La huella norcoreana en el ataque a BancoEstado
Primeras indagaciones confirmarían la pista de las agencias federales de Estados Unidos: habrían sido hackers asiáticos. En ese país Microsoft también trabaja para que la entidad estatal se recupere del golpe que dejó a sus sucurales cerradas y operando a media máquina.
- T+
- T-
Fue casi igual. Primero varios intentos por encontrar una entrada o crear otra para distraer. Y después, el ataque final: el sábado 5 de septiembre el BancoEstado debió informar que había sido víctima de un hackeo que lo dejó fuera del sistema. El golpe fue tan grande que recién el viernes la entidad financiera pudo volver a operar con normalidad.
Por ese modo de atacar, diversas entidades públicas y privadas dedicadas a la seguridad informática coinciden en que la embestida habría sido obra de hackers de Corea del Norte. Y esa pista es una de las principales líneas de investigación, dijeron a DFMAS fuentes ligadas al caso.
Existen dudas de que haya podido participar algún chileno, especialmente debido a la sofisticación del ataque. Según personas interiorizadas en el proceso, diversos rastreos periciales indican que se trataría de dos grupos asociados a Corea del Norte y que habrían operado coordinadamente desde diversos países.
Esta semana tres agencias federales de Estados Unidos alertaron a sus pares en todo el mundo acerca del recrudecimiento de los hackers asiáticos. Pero ya desde febrero vienían avisando de los riesgos. Sobre todo, para las redes de cajeros automáticos y las apps de pagos.
Entre los posibles autores de estos ataques, Estados Unidos menciona a Beagle Boyz y Lazarus, dos grupos que en la llamada Deep Web suelen festejar sus “golpes”. Las indagaciones que se siguen en Chile también están detrás de esa pista.
Minar el banco
“Los ciberataques llegaron para quedarse y van a ocurrir continuamente”. Con esas palabras el presidente del BancoEstado, Sebastián Sichel, empezó su presentación ante la comisión de Economía del Senado el miércoles 9 de septiembre.
Cuando lo decía, sabía de lo que hablaba. Porque lo ocurrido el pasado fin de semana no fue un episodio aislado. De hecho, a pesar de la modernización del departamento informático durante los últimos años, la entidad ha sufrido diversos intentos de ataques cibernéticos, al igual que otras firmas nacionales este año.
Según datos de la CMF a julio, BancoEstado ha gastado por eventos de riesgo operacional (fallas de sus sistemas o del personal o acontecimientos externos) $ 14.392 millones, de los cuales $ 12.735 millones corresponden a fraudes externos.
En abril de este año, la compañía advirtió que estaban rondando una serie de correos electrónicos maliciosos que invitaban a los usuarios a compartir datos personales para recibir el pago del Bono Covid-19. Semanas antes, ya había existido otro tipo de mensaje similar que invitaba a actualizar los datos para reactivar supuestas tarjetas bloqueadas.
El 26 de junio diversos clientes reportaron que la aplicación móvil del banco estaba experimentando dificultades. Rápidamente la entidad desmintió cualquier tipo de hackeo y mencionó, a través de un comunicado, que esa información era “totalmente falsa”.
Peritos informáticos sostienen que una de las formas clásicas de operar de los hackers es “probar” la vulnerabilidad de las instituciones antes de atacar. Es lo que algunos llaman “minar” a un objetivo para encontrar sus debilidades o confundirlos.
12 mil equipos infectados
La notificación del hackeo —que se supo en la madrugada del sábado 5 de septiembre— despertó a varias autoridades del BancoEstado. Rápidamente gran parte de los ejecutivos se reunieron de manera virtual para tratar de minimizar los riesgos de expansión. De ahí en adelante, las videollamadas fueron la tónica de ese fin de semana y de todos esos días en adelante.
A las pocas horas del sábado se activaron los protocolos de seguridad: se notificó a la CMF del ataque y se formaron equipos en conjunto, se hicieron llamadas a la Subsecretaría del Interior para alertar sobre el estado de las cuentas fiscales, se contactó a la unidad de cibercrimen de la PDI y se notificó a los trabajadores de la institución sobre el ataque. A mitad de la jornada ya estaba formado un comité de crisis para organizar la estrategia de trabajo.
De ahí en adelante, el banco decidió cerrar sucursales y destinar la mayoría de los recursos a revisar otro tipo de amenazas cibernéticas. Además, en la jornada del lunes, se interpuso una querella por sabotaje informático, en la cual se determinó que el virus que gatilló el ataque —y que infectó a más de 12 mil equipos, el 50% del total de la institución— se activó desde Bandera 60.
Beagle Boyz y Lazarus
Aparte de la colaboración codo a codo con la CMF, el BancoEstado decidió delinear una estrategia alternativa con organismos internacionales. Debido a que el virus afectó los computadores Windows, las autoridades de la entidad tocaron la puerta de la filial norteamericana de Microsoft para generar una auditoría al respecto. Además, se acercaron a Boston Consulting Group (BCG) para solicitar un informe que levantara una hoja de ruta para el futuro de la compañía en materia de ciberseguridad.
El interés del banco por establecer puentes con actores internacionales tiene que ver con el presunto grupo detrás de este ataque. Como han mencionado los expertos, el procedimiento de los delincuentes digitales se vincula con grupos extranjeros como Beagle Boyz y Lazarus (ambos coreanos) que operan a través de correos electrónicos maliciosos que logran, entre otras cosas, encriptar archivos y robar información, patrimonio y contenido clasificado. Hasta ahora BancoEstado asegura que no hubo sustracción de dinero de los clientes ni de su patrimonio.
El ataque y robo de US$ 10 millones que sufrió el Banco de Chile en mayo de 2018 ha sido asigando a Lazarus, autor también del robo cibernético al Banco Central de Bangladesh, por más de US$ 81 millones.
Te puede interesar: Senadores prevén poco éxito en querella de BancoEstado por ciberataque
Fuentes al interior de la empresa estatal mencionan que ejecutivos de la entidad están siguiendo de cerca las directrices y comunicaciones de la unidad de ciberseguridad del Departamento de Seguridad Nacional de Estados Unidos, que está investigando este tipo de asociaciones criminales.
Expertos del Chile
A pesar del ataque, los ánimos al interior del banco están altos, ya que, dicen, lograron reaccionar de forma rápida e impedir una posible filtración de patrimonio. De hecho, según las declaraciones del presidente del banco, Sebastián Sichel, el robo de información que se realizó durante el fin de semana no involucró materias relevantes.
Diversos trabajadores y ejecutivos de la empresa pública coinciden en la influencia de Arturo Tagle Quiroz para la modernización de los sistemas informáticos. El economista llegó a la presidencia de la institución estatal en marzo de 2018 y una de sus primeras decisiones fue potenciar el Plan Director de Seguridad de la Información y Ciberseguridad, que ha tenido una inversión de US$ 20 millones desde 2017.
A dos meses de la llegada de Tagle a la presidencia de la mesa directiva, ocurrió el hackeo al Banco de Chile, su anterior lugar de trabajo. Su reacción fue adelantar la creación de la gerencia de ciberseguridad y generar programas de capacitación para la planta de trabajadores.
En junio de 2019, BancoEstado fichó a Abraham Ermann para liderar la recién creada gerencia de ciberseguridad. Este Ingeniero en Ejecución Informática llegó para potenciar la estructura tecnológica de la entidad.
Hasta mayo de 2019, el ejecutivo estuvo en la subgerencia de Redes y Seguridad Tecnológica de BanChile Inversiones y enfrentó el plan de fortalecimiento digital de esa entidad luego del robo de 2018.
Pero no fue solo Ermann. Según lo relatado durante la semana por Marcelo García, gerente de Operaciones y Tecnología del BancoEstado, la entidad estatal recibió un número importante de trabajadores con experiencia laboral previa en el Banco de Chile.
Política
Intensa ha sido la semana para el abogado y actual presidente del BancoEstado, Sebastián Sichel. Si bien el ejecutivo ha tratado de explicar que las secuelas del ataque podrían haber sido mucho peores, diversos personajes del mundo político han criticado su gestión.
Desde que llegó a la presidencia del BancoEstado el 4 de junio —luego de haber liderado la cartera de Desarrollo Social durante un año— Sichel decidió cambiar la estrategia de comunicación llevada a cabo por su predecesor Arturo Tagle. Empezó a aparecer con regularidad en los medios, aceleró la entrega de los bonos Covid-19 e incluso salió como presidenciable. Su gran apuesta era la portabilidad financiera: había anunciado que después de cotizar “los clientes van a llegar a BancoEstado”.
Pero la portabilidad partió el martes 8 sin que Sichel pudiera sacarle el brillo que quería. Pero, fiel a su estilo, no se ha perdido las vocerías ni las actualizaciones referentes al caso. Su apariciones en televisión han sido para explicar la situación.
Un flanco que se le abrió durante la semana fueron los mismos empleados de la institución. Durante la jornada del jueves 10, el Sindicato de Trabajadores de la entidad publicó un comunicado donde exponen que “el presidente del banco ‘vende humo’ por televisión y (…) y las emprenden contra los trabajadores”.
Su rival más duro ha sido, sin embargo, la política. La decisión de la Comisión de Economía del Senado para citarlo a declarar no cayó bien. En la transmisión televisva se puede ver a un incómodo Sichel respondiendo preguntas, acompañado de Marcelo García, gerente de Operaciones y Tecnología y Juan Cooper, gerente general.
Cuando el Senador Felipe Harboe (PPD) le preguntó a Sichel sobre posibles contratos de antivirus y cortafuegos que habrían vencido en junio, ninguno de los representantes respondió con claridad.
Según fuentes internas, durante las próximas semanas el BancoEstado seguirá enfocado en reforzar su seguridad digital. De hecho, autoridades de la institución han mencionado que los días que vienen serán claves para evaluar las auditorías internas y externas y actualizar el informe solicitado a BCG. Todo esto acompañado de la ejecución del Plan Director de Ciberseguridad.
El 23 de septiembre, además, Sichel tendrá que concurrir nuevamente al Congreso a explicar los avances de la investigación. Esta vez, la sesión será en la Cámara de Diputados y están convocados los ministros de Hacienda y Economía, además del director de la Policía de Investigaciones.