Vulneración de seguridad del Banco de Chile: no habrá multas ni indemnizaciones tras caída de sistemas
La regulación bancaria sólo considera como una obligación informar de los incidentes vinculados a la ciberseguridad, sin establecer sanciones en las normativas.
Por Noemí Arcos
Hace algunos días las alarmas volvieron a encenderse entre los clientes del Banco de Chile.
Una nueva falla operacional afectaba a la entidad bancaria, interfiriendo en las operaciones normales en las oficinas y “provocando dificultades en el servicio en las sucursales y banca telefónica”, según reconocieron desde el mismo banco.
Tal como informó El Dínamo, luego fue ratificado a través de un comunicado de prensa, la razón de esta falla fue el ataque de un virus que habría provenido desde el extranjero. El gran problema se presentó porque los antivirus que deberían estar habilitados para hacer frente a estos ataques presentaron una falla en su actualización.
Esta no es la primera vez que el banco es víctima de este tipo de ataques. Un experto en seguridad informática y ex funcionario del banco asegura a este medio que a fines de 2017 la entidad sufrió un “ataque volumétrico”, es decir, se realizaron múltiples consultas de manera simultánea en el portal web, lo que provocó la caída de los sistemas durante toda una mañana.
En ese caso, por el tipo de ataque, el objetivo era provocar la caída de los servicios y producir así una “denegación de servicios”. Distinto es el caso de la caída de los sistemas del 24 de mayo pasado.
En este caso, el ataque dirigido fue producido por un “malware avanzado”. La forma de infección pudo ser a través de un correo electrónico enviado que se abrió e infectó los equipos al interior del banco, propagándose luego internamente, o a través de un pendrive infectado. Una vez infectados, los equipos se comunicaron con un ordenador externo.
Entre conocedores de seguridad informática señalan que, a pesar de que no es posible saber cuál era el objetivo de esta infección, una de las hipótesis es que se buscaba acceder a la plataforma de pagos internacionales (SWIFT) del banco.
“Desde donde fue infectado, es difícil saberlo. Hay múltiples factores y muchos vectores, pero finalmente lo que produjo la indisponibilidad no fue el malware, fue el error operacional de la plataforma de antivirus”, señala el mismo experto a El Dínamo.
Consultado el banco por esta posibilidad, descartaron referirse al tema.
A pesar de estos riesgos, la regulación bancaria sólo considera como una obligación informar de los incidentes vinculados a la ciberseguridad, sin establecer sanciones en las normativas.
Dentro de las regulaciones que rigen a los bancos se considera que cada institución debe dar cuenta a la Superintendencia de Bancos e Instituciones Financieras (Sbif) de los incidentes relacionados con ciberseguridad y la continuidad operacional, según señala la Recopilación Actualizada de Normas (RAN) Capítulo 20-8.
La normativa de la SBIF es clara: los bancos deberán comunicar de inmediato al regulador los incidentes operacionales relevantes, entendiéndose por relevantes aquellos eventos que afecten la continuidad del negocio, la seguridad de la información o la imagen de la institución. La información se enviará tan pronto se identifique el incidente, mediante un correo electrónico dirigido a la casilla habilitada por la superintendencia para recibir tales comunicaciones en cualquier horario.
En dicho correo se deben indicar los detalles de la falla: fecha y hora de inicio del evento, explicación del incidente, proveedores involucrados, cuando sea el caso; y estimación de tipo y número de clientes afectados, cuando corresponda.
El Dínamo consultó al SBIF si el Banco de Chile había informado del incidente la semana pasada, pero hasta la publicación de esta nota no hubo respuestas sobre el proceder de la entidad financiera o si se siguieron los protocolos anteriormente mencionados.
La misma normativa establece que los bancos deben disponer de sistemas, procedimientos y mecanismos de gestión que permitan identificar, registrar, evaluar, controlar, mitigar, monitorear y reportar incidentes operacionales relacionados con la ciberseguridad.
“La ciberseguridad en las instituciones financieras es esencial para evitar los efectos adversos sobre su continuidad operacional, así como la seguridad de los activos que administran”, establece la normativa.
Otro punto relevante es que la gestión de estos incidentes será considerado en la evaluación de gestión y solvencia que haga la Sbif de las entidades bancarias, afectando su calificación de riesgo operacional.
Hace dos años, la Sbif ya advertía sobre las medidas de control que debían tomar los bancos frente a posibles ataques o vulneraciones a sus sistemas. A través de una carta circular, la superintenddencia daba cuenta de la relevancia de la ciberseguridad, ya que “se trata de una materia compleja y dinámica, en la que cualquier evento inadvertido puede impactar negativamente los activos e imagen de una institución financiera y, por extensión, al sistema financiero en su conjunto“, se lee en el documento.
Comprobaron que era posible vulnerar la autorización de una transferencia desde la cuenta de uno de los contactos agregados a la agenda del cliente. Es decir, que con el mismo código con el que se aprueba el ingreso de un nuevo contacto a la agenda de la cuenta, se pueden realizar transacciones.
También detectaron que las autorizaciones pueden ser utilizadas indefinidas veces por los mismos montos. Incluso, se podían generar tres autorizaciones por el mismo monto en el mismo momento.
Sin embargo, estos ataques o vulneraciones informáticas no son consideradas como un hecho esencial, según lo establece el Capítulo 18-10 de la Recopilación Actualizada de Normas (RAN).
En esta norma se enumeran los eventos que deben ser informados y que se darán a conocer como hechos esenciales, tales como cambios en la propiedad, variaciones sustantivas en el capital , cesación de cargos, cambios en la cotización bursátil, entre otros.
Lo que sí están obligados a hacer los bancos es a mantener una base de incidentes de ciberseguridad, un registro con los detalles de los eventos no planificados por la institución que ponen en riesgo la seguridad de los activos de información presentes en el ciberespacio y detallando de manera individual cada uno de estos incidentes.
Esta base debe estar a disposición de la Sbif y debe ser conocida por el directorio de la institución, así como ser usada para mitigaciones de eventos futuros.
La Ley General de Bancos, por su parte, tampoco señala las vulneraciones a la ciberseguridad dentro de los márgenes a sanciones por la Superintendencia.
Consultados al respecto, desde la Sbif señalaron que no están consideradas multas o indemnizaciones por estos hechos que han afectado al banco, ya que “no hubo clientes afectados”, información reiterada ante la misma consultada desde Banco de Chile, y que tal como se informó anteriormente a través de sus comunicados de prensa, “ha continuado con su monitoreo de la situación de la entidad”.
Por su parte, dentro de la Política Nacional de Ciberseguridad se le confiere a los bancos el carácter de infraestructura crítica, con especial atención a los ataques que podrían recibir, tal como ocurrió con el banco de Luksic durante la semana pasada.
