Las lecciones de un ciberataque

El ciberataque del que fue objeto BancoEstado -un hecho inédito por su envergadura, que obligó al cierre temporal de sus sucursales- volvió a poner de relieve la importancia de que el país cuente con un buen marco que le permita hacer frente integralmente a estas amenazas, cada vez más generalizadas. Los ataques cibernéticos alrededor del mundo dejan cada año pérdidas por cientos de miles de millones de dólares -el propio FMI ha alertado sobre la necesidad de que se despliegue una estrategia global contra este flagelo-, y para el caso del sistema financiero, éste suele ser un blanco favorito. Un reciente informe de la OEA revela que nueve de cada diez bancos de América Latina han sido objeto de ciberataques, lo que da cuenta de la necesidad de contar con resguardos cada vez mayores.

El incidente que ha vivido BancoEstado es el más grave que ha ocurrido en el país -en 2018 fue objeto de un ataque el Banco de Chile, donde se logró una sustracción de fondos, pero por un monto no significativo-, sin que alcanzara a comprometer los recursos que tiene a su resguardo, según ha reportado la propia entidad. Aun cuando este banco en general ha estado algo más rezagado en la implementación de medidas de seguridad en relación con el resto de la industria bancaria -así ocurrió, por ejemplo, con la implementación de las tarjetas con chip, algo que en parte podría explicarse por el gran volumen de clientes que maneja-, y sin perjuicio que una investigación deberá determinar qué responsabilidad le cupo al banco en lo sucedido, es claro que ninguna entidad puede sentirse del todo inmune, y por ello es necesario que el país analice cuán bien preparado está para enfrentar este tipo de amenazas, en especial cuando los ciberataques se vuelven cada vez más sofisticados.

Puesto que todo funciona en red, resulta fundamental una estrategia integral, que abarque a todo el sector público y privado. Los “hackers” buscan justamente los puntos débiles en cualquier estructura, y por ello no basta que algunas entidades cuenten con buenos resguardos, si es que otros integrantes de la cadena muestran flancos descubiertos.

El país ha dado pasos para dotarse de una infraestructura jurídica y de defensa cibernética que hoy le permite contar con una línea de resguardo razonable, pero probablemente aún insuficiente. Se cuenta desde 2017 con una Política Nacional de Ciberseguridad, con objetivos de corto y mediano plazo, hasta el año 2022. La exsuperintendencia de Bancos actualizó normativas en relación con la materia, y la Comisión para Mercado Financiero también se ha mostrado activa en la materia. Sin embargo, en el Congreso sigue pendiente la tramitación del proyecto de ley sobre delitos informáticos, ya aprobada por la Cámara de Diputados pero que sin embargo no ha tenido mayor avance en el Senado, lo que debe ser corregido.

Tampoco es una buena señal que el cargo de delegado presidencial a cargo de la ciberseguridad esté vacante desde marzo, y antes también estuviera acéfalo por varios meses. Es necesario contar con una figura que pueda ejercer una coordinación integral, dotada de las facultades para ello. En la medida que nadie esté ocupando esa posición, o se transmita la impresión de que su presencia no es muy relevante, la estrategia como un todo se ve debilitada.