Cuando Banco de Chile detectó que había un virus en el sistema de sus sucursales, la reacción inmediata fue resguardar las cuentas y el dinero de sus clientes. Sin embargo, esto era justamente lo que buscaban los atacantes, pues el virus era sólo un distractor para lograr robar la plata de Banco de Chile, no de sus clientes. ¿El balance final? Los ciberatacantes lograron sustraer cerca de US$10 millones de la entidad ligada al Grupo Luksic y Citibank, por lo que presentaron una denuncia criminal en Hong Kong.
¿Qué tiene que ver China?
Hasta ese país habría llegado parte de los recursos sustraídos. El episodio se desató el jueves 24 de mayo por la mañana. Fue allí cuando comenzaron a apagarse algunas estaciones de trabajo y computadores de Banco de Chile.
En ese momento, el gerente general de la entidad, Eduardo Ebensperger, se encontraba en una reunión en Nueva York con otros banqueros, y notó que no le llegaban los habituales correos electrónicos que solía recibir en su celular, por lo que se preocupó y llamó para ver qué ocurría.
En paralelo, en Chile estaban investigando de qué magnitud era el problema, por lo que cuando cerca de las 11.00 detectaron que era un virus que se estaba propagando, decidieron desconectar gran parte de las estaciones de trabajo -unas 9.000- para que no siguiera el contagio. Mientras Ebensperger compraba un pasaje de avión desde Nueva York a Santiago, el banco comenzó a operar en contingencia.
Quien tomó las riendas al interior de la entidad fue el presidente del Banco de Chile, Pablo Granifo, quien luego contactó al nuevo superintendente de Bancos, Mario Farren, para entregarle toda la información que tenían hasta ese momento. Al mismo tiempo, Banco de Chile se contactó con uno de sus proveedores de Estados Unidos, entre ellos Microsoft y Dreamlab, para que vinieran a Chile e iniciaran un análisis forense, tal como contempla su protocolo de contingencia.
Hasta ese momento, el foco seguía siendo resguardar los fondos y la información de sus clientes. Como no había nada raro en la información de los cuentacorrentistas, decidieron comenzar a mirar otras áreas de la empresa. "Encontramos algunas transacciones extrañas en el sistema SWIFT (donde los bancos a nivel internacional remesan sus transacciones a distintos países). Ahí nos dimos cuenta de que el virus no era necesariamente el tema de fondo, sino que al parece querían defraudar al banco", explica el gerente general a poco más de dos semanas del suceso.
De forma sigilosa, los atacantes habían iniciado una serie de transacciones fraudulentas para sacar el dinero de la firma. Por lo que en el minuto en que se dieron cuenta de ello, comenzaron a cancelar todas estas transacciones. Sólo cuatro de ellas lograron ser concretadas por los atacantes, las que sumaron cerca de US$10 millones de fondo propios del banco que hasta ahora no han podido ser recuperados. Por ello realizaron provisiones por $8.672 millones en mayo, lo que incluye los gastos operaciones derivados de esta contingencia.
Una vez que estuvo hecho el diagnóstico, Granifo fue citado a la Superintendencia de Bancos (SBIF) en persona para hablar con el regulador. Ebensperger llegó el viernes a las 4.30 de la madrugada a Santiago, y se fue directo a la matriz del banco. Ese mismo viernes a mediodía llamó a Farren, y durante la tarde fue junto a Granifo a visitar nuevamente al regulador a la SBIF.
Fueron cuatro días y tres noches completas las que trabajaron los equipos del banco, con refuerzos internacionales, haciendo turnos hasta el domingo, día en que casi todo se solucionó. "Le agradecemos profundamente a los trabajadores del banco y a sus familias", dice.
El análisis forense de Microsoft determinó que este fue un ataque internacional sofisticado, de bandas a nivel mundial, previsiblemente de Europa del Este o Asia.
¿Cuál fue exactamente el virus?
El malware SWAPQ, "que es un virus de día cero, es decir, que no ha atacado en ninguna parte antes. Si bien existía el tipo de virus, se trataba de un virus mutado", puntualiza Ebensperger.
Pese a la magnitud del evento, los reclamos formales han sido 60 casos de un universo de más de dos millones de clientes.
¿A qué bancos llegó el dinero que fue robado?
-Generalmente la plata llega a un banco corresponsal, y luego llega a otro banco en otra parte, aquí usaron varios corresponsales en distintas latitudes, pero la mayoría del dinero llegó a Hong Kong. Este era un evento destinado a dañar al banco, nos dimos cuenta que ese era el objetivo y cuadraba con este tipo de banda criminal. Nos demoramos dos o tres días para hacer todos los análisis para asegurarnos de que no se haya perdido ningún tipo de información, ni claves, ni fondos de los clientes.
¿Es primera vez que pasa algo así en Chile?
-De esta magnitud, sí. Uno ha visto ataques a otras empresas, aunque los intentos son permanentes.
¿Replantearán las medidas de seguridad y el antivirus que usan?
-Los antivirus son muchos, permanentemente se están actualizando. Lo que cambia es la visión de cómo evolucionan las cosas, antiguamente la seguridad iba por otras vías, hoy este tipo de ataque requiere otro tipo de sofisticación, otro tipo de conocimiento, y vamos a evolucionar de acuerdo a eso. Si bien tenemos antivirus y una serie de controles y monitoreo, hay que intensificarlo. Tomaremos todas las medidas que sean necesarias para seguir investigando y resguardando a nuestros clientes como lo hemos hecho hasta ahora. Este es un nuevo método, que desde Chile lo veíamos un poco lejos, pero ahora viene bajando a Latinoamérica.
¿Esto cambiará la visión que tiene la industria respecto a la ciberseguridad?
-Esto cambia la visión en Chile de cómo deberíamos resguardarnos las compañías, o cómo vamos sofisticando los procesos, hay que seguir avanzando permanentemente, no sólo en inversiones, también en protocolos de seguridad. Como convivimos hoy día con un mundo donde todo es instantáneo, versus los niveles de seguridad, tenemos que transar en algunas cosas. Los bancos nos hemos volcado en la innovación, pareciera que hay que ir con un poco más de cuidado porque efectivamente el tema de ciberseguridad debe ser intransable. Para nosotros lo era, lo sigue siendo, pero hay que avanzar en cosas más sofisticadas que hasta ahora no las habíamos visto, como este ataque.
¿Cómo ha visto en este proceso el comportamiento de las autoridades?
-El sistema financiero es un tema extremadamente complejo, porque mueve los fondos de la gente, está la confianza de por medio, y por lo tanto, uno entiende que la regulación tiene que ser dura y estricta, y lo es... Sí nos requirieron muchísimo, sostenidamente, y creo que de alguna manera la autoridad ha recibido un par de críticas que no reflejan cómo se comportó. Sentimos el control, y cada vez que sabíamos una cosa se la informamos. Fue muy ágil y diligente en saber lo que estaba pasando. La cadena de pagos no se rompió para nada. Junto con eso le informamos al Banco Central, se le dio cuenta, y hablamos con el Sernac para contarle lo que nos había pasado. Fueron los tres entes con los que nos comunicamos directamente, más el resto de los bancos para que a nivel de riesgo operacional tuviesen los cuidados, dado que no sabíamos si pudiese ocurrirle a otros.
¿El Gobierno los contactó en algún momento, el Ministerio de Hacienda en particular?
-Tuvimos contacto con el Ministerio de Hacienda, siendo el Superintendente nuestro canal principal.
¿Tienen seguros comprometidos?
-Tenemos seguros y hay que hacer el proceso y la tramitación del siniestro, y adicionalmente todavía nos quedan gestiones. Una denuncia que hicimos en Hong Kong porque los fondos finales llegaron a Hong Kong, en general se fueron a Asia, y Hong Kong es donde no hemos podido recuperar los fondos que sustrajeron del banco. No se vieron afectados los clientes. Eventos como estos están contemplados, y en la magnitud de lo que estamos hablando debiera cubrirnos de forma importante. Son compañías extranjeras, que en general tienen reaseguros en otras partes.
Desde el Congreso han criticado lo ocurrido.
-Tenemos la convicción de que la manera en que llevamos la contingencia, era lo que teníamos que hacer. Creemos que ante un evento similar, actuaríamos de la misma manera. No puedes poner en riesgo la fe pública, ni los depósitos del banco. No quiero minimizar el hecho de que nuestros clientes se vieron afectados, pero porque era lo que teníamos que hacer en ese minuto. Claro, que alguien no pudo cambiar su clave al día siguiente, es probable, porque también bajamos el servidor de cambio de claves para asegurarnos de que efectivamente no haya habido ningún daño de cara a las claves de los clientes. Y en vez de hacerlo en 24 horas, lo hicimos en 48. Sí, es cierto. Lo único que hicimos fue actuar con la debida diligencia ante un evento que podía poner en riesgo a nuestros clientes… Hemos pedido disculpas, creemos que si causamos algún atraso, algún problema, es por esta razón, nunca ha sido nuestra intención, el banco siempre va a privilegiar y privilegia la seguridad de nuestros clientes y de cuidar sus fondos, que es nuestro mandato inicial, y que puedan operar. Eso fue lo que hicimos.
¿Las provisiones extraordinarias afectan de alguna forma el resultado del banco?
-Nos hubiese gustado no tener que hacerla, no es poca plata, pero cuando uno ve los resultados de este banco, la fortaleza, su generación mensual y anual, no tiene una significancia importante. Ahora, uno debe cuidar cada pe so. Este es un banco que siempre provisiona con tiempo, hace todas sus cosas.
¿Qué pasos vienen ahora?
-Tenemos una hoja de ruta: lo primero era lo que ya ha pasado, levantar la contingencia, saber qué nos pasó. Quedan tres semanas probablemente para terminar este análisis forense.. Luego viene un período de tres meses donde vamos a revisar, ya no el problema de los fierros, sino que asegurarnos que el governance, los talentos y los conocimientos que tenemos en el banco son los necesarios, o debemos incorporar otros. De ahí, probablemente uno tendrá que poner un horizonte de un año para controlar y validar que todo lo implementado funcione correctamente.