONOMÍA Y NEGOCIOS
Centimetraje:   52x30
El Mercurio
LAS ALARMAS SE ENCENDIERON EN LA MONEDA, EN LA ASOCIACIÓN DE BANCOS Y EN TODOS LOS BANCOS DE LA PLAZA:
Las esquirlas del ataque informático al Banco de Chile en el Gobierno y los competidores
Desde el día del hackeo, el 24 de mayo, y hasta fines de esta semana, los bancos tenían bloqueados los correos electrónicos que provinieran del Chile, además de supervigilar las operaciones financieras desde y hacia la entidad controlada por Andrónico Luksic y el Citigroup, que se convirtió en el primer banco al que le roban digitalmente en la historia del país.
En México hubo cómplices. Ciudadanos de a pie o 'palos blancos'. En abril recién pasado, una banda internacional dedicada al cibercrimen atacó a bancos aztecas, sustrajo dinero de las cuentas de los mismos y lo transfirió a cuentas falsas, para luego depositarlo a personas que fueron a retirarlo a plena luz del día a las cajas de los bancos, durante varios días. Así se esfumaron entre US$ 20 millones y US$ 40 millones, monto que hasta ahora no ha podido ser determinado.

Aunque la 'falla' del Banco de Chile el pasado jueves 24 de mayo fue distinta y de una magnitud menor —se ha reconocido un robo de US$ 10 millones del dinero del banco y no de los clientes—, el tema del cibercrimen está en la palestra y obligó al Gobierno y la autoridad reguladora a intervenir directamente, además de forzar a todos los bancos a revisar sus políticas. Es más, desde ese mismo día y hasta fines de esta semana, otros bancos de la plaza mantuvieron bloqueado cualquier correo que proviniera del Banco de Chile.

Como este es el primer caso de ciber robo que se registra en la banca local, los competidores del Chile no sabían muy bien qué hacer, no hay un protocolo establecido, ni tampoco habían hecho 'simulacros' para actuar en este tipo de robos. Porque, según comenta un ejecutivo de la banca, sí tienen claramente definido qué hacer en caso de robo a mano armada, pero no saben qué hacer si un hacker ingresa al sistema del banco, sustrae US$ 10 millones y los envía a Hong Kong, una jurisdicción con secreto bancario. Hasta hoy, el banco controlado por Andrónico Luksic y el Citibank no logran recuperar ni un solo peso.

Las alarmas en La Moneda

La mañana del jueves 24 de mayo fue frenética en la casa matriz del Chile. La primera decisión fue desconectar los computadores de las sucursales, pensando que se trataba de un hackeo al sistema operativo, y para evitar que intervinieran las cuentas de los clientes decidieron ese plan de contingencia. Ese mismo día, con cientos de clientes y trabajadores que no entendían mucho qué pasaba, prefirieron no cerrar las oficinas para evitar una 'histeria colectiva', resume un conocedor del caso, pero principalmente porque hay un complejo procedimiento para justificar el cierre de sucursales frente a la Superintendencia respectiva.


La misma mañana informaron a la Asociación de Bancos e Instituciones Financieras (ABIF) y se activó un comité de emergencia, inaugurado en noviembre del año pasado (ver recuadro). En ese mismo comité, los otros bancos decidieron, de manera preventiva, bloquear todos los correos que llegaran desde el Banco de Chile, además, las transacciones con ese banco, aunque no fueron bloqueadas, fueron monitoreadas con mayor detalle. Asimismo, los comités de riesgo de cada banco se reunieron y al día siguiente, el viernes 25 de mayo, cuando el Chile ya había entregado más detalles a sus pares, instalaron un 'parche' en sus sistemas informáticos para evitar que el hackeo se propagara. Lo que habría funcionado, porque hasta el cierre de esta edición, ningún otro banco había informado de alguna vulneración a sus sistemas o al dinero de la misma entidad o de sus clientes.

También desde la misma mañana del jueves, el banco mantuvo informada a la Superintendencia de Bancos e Instituciones Financieras (SBIF) y esta, a su vez, al Ministerio de Hacienda, que hizo llegar de inmediato el problema a La Moneda. El propio Presidente Sebastián Piñera se habría comunicado con altos ejecutivos del banco para monitorear la situación. La tarde de ese jueves fue el gremio financiero el que salió a dar certezas al mercado y los clientes, afirmando que la falla solo afectó a un banco y no fue un problema sistémico. Después de ello, Hacienda decidió citar al Grupo de Continuidad Operacional en Hacienda, en el que participan las superintendencias financieras y el Banco Central, para el martes de esta semana. En paralelo, el Ministerio del Interior citó al Comité Interministerial de Ciberseguridad. La idea, cuentan desde el Gobierno, era dar la señal a la ciudadanía de que, aunque se trataba de un problema de un privado y que no había afectado a los clientes, el hackeo a un banco es un tema de seguridad nacional. Esa frase, incluso, estuvo en una minuta que repartió el Gobierno entre los ministros atinentes al sector. También, las alarmas aumentaron porque si estas bandas internacionales detectaron vulnerabilidad en un banco en Chile, que vuelvan a atacar a otro o a la misma entidad, no sería extraño.

Esta crisis, además, fue la primera del recién estrenado superintendente de Bancos, Mario Farren, quien compareció ante la comisión de Economía del Senado, el miércoles 6 de junio, y dijo que seguían de cerca el problema, en constante comunicación con el Banco Central, Hacienda y las autoridades del Banco de Chile. En esa misma sesión, asediado por las preguntas de paparlamentarios, dijo que no fue el mismo día del ataque al banco para 'no estorbar'. Esas declaraciones no gustaron para nada en La Moneda y lo atribuyeron a su falta de experiencia política , pero le hicieron ver que declaraciones de ese tipo no se podían volver a dar. Asimismo, en el entorno del Gobierno causaba algo de nerviosismo que Farren haya trabajado por varios años en el Citi, co controlador del Banco de Chile. A pesar de varios intentos por hablar con Farren, desde su departamento de comunicaciones contestaron que aún no iba a hablar.

Actualizar la ley de 1993

Así las cosas, las líneas de trabajo del Gobierno son modernizar cuanto antes la ley de ciberseguridad chilena, que data de 1993, cuando los teléfonos inteligentes aún no existían, y es justamente a través de estos dispositivos donde se encuentran las mayores vulnerabilidades del sistema bancario. 'Hay que entender que ningún banco, en ninguna parte del mundo, es infranqueable, hay que cambiar el paradigma, no se puede trabajar pensando solo en que no nos hackeen, sino que hay que pensar cómo capear la crisis. Lo que sí hay que asegurar, y trabajar en planes de contingencia, es que apenas esto se detecte se informe a los clientes y se proteja la continuidad del sistema', dice Oriol Solans, experto de The Boston Consulting Group. 'La inversión de Chile en ciberseguridad no avanza de acuerdo a la rapidez con la que lo hacen las bandas internacionales de cibercrimen, y en eso hay que trabajar desde ya', complementa (ver infografía).

Por ahora, el Banco de Chile sigue trabajando con asesores internacionales contratados para este propósito. Uno de los primeros cambios que harán será cambiar su sistema informático o 'core bancario' llamado Altamira, y que podría presentar vulnerabilidad por su antigüedad y porque para funcionar necesita interactuar con demasiados programas intermedios, lo que quita seguridad a la operación. En todo caso, este cambio no es rápido ni barato: según un experto del sector, actualizarlo puede costar, por lo bajo, US$ 25 millones, y tenerlo plenamente en funcionamiento puede tardar entre dos y tres años. 'Ese sistema se hizo cuando la llevaban los computadores, pero no está preparado para las aplicaciones móviles', dice. El banco no quiso referirse a este punto.

Recuadro
-EL PRINCIPAL TEMOR que se ha instalado es que si una banda internacional ya detectó una vulnerabilidad en un banco chileno, que vuelvan a intentar atacar no extrañaría.

-Presidente de la Asociación de Bancos, Segismundo Schulin-Zeuthen y el robo al Banco de Chile: 'Nunca vas a estar 100% seguro de que no te puedan atacar'

En noviembre del año pasado, la Asociación de Bancos e Instituciones Financieras (ABIF) estrenó el comité de seguridad informática, que reúne a gerentes de riesgo o gerentes de operaciones y tecnología de 16 de los 18 bancos que operan en Chile. Y aunque las reuniones son periódicas, la mañana del jueves 24 de mayo por primera vez tuvieron una contingencia que los llevó a activar el protocolo de emergencia. Antes del mediodía, los representantes del Banco de Chile dieron la alerta a los otros integrantes del comité, lo que llevó de manera automática a que todos los otros bancos de la plaza activaran sus propios sistemas de riesgo informático.

'Eso nos permitió, como asociación, ver si había problemas en otro banco, y es por eso que ese mismo día en la tarde hicimos un comunicado a la opinión pública diciendo que este era un problema exclusivamente del Banco de Chile, y no estaban afectados el resto de los bancos. Ese comité funcionó casi en forma permanente y al día siguiente, el viernes, el comité tuvo la información del virus que había atacado al Banco de Chile, con lo cual los bancos pudieron colocar los parches necesarios para que este virus no atacara a otros. La institucionalidad funcionó', comenta el presidente de la ABIF Segismundo Schulin- Zeuthen a 'El Mercurio'.

Cuando ya han pasado tres semanas de la crisis, el representante del gremio hace un balance. 'Nunca vas a estar 100% seguro de que no te puedan atacar, lo que tienes que hacer es tomar todas las medidas de mitigación posibles, pero lo fundamental al final del día es cómo te recuperas y cómo los clientes se afectan lo menos posible. Y yo creo que lo que pasó aquí es que el banco siguió funcionando, con restricciones y todo lo que quieras, pero los clientes pudieron seguir operando con el banco', dice.

Sobre una autocrítica desde el gremio por este incidente, Schulin-Zeuthen recalca que 'siempre es posible mejorar. Ahora, insisto, creo que hay algo que sí debemos hacer, que es intensificar el tema de la educación financiera, porque el consenso que hay es que el eslabón más débil de la cadena es el cliente y sus dispositivos, y por ahí entran los virus'.

Además, añade que 'el cibercrimen hoy día son verdaderas mafias, y aquí obviamente hay que actualizar la legislación, pero lo más importante es cómo generamos colaboración a nivel mundial sobre este tema, porque son bandas las que operan. A diferencia de lo que afecta a un cajero automático donde la banda que roba está aquí en Chile, en general, en los ciberataques esto viene de afuera. Todo lo que es intercambio de información, medidas y sanciones requiere actualizar el marco en que esto se mueve'. De hecho, el gremio está trabajando en recabar información de cuánto invierten directa e indirectamente los bancos en ciberseguridad, datos que no manejan.

Asimismo, destaca que no hicieron un llamado de atención al Banco de Chile. 'La supervisión y fiscalización de los bancos depende de la Superintendencia, nosotros somos una entidad gremial que promovemos políticas públicas que fortalezcan a la industria y nos permitan cumplir el rol de cara a nuestros clientes. Por ser una asociación gremial no nos corresponde hacer llamados de atención por un tema de este tipo', responde el también ex gerente general y ex presidente del Banco de Chile.

Proponen limitaciones a transferencias instantáneas

Otro de los puntos que destaca el líder del gremio es que Chile es uno de los 35 países del mundo que tienen transferencias de dinero instantáneas, lo que no es así en países de Europa y en Estados Unidos.

'Estamos estudiando tratar de segmentar, por tipo de transferencia, que sin ser instantáneas se haga dentro de un período razonable para que los clientes puedan, o ser informados o generar una clave adicional. Vamos a plantear un sistema en que podamos, bajo determinadas condiciones, tomar medidas para tener algún tiempo para que los clientes tengan la posibilidad de verificar o autorizar la transferencia', dice Schulin-Zeuthen. De esta forma, a la actual solicitud de coordenadas que se hace para realizar un envío de dinero entre personas o instituciones, se podría agregar una notificación o envío de clave, por ejemplo, a un teléfono, método que algunos bancos ya utilizan como medida adicional de seguridad.

La idea, en todo caso, no es que la transferencia se ralentice por todo un día, pero sí que tarde un poco más para hacer el doble check.

El presidente de la ABIF cuenta además que este miércoles arribó a Chile desde Brasil donde participó como vicepresidente de la Asociación Latinoamericana de Bancos en la reunión de la Federación Brasileña de Bancos. 'Uno de los cuatro puntos de la agenda era ciberseguridad. En Sao Paulo, el tema del Banco de Chile ya lo sabían perfectamente, y ellos lo más impresionado que estaban era de la velocidad con que el banco había reaccionado, y que, en el fondo, los clientes no habían sido afectados'.

Por último, destaca que tras este episodio no habrá un daño a la confianza de la ciudadanía hacia los bancos. 'La ciudadanía prácticamente no se vio afectada. Tuvo dificultades para usar algunos productos, hacer algunos pagos, pero eso se resolvió. Y te diría que la prueba más fehaciente de eso es que solo hay del orden de 60 reclamos, pero si esto hubiera realmente tenido un efecto mayor, estaría el banco lleno de reclamos. Te diría que funcionó lo que es fundamental en esto, que es cómo tú proteges a tus clientes, y puedes rápidamente poder seguirles prestando servicio', recalca Schulin-Zeuthen.
Pie de pagina
NICOLÁS DURANTE-