Ciberataque al BancoEstado: ¿Lecciones aprendidas?


Artículo publicado por ZonaCISO


César Pallavicini, CEO de Pallavicini Consultores, analiza los aprendizajes que se deberían generar a raíz del reciente ciberataque a BancoEstado


Luego del ciberataque dado a conocer el día domingo 6 de septiembre, han ocurrido algunas situaciones que merecen ser analizadas:


1.- Se cree que los orígenes del ransomware que afectó a BancoEstado se encuentran en un grupo llamado “Pinchy Spider”. No hay claridad respecto a si la agrupación es de origen ruso o de Corea del Norte (Beagle Boyz y Lazarus), lo real es que afectó aproximadamente a 13 mil máquinas y dejó fuera de línea a todas las sucursales del banco desde lunes 7 de septiembre en adelante.

2.- El malware al parecer estaba en los servidores del banco, varias semanas antes de realizar el ataque. Lo que refleja la vulnerabilidad y la incapacidad de detección en materia de ciberseguridad.

3.- Lo concreto: el virus ingresó a través de equipos con sistema operativo Windows. BancoEstado contactó a Microsoft y Boston Consulting Group (BCG) con el fin de  levantar una hoja de ruta de la empresa en materia de ciberseguridad.

4.- “Los problemas que se han generado surgen porque la información que ha entregado la alta dirección del banco no ha sido consistente con las dificultades que experimentamos”, sostuvo el Presidente de la directiva del sindicato del BancoEstado, Marcos Beas, en una declaración a medios, el día 8 de septiembre.

5.- Jorge Jaraquemada, Presidente del Consejo para la Transparencia (CPLT), explicó que se requiere indagar en la situación que afectó a la entidad financiera superada la crisis operacional, dado que “de acuerdo a lo que se ha difundido en medios de comunicación, estaríamos ante un tipo de malware que, junto con encriptar la información del afectado, en algunos casos podría hacer una copia de ella”. Afirmó que: “Es necesario no dar por cerrada la crisis en materia de datos personales e ir monitoreando una afectación en este sentido”.


De los puntos anteriores, se puede inferir que no estamos preparados para enfrentar un ciberataque, y que si la alta dirección de un banco no reconoce la gravedad del ataque la situación es peor aún, sobre todo si las cifras de los efectos son minimizadas o se declara que hay un porcentaje de sucursales operativas, pero funcionan solamente con 1 o 2 cajas y los otros servicios están sin operar (situación dada a conocer por el propio sindicato de BancoEstado). Entonces la pregunta es: ¿cuál fue el daño reputacional para el banco? Cabe señalar que al menos en el ciberataque al Banco de Chile, nunca se sabrá cual fue la pérdida real, más allá de los US$10 millones que están en cuentas corrientes de países asiáticos.


Por otra parte, destaca la declaración, a mi juicio, poco afortunada, del Presidente del Banco: “Que los ciberdelincuentes tomen conciencia de que afectan a 13 millones de chilenos….”. ¿Desde Corea del Norte sabrán dónde queda Chile? No será que la toma de conciencia debe ser de parte de nuestra clase política que lleva más de cinco años sin promulgar la reforma de Ley de Protección de Datos Personales, y tampoco ha actualizado la Ley de Delitos Informáticos (1993), menos ha logrado aprobar las leyes de Infraestructura Crítica y Ley de Ciberseguridad, que ayudarían a avanzar en la línea correcta, lo que han enfatizado los senadores Harboe y Puig en muchas oportunidades.


Adicionalmente, llevamos varios meses sin un “Zar de Ciberseguridad”, y si bien este rol que fue creado posteriormente al ciberataque del Banco de Chile, no resolverá nada, es una señal para el Estado y las empresas privadas, que en algo puede ayudar a ejecutar proyectos de largo plazo que permitan mitigar los riesgos y vulnerabilidades de la seguridad de la información.


Finalmente, se debe considerar que la gestión de ciberseguridad es parte de la seguridad de la información y que esta es un pilar estratégico de la gestión de riesgo operacional. Para la banca, desde el año 2007 está vigente Basilea II, es decir han pasado 13 años, por lo que la madurez de estos temas deberían ser mucho mejores en el sector financiero, aunque la gestión de riesgo operacional es válida para todo tipo de empresa, independientemente del rubro y tamaño.


Esperemos que de esta lección se obtenga aprendizaje y se tome conciencia, y no me refiero a lo que tanto se habla de capacitar a usuarios de las tecnologías; sino a que los directorios y la alta administración, sepan y entiendan que el secuestro de datos implica que una empresa interrumpa su operación y que las pérdidas puedan ser incuantificables, por ende, aquí se debe abordar el pilar de gestión de continuidad de negocio y su relación con los ciberataques.


Mayor información, consultar en www.pallavicini.cl

40 vistas