Los desafíos pendientes en ciberseguridad que deja el ataque sufrido por BancoEstado

La entidad presidida por Sebastián Sichel espera reabrir la totalidad de sus sucursales el jueves, luego del ciberataque que puso nuevamente sobre la mesa el tema de seguridad informática en Chile.

Todo inició el sábado, cuando parte del equipo informático de BancoEstado detectó un software malicioso que comenzó a encriptar la información de miles de computadores de la institución, derivando en una inédita crisis operacional que llevó el lunes a tomar la decisión de cerrar todas las sucursales del banco a lo largo del país, con el objeto de enfocarse en contener la amenaza.

La institución presidida por Sebastián Sichel espera tener el jueves la totalidad de las sucursales nuevamente operativas, mientras que la Policía de Investigaciones (PDI) y un equipo de Microsoft se encuentra investigando el ataque, el cual puso nuevamente sobre la mesa la discusión sobre la seguridad informática en el país, considerando que no es la primera entidad financiera y pública que ha sido víctima de la ciberdelincuencia.

Si bien Sichel destacó que el banco ha invertido en los últimos tres años US$20 millones para fortalecer su ciberseguridad, lo que habría permitido la «reacción temprana» frente a esta amenaza para así evitar que los fondos de sus clientes se vieran afectados, los expertos coinciden en que aún queda mucho por avanzar y que este caso vislumbra desafíos pendientes en la materia a nivel país, tomando en cuenta lo nuevos escenarios que se abren en medio de la portabilidad financiera que inicio ayer.

Tema que para Jorge Atton, ex -y primer- delegado presidencial de ciberseguridad, es relevante, tan así que «es parte de las estrategia de imagen de marca de una institución, sobre todo de una institución financiera (…). Evidentemente vas a pensar dos veces si abres una cuenta en el BancoEstado. La imagen es complicada».

Algo que cobra aún más relevancia con la portabilidad financiera, «porque aquí hay mucha más información que va a estar traspasándose en la nube, información de datos financieros, por lo tanto, debe haber normas y exigencias mucho más fuertes», subrayó Atton en un seminario organizado por Banco Itaú.

Mayor «conciencia» y apurar las leyes José Manuel Mena, presidente de la Asociación de Bancos e Instituciones Financieras (ABIF), no coincidió con la afectación a la imagen del BancoEstado apuntada por Atton que esta situación habría generado, ya que «si fuera así, podría nombrar decenas de entidades bancarias prestigiosas a nivel mundial que también han tenido dificultades. Que uno tenga estructura, personal especializado y herramientas no asegura que no te ataquen, hay que decirlo claro, esa es la realidad mundial», dijo a Radio Universo.

«Aquí hay empresas de delincuencia, financiadas en algunos casos por gobiernos de países, así se detecta. No tenemos un ciberdelincuente de 19 años, aquí hay empresas al otro lado que están atacando, no solo a Chile, a los principales bancos del mundo», agregó.

Y aunque aseguró que la banca en Chile está «al mejor nivel mundial de prácticas» respecto a ciberseguridad, gracias a las normativas impuestas por la Comisión para el Mercado Financiero (CMF), también apuntó que «nos falta mayor conciencia, la capacitación de nuestro personal de no abrir correos sospechosos o la capacitación de los clientes. Ese es el espacio donde más nos falta respecto a lo son las mejores prácticas mundiales».

En tanto, el también ex delegado presidencial en ciberseguridad y sucesor de Atton en el puesto que se encuentra vacante hace seis meses, Mario Farren, comentó a El Mercurio que «los bancos son un blanco habitual y van a seguir siéndolo de este tipo de ataques», ya que, a su juicio, lo que se busca con esto es «datos y dinero, y en los bancos existen amabas».

En esa línea, indicó que «me consta que BancoEstado ha venido trabajando en mejorar sus sistemas de seguridad, pero la velocidad tendrá que ser mayor, porque los delincuentes también están avanzando», lo mismo para todo el sistema tanto financiero como público: «Hay que trabajar de manera mucho más intensa. Esto es como el virus covid-19, sobre el que vamos aprendiendo todos juntos de apoco a cómo enfrentarlo», acotó.

Por ello, expuso que «hay que apurar las leyes pilares de estrategia de ciberseguridad. Están en el Congreso la ley de protección de datos personales y la ley de delitos informáticos. Esta última define un ilícito y esa ley pasó a segundo trámite constitucional en la Cámara de Diputados, hace casi un año».

«Además falta la ley que crea un marco de ciberseguridad que genera toda la institucionalidad y protege la infraestructura crítica. Define también que se crea una agencia, un servicio, si depende de algún ministerio, cómo se relaciona con la Defensa, etc.», añadió Farren.

«Una lección para el futuro» Mientras que para Alejandro Alarcón, académico de la U. de Chile y ex gerente general de la Abif, «este tema tiene una relevancia muy grande, porque se ha mostrado que a medida que la tecnología mejora, también mejoran los hackers». Por eso, comentó que lo sucedido en BancoEstado «es una lección para el futuro de sumarse a los estándares que permiten inhibir los comportamientos maliciosos, los fraudes y el ataque».

«En todas partes del mundo ocurre esto. Esto es un llamado a que hay que tener constante vigilancia, y hay disponibilidad de tecnología para frenar este tipo de situaciones, y en eso hay que concentrarse. En eso las autoridades tienen que preocuparse que las exigencias se cumplan en todos los sistemas financieros», recalcó a Emol, enfatizando en que «estas situaciones que aparecen son una fuente de aprendizaje, tenemos que aprender cómo enfrentar el hackeo, porque eso produce mucha desconfianza. Creo que los bancos están en eso, me consta».

En línea con Alarcón, el vicepresidente de la Alianza Chilena de Ciberseguridad, Exequiel Matamala, comentó a este mismo medio que esta «es una lección para aprender, y abre una discusión profunda en otros ámbitos que tiene que ver con cómo nosotros abrazamos la economía digital en serio, con las organizaciones, con el Gobierno, con el mundo privado y con el Parlamento que tiene que ayudar en avanzar las materias de ley».

«La pandemia ha hecho acelerar la transformación digital de empresas y organizaciones, pero desafortunadamente el país y en general la cultura a nivel nacional no está lo suficientemente desarrollada como para la utilización de los servicios en esa modalidad», agregó, subrayando que este contexto releva la importancia de sacar adelante proyectos de ciberseguridad que se mantienen alojados al interior del Congresos, destacando entre los más urgentes aquel que «fija la ley marco de ciberseguridad, que establece la institucionalidad, es decir, el órgano público responsable de empujar con fuerza la adopción de ciberseguridad en el país».

«Otro proyecto relevante es el que deroga la antigua ley de crimen informático y que adecua nuestra legislación al convenio de Budapest (…). El convenio de Budapest es importante porque la esencial tecnológica y transfronteriza del crimen organizado que hay detrás de este tipo de ataques se puede combatir con colaboración internacional, y ese es el principal instrumento de este convenio. Tenemos que ratificarlo», manifestó.

Y, por último, indicó que el tercer proyecto de ley clave es el de «infraestructuras críticas de la información, porque el sistema financiero forma parte de la infraestructura crítica, así como la administración del Estado, como las eléctricas o como la salud».

Por su parte, Rodrigo Fernández, gerente de ciberseguridad de la consultora EY, expuso algunos puntos importantes a considerar para evitar la exposición de las empresas a estas amenazas, como «contar con equipos de profesionales calificados para las tareas de validación de los diferentes controles y que las personas en las empresas estén conscientes del rol que juegan en la protección de la información».

«Adicionalmente, es importante contar con inteligencia cruzada y compartida que apoye en el descubrimiento de comportamientos anómalos que ciertas tecnologías aún no cubren», dijo. Y concluyó resaltando la relevancia de avanzar en «el proyecto que actualiza la legislación de delitos informáticos y ciberseguridad, en herramientas y facultades de fiscalización a los reguladores y establecer sanciones para las instituciones que no cumplan con los requisitos solicitados».

Fuente: Emol.com