CCU revela sabotaje informático: “Aún no ha sido posible evaluar el real impacto económico”

Proyecto Conecta. Así llamó la Compañía de Cervecerías Unidas (CCU) a su nuevo plan para implementar distintos módulos del sistema SAP, uno de los principales softwares que utilizan las empresas en el mundo para organizar y gestionar sus recursos. El proceso se aprobó a mediados del año pasado, sigue en desarrollo, y busca mejorar la planificación y gestión de la embotelladora ligada al grupo Luksic.

Todo marchaba según lo previsto hasta el 31 de agosto de 2019, cuando un usuario reportó problemas. El primero de varios, tras lo cual la administración de CCU instruyó una auditoria forense, la que fue categórica: la empresa sufrió un “sabotaje informático”.

Todos los antecedentes figuran en una querella criminal presentada por los abogados de CCU, en contra de todos aquellos que resulten responsables como autores, cómplices o encubridores del delito de sabotaje informático. La acción fue declarada admisible el 18 de marzo y los antecedentes ya fueron remitidos al Ministerio Público para su tramitación.

Desde CCU explicaron que, pese a que en ningún momento quedaron comprometidos ni su operación ni sus bases de datos, se interpuso la querella con el objetivo de investigar la existencia de actos que pudieran tener el carácter de delitos en el proceso de implementación de SAP, con el objeto de que se establezcan las responsabilidades individuales. Precisaron que la querella no se dirige contra nadie en particular sino contra todos aquellos que en el curso de la investigación resulten responsables.

El currículum falso

Según la acción judicial, el sistema SAP de propiedad de la embotelladora, junto a sus diversos módulos, fue “maliciosamente alterado y dañado”. Se detalla que ocurrieron “incidentes” entre el 5 y 6 de septiembre de 2019.

En específico, se habla de intentos de ingresos no autorizados al software y que se eliminó información técnica del sistema desde los computadores del jefe Técnico de SAP interno de CCU y de un ejecutivo SAP de Deloitte México (que presta asesoría a la embotelladora) que no pertenecía al equipo del Proyecto Conecta.

“Estos incidentes significaron para la compañía retrasos, y a la fecha no ha sido posible evaluar el real impacto económico, sosteniendo un fundado temor que se hayan programado acciones maliciosas en los servidores que afecten el funcionamiento del sistema en un futuro”, dice la querella.

La trama tiene su punto culmine cuando en uno de los llamados incidentes se detectó un intento de suplantación de identidad del jefe Técnico SAP desde un computador perteneciente a Deloitte.

Tras esto, la gerenta del Proyecto Conecta solicitó un informe forense a dicha consultora, el cual reveló que el computador involucrado pertenece al gerente SAP Technology Direct de Deloitte México, donde se encontraron 1.434 archivos que contienen la palabra CCU. La gerenta señaló que el ejecutivo de Deloitte México no participa en el proyecto de implementación SAP de CCU, por lo que no debería tener dicha información en su computador. Por esto, solicitó a la consultora explicaciones, la que informó que la mayoría de los mails fueron falsos positivos, que no están relacionados con temas del cliente.

Además, informó que 104 correos electrónicos son de fecha previa a los incidentes y tratan temas relacionados a la asignación de recursos para el proyecto CCU, y 33 tienen fecha posterior, y están vinculados a la mitigación y respuesta al caso.

Consultada Deloitte Chile, señaló que no se refiere a asuntos relativos a clientes a los cuales está prestando servicios, debido a acuerdos contractuales de confidencialidad.

La mayor sorpresa llegó tras el último incidente, el cuarto, que involucró la cuenta del jefe Técnico SAP de CCU. La firma realizó una revisión al perfil del trabajador. Aquí se relevó la falsificación del documento que certifica el “Master de Ingeniería” en el MIT, e información falsa de estudios de enseñanza media y universitaria: el ejecutivo no estudió en el Instituto Nacional y no es Ingeniero Civil en Informática de la Universidad de Chile.

Frente a la evidencia, reconoció, según los antecedentes proporcionados por la empresa, que ha falseado su currículum durante los últimos 10 años y que nada de lo redactado en su perfil profesional es verdad.

El trabajador ya fue desvinculado por la causal “Falta de probidad”.

Con todo, en la querella CCU dijo que no se puede descartar la posible suplantación de identidad.