En pasado 24 de mayo, el Banco de Chile fue víctima de un ciberataque que puso en vilo a los entes controladores del sistema financiero del país suramericano y que se saldó con el robo de 10 millones de dólares de los fondos del banco.
Según se ha publicado en varios medios y como consta en declaraciones del gerente general, Eduardo Ebensperger, los ciberdelicuentes introdujeron un virus informático como señuelo, identificado como malware SWAPQ. Según investigaciones posteriores, se trata de un virus que no había atacado antes, es decir, de día cero.
El ciberataque causó anomalías en el funcionamiento de los equipos informáticos de la entidad, síntomas que hicieron saltar las alarmas y que se activaran los protocolos de seguridad. Pero paralelamente se comenzaron una serie de transacciones fraudulentas mediante la red SWIFT, procediendo a transferir fondos hacia Hong Kong.
Cuando los responsables de la seguridad se percataron del objetivo real del ciberataque, procedieron a cancelar las transacciones, lo que permitió controlar el incidente y que no fuese aún más grave. Sólo pudieron concretarse 4 transacciones fraudulentas.
¿Se abordó de forma correcta el ciberataque?
Luego de superada la fase crítica de un ataque de esta naturaleza, sigue otra de esclarecimiento de lo ocurrido y reflexión. En este caso concreto, hay opiniones divergentes sobre si la manera de afrontar el ataque fue todo lo transparente que podía ser.
Según fuentes del Banco se alertó al presidente del BancoEstado a las pocas horas del incidente para proteger el sistema de pagos interbancario. Sin embargo, se tardó varios días en comunicar el incidente a la opinión pública, según alegan, por razones estratégicas.
Luego han seguido varias reuniones con entes gubernamentales como el Ministerio de Hacienda y el Superintendente de Bancos “Mario Farren”. Entre las decisiones que se tomaron en estas reuniones está la de acudir a organismos internacionales para pedir asesoría en la investigación de lo ocurrido y sobretodo en las acciones legales a emprender.
Efectivamente a finales de Junio pidieron asistencia técnica al fondo monetario internacional (FMI) y a principios de Julio interpusieron una demanda a la compañía Ketuo Trade Limited en Hong Kong pidiendo la devolución de los US$5.488.590 que llegaron a una de sus cuentas de Citibank tras el hackeo.
Aparentemente las fases de respuestas fueron las esperadas: detectar, detener la amenaza, comunicar a las autoridades, investigar las causas, buscar apoyo internacional, emprender acciones legales… La pregunta es si realmente es lícito ocultar este tipo de información a la opinión pública y si existen suficientes mecanismos técnicos y legales para prevenir y mitigar este tipo de amenazas.
¿Es necesario mejorar la legislación en materia de ciberseguridad?
Según Alexander Seger (director de la división de cibercrimen del Consejo de Europa): “Nada es un crimen, tampoco en el mundo cibernético, a menos que esté definido por la ley”. Por lo que para abordar de forma efectiva el crecimiento de las ciberamenazas, hay que construir una legislación acorde a esta nueva realidad.
Aunque en la Unión Europea se está trabajando para fortalecer la seguridad cibernética, en otras regiones como América Latina hay mucho camino por recorrer en esta materia.
El presidente del BID(Banco Interamericano de Desarrollo), Luis Alberto Moreno afirmó que, según informe elaborado en 2016: “En América Latina y el Caribe, este tipo de delitos cuestan alrededor de 90.000 millones de dólares al año (84.200 millones de euros) [el 15% en el cómputo mundial].
Aunque Chile en el entorno suramericano es uno de los países que ha comenzado a desarrollar planes de respuesta ante ciberataques, la ley que rige actualmente data de 1993, con lo que seguramente no sea suficiente para abordar la magnitud y gravedad de los incidentes de hoy.
Pensando en la globalización, el crecimiento del mercado digital y las vulnerabilidades que conlleva, es prudente pensar en que es necesario abordar la ciberseguridad como un problema global, más allá de las fronteras. Invertir en mejorar la protección cibernética del mercado Latinoamericano parece una decisión inteligente, puesto que son economías en expansión y que sus vulnerabilidades pueden exponer de forma indirecta a los sistemas europeos.