domingo, 17 de junio de 2018
Nicolás Durante
El_Mercurio
Las alarmas se encendieron en La Moneda, en la Asociación de Bancos y en todos los bancos de la plaza. Desde el día del hackeo, el 24 de mayo, y hasta fines de esta semana, los bancos tenían bloqueados los correos electrónicos que provinieran del Chile, además de supervigilar las operaciones financieras desde y hacia la entidad controlada por Andrónico Luksic y el Citigroup, que se convirtió en el primer banco al que le roban digitalmente en la historia del país.
En México hubo cómplices. Ciudadanos de a pie o "palos blancos". En abril recién pasado, una banda internacional dedicada al cibercrimen atacó a bancos aztecas, sustrajo dinero de las cuentas de los mismos y lo transfirió a cuentas falsas, para luego depositarlo a personas que fueron a retirarlo a plena luz del día a las cajas de los bancos, durante varios días. Así se esfumaron entre US$ 20 millones y US$ 40 millones, monto que hasta ahora no ha podido ser determinado. Aunque la "falla" del Banco de Chile el pasado jueves 24 de mayo fue distinta y de una magnitud menor -se ha reconocido un robo de US$ 10 millones del dinero del banco y no de los clientes-, el tema del cibercrimen está en la palestra y obligó al Gobierno y la autoridad reguladora a intervenir directamente, además de forzar a todos los bancos a revisar sus políticas. Es más, desde ese mismo día y hasta fines de esta semana, otros bancos de la plaza mantuvieron bloqueado cualquier correo que proviniera del Banco de Chile. Como este es el primer caso de ciber robo que se registra en la banca local, los competidores del Chile no sabían muy bien qué hacer, no hay un protocolo establecido, ni tampoco habían hecho "simulacros" para actuar en este tipo de robos. Porque, según comenta un ejecutivo de la banca, sí tienen claramente definido qué hacer en caso de robo a mano armada, pero no saben qué hacer si un hacker ingresa al sistema del banco, sustrae US$ 10 millones y los envía a Hong Kong, una jurisdicción con secreto bancario. Hasta hoy, el banco controlado por Andrónico Luksic y el Citibank no logran recuperar ni un solo peso. Las alarmas en La Moneda La mañana del jueves 24 de mayo fue frenética en la casa matriz del Chile. La primera decisión fue desconectar los computadores de las sucursales, pensando que se trataba de un hackeo al sistema operativo, y para evitar que intervinieran las cuentas de los clientes decidieron ese plan de contingencia. Ese mismo día, con cientos de clientes y trabajadores que no entendían mucho qué pasaba, prefirieron no cerrar las oficinas para evitar una "histeria colectiva", resume un conocedor del caso, pero principalmente porque hay un complejo procedimiento para justificar el cierre de sucursales frente a la Superintendencia respectiva. La misma mañana informaron a la Asociación de Bancos e Instituciones Financieras (ABIF) y se activó un comité de emergencia, inaugurado en noviembre del año pasado (ver recuadro). En ese mismo comité, los otros bancos decidieron, de manera preventiva, bloquear todos los correos que llegaran desde el Banco de Chile, además, las transacciones con ese banco, aunque no fueron bloqueadas, fueron monitoreadas con mayor detalle. Asimismo, los comités de riesgo de cada banco se reunieron y al día siguiente, el viernes 25 de mayo, cuando el Chile ya había entregado más detalles a sus pares, instalaron un "parche" en sus sistemas informáticos para evitar que el hackeo se propagara. Lo que habría funcionado, porque hasta el cierre de esta edición, ningún otro banco había informado de alguna vulneración a sus sistemas o al dinero de la misma entidad o de sus clientes. También desde la misma mañana del jueves, el banco mantuvo informada a la Superintendencia de Bancos e Instituciones Financieras (SBIF) y esta, a su vez, al Ministerio de Hacienda, que hizo llegar de inmediato el problema a La Moneda. El propio Presidente Sebastián Piñera se habría comunicado con altos ejecutivos del banco para monitorear la situación. La tarde de ese jueves fue el gremio financiero el que salió a dar certezas al mercado y los clientes, afirmando que la falla solo afectó a un banco y no fue un problema sistémico. Después de ello, Hacienda decidió citar al Grupo de Continuidad Operacional en Hacienda, en el que participan las superintendencias financieras y el Banco Central, para el martes de esta semana. En paralelo, el Ministerio del Interior citó al Comité Interministerial de Ciberseguridad. La idea, cuentan desde el Gobierno, era dar la señal a la ciudadanía de que, aunque se trataba de un problema de un privado y que no había afectado a los clientes, el hackeo a un banco es un tema de seguridad nacional. Esa frase, incluso, estuvo en una minuta que repartió el Gobierno entre los ministros atinentes al sector. También, las alarmas aumentaron porque si estas bandas internacionales detectaron vulnerabilidad en un banco en Chile, que vuelvan a atacar a otro o a la misma entidad, no sería extraño. Esta crisis, además, fue la primera del recién estrenado superintendente de Bancos, Mario Farren, quien compareció ante la comisión de Economía del Senado, el miércoles 6 de junio, y dijo que seguían de cerca el problema, en constante comunicación con el Banco Central, Hacienda y las autoridades del Banco de Chile. En esa misma sesión, asediado por las preguntas de parlamentarios, dijo que no fue el mismo día del ataque al banco para "no estorbar". Esas declaraciones no gustaron para nada en La Moneda y lo atribuyeron a su falta de experiencia política, pero le hicieron ver que declaraciones de ese tipo no se podían volver a dar. Asimismo, en el entorno del Gobierno causaba algo de nerviosismo que Farren haya trabajado por varios años en el Citi, co controlador del Banco de Chile. A pesar de varios intentos por hablar con Farren, desde su departamento de comunicaciones contestaron que aún no iba a hablar. Actualizar la ley de 1993 Así las cosas, las líneas de trabajo del Gobierno son modernizar cuanto antes la ley de ciberseguridad chilena, que data de 1993, cuando los teléfonos inteligentes aún no existían, y es justamente a través de estos dispositivos donde se encuentran las mayores vulnerabilidades del sistema bancario. "Hay que entender que ningún banco, en ninguna parte del mundo, es infranqueable, hay que cambiar el paradigma, no se puede trabajar pensando solo en que no nos hackeen, sino que hay que pensar cómo capear la crisis. Lo que sí hay que asegurar, y trabajar en planes de contingencia, es que apenas esto se detecte se informe a los clientes y se proteja la continuidad del sistema", dice Oriol Solans, experto de The Boston Consulting Group. "La inversión de Chile en ciberseguridad no avanza de acuerdo a la rapidez con la que lo hacen las bandas internacionales de cibercrimen, y en eso hay que trabajar desde ya", complementa (ver infografía). Por ahora, el Banco de Chile sigue trabajando con asesores internacionales contratados para este propósito. Uno de los primeros cambios que harán será cambiar su sistema informático o "core bancario" llamado Altamira, y que podría presentar vulnerabilidad por su antigüedad y porque para funcionar necesita interactuar con demasiados programas intermedios, lo que quita seguridad a la operación. En todo caso, este cambio no es rápido ni barato: según un experto del sector, actualizarlo puede costar, por lo bajo, US$ 25 millones, y tenerlo plenamente en funcionamiento puede tardar entre dos y tres años. "Ese sistema se hizo cuando la llevaban los computadores, pero no está preparado para las aplicaciones móviles", dice. El banco no quiso referirse a este punto. EL PRINCIPAL TEMOR que se ha instalado es que si una banda internacional ya detectó una vulnerabilidad en un banco chileno, que vuelvan a intentar atacar no extrañaría.
