Banco Estado reiteró que no se ha registrado robo de fondos ni de información

Comisión de Economía del Senado conoció detalles del ciberataque a la entidad bancaria. En la sesión se explicó que “hasta el momento, no se ha registrado robo de información ni de fondos".

Oficiar al Ejecutivo para que agilice la tramitación de un proyecto que sanciona los delitos económicos fue una de las conclusiones a las que llegaron los integrantes de la Comisión de Economía tras analizar el ataque informático del que fue víctima el BancoEstado el pasado fin de semana.

Los legisladores escucharon a representantes de la entidad encabezada por su presidente Sebastián Sichel; al presidente del consejo de la Comisión para el Mercado Financiero (CMF), Joaquín Cortez; y al jefe de la unidad de Riesgo Operacional de la entidad, José Mendoza.

Tras la sesión realizada telemáticamente, los legisladores quedaron a la espera de los resultados de la investigación forense que se realiza. Asimismo, solicitaron al citado banco entregar copia de los contratos de antivirus que mantienen y a la CMF, entregar la autoevaluación que ha realizado el banco de sus sistemas de seguridad.

La principal preocupación de los integrantes de la Comisión era “asegurarse que los fondos de los clientes no fueran afectados por la captación de información por parte del virus”, y que a la vez, “dichos datos no hayan sido sustraídos en el ataque”. Ante ambos temores, BancoEstado aseguró que “ni el patrimonio del banco, ni los dineros de los clientes, ni los datos habían sido afectados hasta este momento”, sin embargo la SBIF, puso un matiz y aseguró que “ello no es posible garantizar en un cien por ciento”.

ROBO DE DATOS

La sesión comenzó con el detalle de la cronología de hechos que llevaron al cierre de todas las sucursales presenciales y a la paralización parcial de las plataformas digitales de BancoEstado (la plataforma Webpay, la página web, las transferencias bancarias, el uso de Redcompra y tarjetas de crédito, y de la aplicación web) desde este lunes 7 de septiembre.

El presidente de BancoEstado, Sebastián Sichel reconoció que “la mayoría de estos ataques buscan capturas datos más que recursos y nosotros como banco hemos crecido exponencialmente el número de clientes y productos. El incremento de operaciones ya era importante el 2011 con la implementación de la Cuenta Rut y la implementación de las Cajas Vecinas, pero desde octubre 2019 a agosto de 2020 esto ha tenido un crecimiento exponencial porque somos el principal pagador de bonos del Estado”.

Respecto a lo que pasó, el ejecutivo detalló que “el sábado hubo una alerta de una máquina afectada que se identificó. La gerencia de ciberseguridad tomó el caso viendo que se trataba de un virus que encripta información. Esto había afectado la mitad de nuestros servidores activos. Así se generó un comité de crisis y se contactó a la CMF, la Asociación de Bancos, al Sernac, la PDI y Microsoft”.

“Lo primero que se hizo fue descolgarse de internet para evitar que no hubiera fuga de información, por eso se apagaron los servidores y computadores asociados. Se determinó que el virus afectaba la plataforma Windows y en particular, los programas que están ligados a la atención presencial. El tráfico web y el uso de Caja Vecina se quintuplicó entre el lunes y ayer para suplir el cierre de las sucursales”, continuó.

Sichel enfatizó que “quiero asegurar que la emergencia fue controlada el sábado y no hay secuelas. Desde ese día se avanzó en la desinfección. Entre hoy y mañana tendremos el banco cien por ciento operativo. Al día de hoy no hay afectación del patrimonio del banco ni los recursos de los clientes ni tampoco se concretó robo de información. Lo que hubo fue afectación a los programas. Esos datos fueron tomados pero no han salido del banco. No nos han pedido rescate”.

CIBERSEGURIDAD BANCARIA

El senador Felipe Harboe consultó a Sichel sobre la Advanced Persistent  Threat (APT). “Les cuento que son las amenazas persistentes y avanzadas. ¿Ustedes están en condiciones de asegurar que esto no se trata de una APT? Se dice que estamos en presencia de un ataque como phishing pero la gravedad de la situación es mucho mayor. Creo que acá se trata de una APT que es un conjunto de procedimientos que se instalan en la institución desplegando ataques masivos en el tiempo”, planteó.

“¿Ustedes están en condiciones de asegurar que el virus no ha estado meses en el banco? Es evidente que el grupo que está detrás vio información de ustedes, ¿tienen identificada la vulnerabilidad que hizo que fueran atacados? Veo que el ataque no fue menor porque se vieron afectados 12 mil puestos de trabajo. ¿Tienen contratos de actualización de antivirus?”, continuó.

La senadora Carmen Gloria Aravena manifestó que “el BancoEstado tiene una tremenda presencia en la región que represento (La Araucanía). Sabemos que por Caja Vecina los clientes pudieron hacer sus trámites. Creo que debieran entregar un mensaje claro porque la gente tiene dudas del funcionamiento presencial. Es importante hacer un comunicado para aclarar noticias falsas que están apareciendo en la prensa. Creo que hay que cuidar la imagen del banco. Hay que esperar como avanza esta investigación forense y creo que no debemos culpar a nadie en este minuto”.

A su vez, el senador José Miguel Durana expresó que “me gustaría recibir una señal de tranquilidad a los clientes porque esto afectó desde empresarios a las personas más humildes que tienen Cuenta Rut. ¿De qué forma este virus y otros pueden afectar las cuentas de los clientes?”.

El presidente de la Comisión, el senador Álvaro Elizalde consultó si se tiene certeza que la información se tomó pero no se sustrajo. “Me parece importante esta sesión porque se han podido aclarar noticias que han aparecido en la prensa. Hay que tener claridad porque estamos hablando con los fondos de 13 millones de chilenos y la principal caja pagadora de beneficios fiscales”, enfatizó.

En esa línea, hizo uso de la palabra el representante de la CMF, quien detalló la legislación que avala el funcionamiento de este organismo y las normas relativas a la ciberseguridad de los bancos. “Tenemos los mejores estándares internacionales, los que comenzaron a operar cuando se conoció el hackeo del Banco de Chile el 2018. En este caso hemos tomado conocimiento de lo ocurrido pero se está en proceso de investigación”, planteó Cortez mientras que Mendoza aseguró que “no es posible asegurar con certeza que no hubo robo de datos. Eso es algo que puede observarse en el mediano plazo, no necesariamente ahora. No es descartable que el virus haya estado semanas antes de ser detectado”.

LEY DE CIBERSEGURIDAD

En este mismo tema y a través de declaraciones públicas, el senador Kenneth Pugh calificó lo ocurrido al BancoEstado como el “mayor secuestro” sufrido por una institución financiera a raíz de un ataque cibernético, por lo que junto con plantear la urgencia de aprobar una ley de Ciberseguridad, hizo ver la pertinencia de contar con un Instituto Nacional de Ciberseguridad (INCIBER) que permita estar preparados para enfrentar situaciones de este tipo.

Explicó que “estas bandas de cibercriminales ingresan al sistema, toman el control y pueden hacer lo que quieran, pueden sacar los dineros, pero sabemos que eso no ha ocurrido, porque el banco tomó las medidas para evitar traspasos, pero quedó secuestrado y cuando eso ocurre hay que determinar por qué ocurrió y si lo produjo una persona al interior del banco o de afuera”.

PROYECTO SOBRE DELITOS INFORMÁTICOS

La Comisión de Economía acordó solicitar al Ejecutivo poner suma urgencia al mensaje en segundo trámite que establece normas sobre delitos informáticos, deroga la ley N° 19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al convenio de Budapest (Boletín N° 12192-25).

La norma que está siendo analizada por la Cámara Baja, tipifica una serie de conductas, permitiendo una adecuación de nuestra legislación a la evolución informática. Estos tipos son los siguientes: el ataque a la integridad de un sistema informático, el acceso ilícito, la interceptación ilícita, el ataque a la integridad de los datos informáticos, la falsificación informática, el fraude informático y el abuso de dispositivos.