El crimen organizado ha logrado vulnerar algunos sistemas brasileños y el Banco Central de ese país ha debido tomar medidas para contrarrestarlos. Según se ha conocido, en los últimos meses, una serie de eventos informáticos han afectado al sistema financiero de Brasil, concretando robos por cientos de millones de dólares. Desde Chile el fenómeno es seguido de cerca, ad portas de la puesta en marcha del sistema de finanzas abiertas.

El más emblemático de los eventos fue el que afecto a Pix, el ecosistema de pagos instantáneos que creó el Banco Central de Brasil en 2020 y que permite las transferencias de dinero de forma inmediata.

Así, el pasado 30 de junio, una banda criminal sustrajo US$150 millones, esto luego de sobornar a un empleado de la empresa C&M Software mediante el pago de US$2.700. La firma de servicios conectaba a bancos y fintech con Pix. El Banco BMP fue el más perjudicado, con un robo de US$90 millones. En total, fueron 8 entidades afectadas.

En tanto, el pasado 29 de agosto fue víctima de un ataque Sinqia, otra compañía tecnológica que conecta a instituciones financieras. En esta oportunidad el robo alcanzó los US$133 millones, aunque US$109 millones lograron ser bloqueados por el Banco Central de Brasil. HSBC fue la principal víctima del ataque.

Y estos no han sido los únicos hechos. El 2 de septiembre fue el turno de la fintech Monbank, víctima de un robo de US$917 mil. El 6 de septiembre, el Banco Central de Brasil emitió una alerta respecto de un ataque informático contra la firma de pagos E2 Pay.

Los medios brasileros informaron que hace tres semanas un operativo de la policía Federal arrestó a ocho sospechosos de hackear el sistema financiero brasileño, operativo que se concretó luego de una denuncia presentada por la Caixa Econômica Federal. La denuncia apuntaba a que se habría sustraído un computador con credenciales y acceso externo a la VPN de manos del gerente de una sucursal del centro de São Paulo.

Las medidas del Banco Central

Ante la gravedad de los hechos, el Banco Central de Brasil ha dictado una serie de instrucciones para combatir la injerencia del crimen organizado en los sistemas de pagos.

El 5 de septiembre pasado, el organismo anunció que para las instituciones de pago no autorizadas y aquellas que se conectan a la Red del Sistema Financiero Nacional a través de Proveedores de Servicios de Tecnología de la Información, el monto máximo de las transferencias vía Pix será de 15.000 reales.

Además, indicó que “ninguna institución de pago podrá iniciar operaciones sin autorización previa”. Por otra parte, el Emisor señaló que podrá exigir una certificación técnica o una evaluación emitida por una empresa independiente cualificada que acredite el cumplimiento de los requisitos de autorización.

La última norma se emitió el pasado 11 de septiembre. La regulación exige a las instituciones a “rechazar las transacciones de pago cuyos destinatarios sean cuentas con sospecha razonable de participación en fraude”.

Además, apuntó que “las instituciones deben utilizar toda la información disponible, incluyendo la contenida en sistemas electrónicos y bases de datos públicas o privadas, para evaluar la participación de las cuentas en fraude”.

La visión desde Chile

El fenómeno ha sido motivo de comentario en el sistema financiero local, donde han visto con preocupación lo que ocurre en Brasil.

Consultado al respecto, Luis Opazo, gerente general de la Asociación de Bancos (Abif), señala que la experiencia brasileña “entrega aprendizajes para Chile sobre los riesgos de ciberseguridad en sistemas interoperables como el Sistema de Finanzas Abiertas, los cuales deben ser anticipados y gestionados”.

El sistema de finanzas abiertas forma parte de la Ley Fintech, el cual entrará a regir progresivamente a partir del 2026. Este permitirá a los usuarios del sistema financiero compartir sus datos con el objetivo de obtener mayores beneficios y mejores condiciones en la contratación de servicios financieros.

A propósito de esto, Opazo explica que en el SFA chileno, la exposición crecerá “con cientos de miles de conexiones simultáneas derivadas de una arquitectura donde todas las instituciones se conectan entre sí. El cibercrimen, cada vez más sofisticado, se concentrará en los puntos de mayor vulnerabilidad”

“Por ello, las certificaciones de seguridad y operacional deben ser exhaustivas, que abarquen no sólo las conexiones, sino también de manera amplia los resguardos de ciberseguridad de las entidades con acceso a los datos y fondos de los clientes”, explica.

Para el ejecutivo, “el riesgo de ciberseguridad en el SFA es crítico, y debe ser un eje central en el diseño de la normativa y gestión para proteger los datos personales y fondos de los clientes”.

Por su parte, Josefina Movillo, directora ejecutiva de FinteChile, explica que si bien “las amenazas evolucionan constantemente, y por ello debemos estar en mejora continua”, en el marco del Sistema de Finanzas Abiertas (SFA), desde FinteChile “hemos promovido la adopción de protocolos de seguridad de nivel internacional, como FAPI 2.0, utilizado en países líderes en Open Finance”.