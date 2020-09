“Lo que pasó en la práctica es que este virus o este ataque lo que buscaba era tomar datos. Tomó datos que, por ahora, para el banco, no son significativos, por eso hemos podido levantar la operación y lo que probablemente puede pasar estos días es que traten de alguna forma de comercializar o vender estos datos”.

Eso fue lo que dijo ayer el presidente de BancoEstado, Sebastián Sichel, en un punto de prensa, sin embargo, esta mañana en la Comisión de Economía del Senado, el exministro afirmó que no hubo sustracción ni robo de información, sino que lo que ocurrió, fue que el malware logró encriptar datos del banco, por lo que en la práctica no se debería observar una comercialización o venta de esos datos, ya que no han logrado sacarlos del banco.

El presidente de la estatal también entregó detalles sobre lo que han descubierto en la investigación del malware que se infiltró en la entidad. Allí dijo que el ransomware solo habría ingresado al banco algunos días antes de que se detectara el virus el pasado sábado 5 de septiembre.

“Tampoco hay información, ninguna, respecto a solicitudes de rescate (...) porque la latencia fue tan corta en la práctica (la estadía del virus dentro de la entidad), que la toma de datos en particular no existió, sino más bien bloqueo o encriptamiento de programas, y lo que también dicen los especialistas, nos explican, es que es muy poco probable (...) que al no haber toma real de datos en este ataque, haya particularmente solicitudes de secuestro o rescate”, dijo Sichel.

El ejecutivo recalcó que “ese periodo en que efectivamente el virus estuvo dentro del banco, es un periodo cortísimo (...) ni siquiera de semanas”. De hecho, Marcelo García, gerente de operaciones y sistemas de BancoEstado, puntualizó que “efectivamente no estamos hablando de semanas, estamos hablando de días”.

Todo ello frente a la consulta del senador Felipe Harboe (PPD), quien preguntó: “¿Están seguros y pueden afirmar ante esta Comisión, obviamente bajo la lógica de que tienen que decir siempre lo que corresponde, que el ataque que ha sufrido BancoEstado, pueden descartar de plano que se trate de un ATP (advanced persistent threat, que es una amenaza que obtiene acceso no autorizado a una red informática y permanece sin ser detectado durante un periodo prolongado)?”

Sin embargo, la Comisión para el Mercado Financiero (CMF) no dijo lo mismo que la estatal, ya que aseguró que no es posible saber aún si el virus estuvo por más tiempo.

El jefe de la Unidad de Riesgo Operacional de la CMF, José Mendoza, señaló que “no es descartable, porque en definitiva gran parte de las acciones que se están realizando son para operacionalizar todos los servicios (del banco) que están con falta de disponibilidad, y en forma conjunta se están viendo cuáles (son) las vulnerabilidades que se aprovecharon para instalar este virus. A nuestro juicio no es posible descartar nada porque no tenemos información total”.

El senador Harboe también consultó si era cierto que el equipo de ciberseguridad que tiene hoy el banco y que les tocó enfrentar este ciberataque, son los mismos que habían estado trabajando en Banco de Chile cuando ocurrió el ciberataque a la entidad ligada al grupo Luksic y Citibank, frente a lo cual desde la estatal aclararon que era así. “Sí, hay personas del equipo que efectivamente tuvieron la experiencia (del hackeo en el Chile)”, respondieron desde el banco.

Por otro lado, pese a que ayer el presidente de BancoEstado dijo que “esperamos entre mañana y pasado (miércoles y jueves) terminar con el 100% de las sucursales abiertas”, hoy aclaró que en realidad para el jueves esperan tener al menos el 80% abierto. “Hoy vamos a estar (con) entre 270 y 300 oficinas del banco abiertas, lo que implica que estamos por sobre el 50% de la capacidad (...) Mañana ya vamos a tener la operación completa, o sobre 80%”, detalló el exministro.

Medidas tomadas

El presidente de BancoEstado también mencionó las medidas de contención que tomaron en este proceso, y lo que viene hacia adelante.

“Primero (el sábado), fue descolgar al banco completamente de internet, de manera que no pudiera existir la posibilidad de fuga de información o archivos. Además, se apagan aquellos servidores más sensibles, que si bien el banco, siguiendo el protocolo ha aprendido después de 2018 (cuando fue el ciberataque a Banco de Chile), los aísla del resto de la operación, particularmente el Swift, para las transacciones de alto valor. Además, básicamente se apagan esos servidores para evitar contaminación, aunque están aislados por la estrategia de ciberseguridad”, dijo.

También detalló que “se realizó una revisión completa de los computadores y servidores críticos….rápidamente se toma un equipo de swat de Microsoft, que son los especialistas (...) y se implementan herramientas específica de detección de virus, que permite ir recuperando equipos”.

En paralelo, señaló que “el comité de crisis empieza a trabajar específicamente en medidas de impacto, se determina que el virus primero afecta particularmente a plataformas Windows, por eso particularmente hemos trabajado ahí, y principalmente programas que permiten los canales de atención presencial, y se toma la decisión, por lo tanto, de no abrir el sábado, porque la propagación del virus ocurre en los canales de atención o los programas que permiten o facilitan los programas de atención presencial”.

De todas maneras, señaló que “el malware está controlado (...) La propagación terminó el mismo día sábado”.

Con todo, Sichel mencionó algunas precauciones que ha tomado el banco desde 2017 en materia de ciberseguridad, donde entre otras cosas, comentó que durante el gobierno de Michelle Bachelet, en 2017, se encargó un informe a Boston Consulting Group (BCG) para ver cuáles eran la brechas de seguridad que tenía el banco. “Ha permitido que el banco realice inversiones de sobre US$20 millones”, aclaró.

Por otro lado, dijo que “Microsoft debería entregar en las próximas semanas un informe forense que permita hacer la trazabilidad completa por cómo, dónde y cuándo se desplazó el virus”.

También detalló que por parte de la PDI se está avanzando en la investigación, y “ayer ha habido toma de declaraciones que permiten ir avanzando más rápido de lo que hubiéramos esperado, en descubrir en dónde inicia”.

Agregó que “una vez terminado el informe forense de Microsoft, vamos a hacer una auditoría interna y externa con esos antecedentes para saber bien, dónde cómo y cuándo pasaron las cosas, y poder ir mejorando protocolos, y la actualización del reporte de BCG tomado en 2017”.