Hackeo al Banco de Chile: expertos develan desprotección a datos de clientes
Desde fundaciones vinculadas al manejo y protección de los datos personales evidencian la falta de transparencia y regulación para abordar este tipo de incidentes.
A tres semanas de que el Banco de Chile fuera atacado desde el extranjero y le robaran US$10 millones, las dudas se han mantenido respecto a los efectos de un hackeo internacional a una entidad bancaria y la legislación que regula el cuidado que dichas entidades deben tener respecto a los datos personales y los bienes de los clientes.
Para Romina Garrido, profesora de ciberseguridad en la Facultad de Economía y Negocios de la Universidad de Chile, el hecho de que el banco haya declarado que no habían cuentas corrientes de clientes afectadas no implica un peligro menor respecto al robo de información de los clientes, considerando además que se trata de un delito de carácter transnacional.
Para la fundadora de la ONG Datos Protegidos, en este punto existe mucha desinformación por parte del banco hacia sus clientes, lo que, a su juicio, es la principal desprotección que enfrenta la ciudadanía.
Menciona además que los bancos no tienen los incentivos necesarios para invertir en ciberseguridad, considerando además que no es la primera vez que este banco es advertido de brechas en sus plataformas y en sus medios de pago.
“Tal como el banco hace inversión de distinto tipo tiene que hacer también inversiones en proteger su patrimonio, el secreto bancario y la información de los clientes. Si no hay normas que te obliguen a implementar seguridad en tus operaciones, al final la inversión que haces es mínima, es para el día a día, y sin pensar en un patrimonio que son los datos y la información de tus clientes”, dice Garrido.
Para María Paz Canales, directora ejecutiva de Fundación Derechos Digitales, el caso del Banco de Chile es complejo no sólo por el riesgo potencial de la pérdida de dinero, sino que revela que muchas otras organizaciones que prestan servicios no están al día en los protocolos de seguridad integral para prevenir ataques o virus.
“Que el banco haya sido capaz de aislar el daño a los clientes en esta ocasión puntual –según la información dada a conocer por ellos- no garantiza que eso se cumpla en el futuro y simplemente lo que refuerza es la duda respecto a cuál es la fortaleza real de su sistema”, puntualiza.
Un experto en seguridad informática consultado por El Dínamo explica que los bancos realizan monitoreos de seguridad que funcionan en tres capas: ataques desde internet hacia adentro de la entidad, internos o de adentro hacia afuera.
En el caso del Banco de Chile, el ataque fue de “afuera hacia adentro”. “Entonces, lo que no funcionó fueron los monitoreos de internet que indican quién pudo haber hecho un ingreso indebido. Después fallaron los análisis de malware que no detectaron el virus ni las herramientas de análisis de comportamiento interno”, asegura. “Desde una analogía, fue una falla multi sistemática de seguridad”, agrega.
Canales agrega que estos incidentes no son aislados, por lo que si no se abordan con una política interna bien estructurada de manejo de riesgo de ciberseguridad en todos los rubros en que se manejen datos lo más probable es que estos riesgos se presenten nuevamente. “Esto no es exclusivo ni del banco ni del sistema financiero, también hay otras instituciones potencialmente en riesgo, que pueden ser más críticas, como hospitales, proveedores de energía eléctrica, incluso las Fuerzas Armadas u otros organismos estatales. Este es un tema transversal. Es una alerta para revisar a nivel de política pública”.
El rol de la Superintendencia de Bancos
Para Romina Garrido, uno de los hechos que más llamó su atención fue la presencia del superintendente de Bancos e Instituciones Financieras (SBIF), Mario Farren, en la Comisión de Economía del Senado. En dicha ocasión, la autoridad reconoció la falta de capacidad técnica para abordar la brecha de seguridad y comentó que no se había constituido en el banco porque “no quería estorbar”.
Para ella, esto se traduce en que la SBIF “se transforme en un vocero del banco y básicamente en sus comunicados replique lo que el banco dice. Esto sobrepasa la gestión bancaria misma. Ellos deberían ser capaces de ejercer sus potestades también respecto a estos incidentes informáticos y estar controlando que el banco cuide la información bancaria y no bancaria de todos los clientes”.
De esta manera, agrega, no hay posibilidad de verificar a través del regulador si hay datos personales de los clientes afectados, a pesar de que la SBIF cuenta con una normativa relacionada con incidentes de ciberseguridad y la continuidad operacional, contenida en la Recopilación Actualizada de Normas (RAN) Capítulo 20-8 y una carta circular en la que da cuenta de la relevancia de la ciberseguridad.
Tras confirmar el ataque, el gerente del Banco de Chile, Eduardo Ebensperger, aseguró en entrevista con Pulso que solicitó un análisis forense, “tal como contempla su protocolo de contingencia”, el que demoraría tres semanas en entregar sus resultados.
Profesionales vinculados a ciberseguridad aseguraron a El Dínamo que el mercado de los peritos privados en esta área, que prestan servicios a entidades públicas como privadas, es muy reducido y son contratados por las mismas entidades que han sufrido vulneraciones de seguridad.
Garrido confirma esta parcialidad de las empresas que realizan los informes forenses, lo que refuerza, a su juicio, la necesidad de contar con autoridades públicas capacitadas que gestionen este tipo de informes, atendiendo que estos ataques no se limitan a entidades privadas, sino que puede afectar a bases de datos de organismos privados u otras empresas de retail, por ejemplo. “Cuando ves ataques de esta magnitud te das cuenta que la ciberdelincuencia está tan sofisticada que es un tema de seguridad pública”, comenta.
Desde Derechos Digitales comparten esta visión: “Aquí no se trata de que haya algo especial respecto de Chile y que los hackers hayan estado con la intención particular de atacar este banco por ser chileno, sino que es porque hay bandas de crimen organizado que a lo que se dedican es a explotar estas vulnerabilidades de los sistemas”, dice María Paz Canales.
Para ella, en este ambiente de la ciberseguridad hay que estar permanentemente actualizado y en contacto con la comunidad internacional para estar al día con la última información de cuáles son las vulnerabilidades que se han ido detectando en los diferentes tipos de sistemas e ir instalando las actualizaciones que sean necesarios para evitar que el sistema siga siendo vulnerable. “Da la impresión de que este incidente revela que Chile está medio atrasado y desconectado en ese contexto. La política pública debería apoyar el desarrollo de esas capacidades”.
Una de las tareas pendientes comentan ambas expertas es actualizar la regulación vigente en esta materia y hacerla más exigente desde el punto de vista de las obligaciones de información, haciéndola más transparente hacia los usuarios y los consumidores en general.
Legislación desactualizada
En el Senado se está discutiendo actualmente un proyecto de ley que regula el manejo y protección de bases de datos personales, perfeccionando las normas relativas al tratamiento de estos datos y que crea la Agencia de Protección de Datos Personales. Mientras que se elevó a rango constitucional el derecho de todas las personas a que sus datos personales se encuentren debidamente protegidos, modificando el N° 4, del artículo 19 de la Constitución.
La Fundación Datos Protegidos es una de las organizaciones que ha empujado la necesidad de estos cambios legislativos. Romina Garrido explica esta modificación a la ley de protección datos personales establece entre las obligaciones de las empresas y los bancos declarar las vulneraciones de seguridad a una agencia especializada que se crea en la misma ley, además que la obligación de avisarle a cada uno de sus clientes cuando las vulneraciones son referidas a datos bancarios. “Esto va por un camino de proteger los datos de los clientes pero también va de la mano de incorporar seguridad técnica. Esperemos que este incidente pueda hacer que el proyecto de ley avance. Cuando ocurren nos acordamos que podría haber leyes que entreguen facultades y más derechos a las personas para poder saber”, comenta.
Las modificaciones legales solicitadas por el ministro de Interior y Seguridad Pública, Andrés Chadwick, tras la reunión del comité interministerial de ciberseguridad, por tanto, ya estarían consideradas en este proyecto, comenta Garrido.
Para María Paz Canales, sin embargo, esta legislación sería sólo una respuesta parcial para este tipo de situaciones.
A pesar de reconocer que se mejorarían las obligaciones y responsabilidades de los titulares de las bases de datos, estableciendo la obligación de informar de inmediato a los clientes, tal como ocurre en otras legislaciones, “hay otra parte que tiene que ver con la coordinación y la institucionalidad que no necesariamente implica la creación de un órgano nuevo y de una agencia, pero sí un estándar mucho más exigente y una coordinación mucho mayor de este comité interministerial con los diferentes órganos involucrados en la fiscalización de las actividades de diferentes sectores económicos, con facultades duras de fiscalización. En este caso, el rol que cumple la SBIF debería ser mucho más estricto que lo que ha pasado hasta hoy”, señala Canales.
“Considerar que esto es un hecho que le pasa a un privado y que no te afecta como sociedad es no entender que en los temas de ciberseguridad estamos todos, participamos todos y que tiene que haber una comunicación público privada super fluida”, concluye Garrido.