Chile: ¿Cuáles son las lecciones aprendidas luego del ciberataque a BancoEstado?

Artículo publicado por Ciberseguridad Latam. Ver artículo original aquí



Por César Pallavicini*


Luego del ciberataque del pasado 7 de septiembre, han ocurrido algunas situaciones que merecen ser analizadas:


1.- Se cree que los orígenes del ransomware que afectó a BancoEstado se encuentran en un grupo llamado “Pinchy Spider”. No hay claridad respecto si la agrupación es de origen ruso o de Corea del Norte (Beagle Boyz y Lazarus). Lo cierto es que afectó aproximadamente a 13 mil máquinas y dejó fuera de línea a todas las sucursales del banco el lunes 7 de septiembre.


2.- El malware, al parecer, estaba en los servidores del banco varias semanas antes de realizar el ataque, lo que indica la vulnerabilidad y la incapacidad de detección en materia de ciberseguridad.


3.- Lo concreto: el virus ingresó a través de equipos con sistema operativo Windows. BancoEstado contactó a Microsoft y Boston Consulting Group (BCG) con el fin de levantar una hoja de ruta de la empresa en materia de ciberseguridad.


4.- “Los problemas que se han generado surgen, porque la información que ha entregado la alta dirección del banco no ha sido consistente con las dificultades que experimentamos”, sostuvo el presidente de la directiva del sindicato de BancoEstado, Marcos Beas, en una declaración a medios el día 8 de septiembre.


5.- Jorge Jaraquemada, presidente del Consejo para la Transparencia (CPLT), explicó que se requiere indagar en la situación que afectó a la entidad financiera superada la crisis operacional, dado que “de acuerdo a lo que se ha difundido en medios de comunicación, estaríamos ante un tipo de malware que, junto con encriptar la información del afectado, en algunos casos podría hacer una copia de ella”. También, el experto dijo: “es necesario no dar por cerrada la crisis en materia de datos personales e ir monitoreando una afectación en este sentido”.


De estas cinco reflexiones se puede inferir que no estamos preparados para enfrentar un ciberataque, y que si la alta dirección de un banco no reconoce la gravedad del ataque la situación es peor aún, especialmente si las cifras de los efectos son minimizadas o se declara que hay un porcentaje de sucursales operativas, cuando funcionan solamente con 1 o 2 cajas y los otros servicios están sin operar (situación dada a conocer por el propio sindicato de BancoEstado). Entonces, la pregunta es: ¿cuál fue el daño reputacional para el banco? Por ejemplo, en el ciberataque al Banco de Chile nunca se sabrá cual fue la pérdida real, más allá de los US$10 millones que están en cuentas corrientes de países asiáticos.


Por otra parte, destaca la declaración, a mi juicio, poco afortunada del presidente de BancoEstado, Sebastián Sichel, cuando dice que “los ciberdelincuentes tomen conciencia de que afectan a 13 millones de chilenos”. Desde Corea del Norte, si es de ahí donde nace el ataque, ¿sabrán dónde queda Chile? No será que la toma de conciencia debe ser de parte de la clase política que lleva más de cinco años sin promulgar la reforma de Ley de Protección de Datos Personales y tampoco ha actualizado la Ley de Delitos Informáticos (1993). Menos ha logrado aprobar las leyes de Infraestructura Crítica y Ley de Ciberseguridad, que ayudarían a avanzar en la línea correcta, asunto que además ha sido enfatizado por los senadores Harboe y Pugh en reiteradas oportunidades.


Adicionalmente, llevamos varios meses sin un zar de ciberseguridad, y si bien este rol, que fue creado posteriormente al ciberataque al Banco de Chile, no resolverá el problema, es una señal para el Estado y las empresas privadas, de que en algo esta decisión puede ayudar a ejecutar proyectos de largo plazo que permitan mitigar los riesgos y vulnerabilidades de la seguridad de la información.


Se debe considerar, finalmente, que la gestión de ciberseguridad es parte de la seguridad de la información y que ésta es un pilar estratégico de la gestión de riesgo operacional. Para la banca, desde el año 2007 está vigente el marco regulatorio de Basilea II, es decir han pasado 13 años. La madurez de estos temas debe ser mejor para el sistema financiero, aunque la gestión de riesgo operacional es válida para todo tipo de empresa, independientemente del rubro y tamaño.


Del caso de BancoEstado es clave sacar una lección urgente: tomar conciencia, asunto que no involucra solamente a los usuarios de las tecnologías, sino a los directorios y a la alta administración, porque son ellos quienes deben entender que el secuestro de datos genera la interrupción de una compañía de esta envergadura con pérdidas incalculables. Es fundamental revisar y abordar el pilar de gestión de continuidad de negocio y su relación con los ciberataques.


Fuente: www.pallavicini.cl


* Gerente general de Pallavicini Consultores.

11 vistas