La millonaria suplantación a empresa de misiles israelí que afectó a la Fach
En 2020, la Fuerza Aérea de Chile sufrió un intento de fraude en el que se le pedía pagar una cuota de casi US$ 800 mil de un contrato con Rafael Advanced Defense Systems Ltd, firma israelí especialista en tecnología de defensa. ¿Cómo hackers pudieron intervenir a una empresa que maneja información fundamental para las estrategias de defensa de varios países, incluidos Chile e Israel, suplantando su identidad?
Todo ocurrió en abril de 2020, pero el caso quedó abierto, sin encontrar responsables hasta hoy. Una petición llegó hasta uno de los correos electrónicos institucionales de la Fuerza Aérea de Chile, en la que se solicitaba cambiar la cuenta corriente a la que se debía depositar un pago de 770 mil dólares, correspondiente a la siguiente cuota de una compra que realizó la institución a la empresa de tecnología de defensa Israelí Rafael Advanced Defense Systems Ltd.
Pero el pedido era parte de un fraude.
La historia comienza así: mientras en Chile aumentaban de forma exponencial los casos de Covid-19, a la bandeja de entrada del correo electrónico de la Fach, llegó una notificación del gerente de Negocios y Contratos de Rafael, la empresa de misiles israelí, en la que solicitaba modificar la cuenta corriente registrada en el contrato. Según el “contacto”, la modificación para recibir los fondos tenía relación con las restricciones que existían en Israel en ese momento, producto de la pandemia.
El correo parecía original, aunque generó algunas dudas en la ejecutiva de la Fach a cargo del contrato con los israelíes. Su respuesta a la solicitud terminó siendo negativa, recalcando que cualquier modificación de este tipo se debía hacer mediante una enmienda en el contrato. En paralelo informó a la Dirección de Inteligencia de la Fuerza Aérea.
Desde la Fach decidieron contactarse con la firma israelí para ver las razones del cambio de cuenta para el depósito. Sin embargo, la compañía negó ser la solicitante y alertó sobre que esto podía tratarse de un caso de phishing (ciberdelincuencia). Por otro lado, la institución confirmó que la copia del contrato –que entró en vigencia en 2018 para el soporte al Python IV (misil aire-aire) y que tenía como objetivo el mantenimiento de los lanzadores- enviada por el impostor, no era la misma que se encontraba en la Subdivisión de Contratos del Comando Logístico. Inmediatamente se dio cuenta al Equipo de Respuesta a Incidentes de Seguridad (CSIRT), desde donde se revisaron varios computadores y celulares y se dejó instrucción de no contestar ningún correo de Rafael.
De esta manera, el Comando Logístico de la Fach preparó un informe preliminar que hizo llegar a la Fiscalía de Aviación en abril de 2020 para que se iniciara una investigación al respecto. Entre las partes destacadas de dicho documento, al que tuvo acceso La Tercera, se sostiene que: “Llama la atención, la cantidad de detalles que tiene el impostor, en cuanto a que conoce el contrato y el próximo pago, entre otros datos”.
Entre las conclusiones a las que llegó ese informe preliminar fue que “la fuga de información o robo de información” se produjo desde la propia empresa Rafael, ya que la copia del contrato que envió el estafador no era la que correspondía a la almacenada en el Comando Logístico de la Fach. El hecho abre dudas sobre la posible falta de seguridad y fuga de información desde una empresa israelí que, aunque privada, está encargada de proveer misiles, además de la mantención de los sistemas de diferentes gobiernos, incluido el israelí, que tras el ataque de Hamas, se encuentra bombardeando la Franja de Gaza.
La investigación y los contactos con Interpol
Consultada por el hecho, desde la Fach explican la metodología para descubrir la estafa: “En el marco del ejercicio de los protocolos y controles pertinentes y a partir de comunicaciones directas sostenidas con la empresa proveedora, se detectó oportunamente que se trataba de un presunto caso de suplantación de identidad, con el propósito de obtener ilegalmente prestaciones económicas por parte de la Institución”.
La investigación, que se inició la Fiscalía de Aviación, hoy está en manos de la justicia civil. Pese a que se solicitaron antecedentes incluso a la Interpol de Inglaterra y Estados Unidos y que se realizaron gestiones con la Corte Suprema y Cancillería para ello, aún no se logra dar con el o los responsables del intento de fraude, a más de tres años de este.
La primera acción que tomó la Fiscalía de Aviación, en abril de 2020, fue instruir las primeras diligencias a la Brigada Investigadora del Ciber Crimen Metropolitana de la PDI, citando además a declarar a distintos mandos de la Fuerza Aérea. Pero la Corte Marcial, producto de la pandemia, había suspendido en marzo de ese año todas las causas, a excepción de las resoluciones con inculpados o procesados, lo que retrasó la investigación.
Cuando se alzó la suspensión de la tramitación, se realizaron nuevas diligencias. La PDI tomó contacto con la Oficina Central Nacional de Interpol en Inglaterra para que se lograra identificar en ese país al beneficiario suplantador, quien había dado una cuenta corriente de un banco del país europeo para el depósito de la “cuota”.
Sin recibir aún información de Inglaterra, en febrero de 2021 la PDI decidió consultar en Estados Unidos acerca de los titulares de las direcciones IP de donde vinieron los correos electrónicos que buscaban concretar el delito. El origen de los e-mails había sido localizado en los estados de Massachusetts, Texas y California. La policía nacional pidió colaboración a la Interpol de Washington y a la Oficina de Asuntos Internacionales del Departamento de Justicia de EE.UU. Sin embargo, desde ese país señalaron que la solicitud debía hacerse mediante una instancia de justicia y no a través de la policía.
Mientras tanto, desde la PDI se determinó que la modalidad utilizada para cometer el robo correspondía a “Email Spoofing”, en la que los atacantes, para ocultar la verdadera dirección del remitente, la sustituyen por una legítima, suplantando la identidad de la empresa o un usuario al utilizar un dominio auténtico, evadiendo así controles antispam con una apariencia más creíble. En mayo de 2021 la comisaria de la Brigada Investigadora del Ciber Crimen Metropolitana, Patricia Rojas, compareció a declarar ante el fiscal de Aviación, donde sostuvo que a esa fecha no existían antecedentes que permitieran acreditar la participación de personal militar, pero tampoco era posible descartarlo.
De esta manera continuaron las gestiones ante las autoridades estadounidenses. El propio fiscal de Aviación, Mauricio Vega, firmó una Carta Rogatoria (solicitud formal hecha por el tribunal de un país a otro) a la Oficina de Asuntos Internacionales del Departamento de Justicia de Estados Unidos para que Interpol Washington realizara las indagaciones necesarias. Luego se debió pedir ayuda a la Unidad de Cooperación Internacional y Extradiciones (UCIEX) de la Fiscalía Nacional para que se tramitara el documento.
Sin embargo, hubo otro portazo desde EE.UU. Ese país informó que el documento debía ser canalizado por la Corte Suprema y esta a su vez debía enviar la información al Ministerio de Relaciones Exteriores para que diera curso a la solicitud. La información requerida finalmente no llegaba.
El 5 de noviembre de 2021, la Fiscalía de Aviación estimó que carecía de las facultades para conocer el hecho denunciado, ya que habría sido ejecutado desde otro país fuera de los alcances de la Justicia Militar, por una persona que carecía de calidad de personal militar. Casi un mes después, el Juzgado de Aviación, se declaró incompetente para conocer los hechos investigados y remitió los antecedentes al Décimo Tercer Juzgado de Garantía de Santiago.
Tras las distintas visiones sobre quién debía hacerse cargo de la causa, en abril de 2022 se remitieron los antecedentes a la Corte Suprema para la resolución de esta discrepancia. Fue el 10 de junio de 2022 cuando finalmente el máximo tribunal volvió a darle competencia al Décimo tercer Juzgado de Garantía, que terminó remitiendo los antecedentes al Ministerio Público, donde la causa sigue en marcha hasta el día de hoy.
Los ciberataques que pegan en Chile y en el mundo
El intento de robo a la Fach está lejos de ser un caso aislado. En septiembre de 2022 se dio a conocer un ciberataque masivo al Estado Mayor Conjunto de Chile que dejó al descubierto miles de documentos de áreas sensibles de la defensa del país, como estrategias de ciberseguridad de las FF.AA. El grupo hacker Guacamaya filtró aproximadamente 400 mil correos electrónicos del órgano encargado de asesorar al Ministerio de Defensa.
Otra de las instituciones afectadas por un ciberataque fue el Poder Judicial. También en septiembre de 2022, sufrió dos hackeos que infectaron a cerca de 700 dispositivos. La situación derivó en la suspensión de audiencias y la prohibición a los funcionarios de adjuntar archivos en los correos de este órgano del Estado.
Un poco antes, en agosto, los servicios informáticos del Servicio Nacional del Consumidor (Sernac) fueron afectados por un ciberataque lo que comprometió la plataforma de atención a los consumidores.
Pero no solo las instituciones públicas se ven afectadas por ciberataques, el mundo privado también ha sufrido de este tipo de delincuencia.
Uno de los casos más emblemáticos es el que afectó al Banco de Chile en 2018, que informó entonces la pérdida de 10 millones de dólares y, según explicó, solo afectó a dineros de la institución y no de sus clientes. Después, una serie de otras entidades financieras también fueron afectadas por ciberataques.
Según la encuesta Nacional de Ciberseguridad (ENCI) realizada por el Centro de Estudios Tecnológicos de la Información de la Universidad Católica (CETIUC), los incidentes de ciberseguridad aumentaron en promedio un 31,6% durante 2022.
Frente al caso que afectó a la Fach, el presidente de la comisión de Defensa del Senado, Kenneth Pugh (RN), dice que “es una materia que ya está judicializada y debemos esperar a que la justicia resuelva para emitir alguna opinión”. Pero Pugh agrega que, “avanzamos a pasos agigantados en transformación digital y digitalización de procesos, pero no avanzamos en ciberseguridad. Urge aprobar pronto la Ley Marco de Ciberseguridad y crear un centro nacional de respuestas a incidentes a cargo de la Nueva Agencia Nacional de Ciberseguridad que se conocerá como ANCI. En paralelo también se creará la nueva Agencia Nacional de Protección de Datos que se asimila al reglamento europeo denominado GDPR y ya está vigente la nueva ley de delitos informáticos (Ley 21.459) que precisamente se hace el cargo de los ciberfraudes. Esperamos también tener Fiscalías especializadas en Cibercrimen, que trabajen con las nuevas brigadas de cibercrimen de la PDI”.
El también miembro de la comisión de Defensa, senador Pedro Araya (indep.), coincide con su par de RN, en que “uno de los grande problemas que hay en Chile y que afecta no solamente al mundo público sino que también a los privados es que en Chile no existe una regulación adecuada en el tema de ciberseguridad. La Comisión de Defensa hoy se encuentra discutiendo el proyecto de Ley Marco de Ciberseguridad para que establezca una orgánica que permita contar con un organismo técnico que se encargue de enfrentar este tipo de situaciones, donde además se pueda coordinar el trabajo tanto del sector público como privado con el objeto de dar mayor seguridad a los sistemas informáticos”.
Chile está lejos de ser una isla en estos temas. El mundo tiene experiencias de sobra en ciberataques, tanto en organismos públicos como privados. El primero a gran escala fue el denominado WikiLeaks. Con Julian Assange a la cabeza, en 2010 se publicaron más de 25º mil telegramas diplomáticos, intercambiados entre más de 250 embajadas de los Estados Unidos y el Departamento de Estado de Estados Unidos. Después vinieron otros ataques emblemáticos como el que sufrió Sony PlayStation en 2011, Dropbox en 2012, eBay en 2014, Uber 2017 o el caso de Cambridge Analytica, en que una empresa de análisis de datos que trabajó para Donald Trump, utilizó sin consentimiento información de 50 millones de perfiles de Facebook para propaganda política.
Según el sitio It Governance, en septiembre de este año 71 incidentes de seguridad se hicieron públicos, lo que representó 3.808.687.191 registros comprometidos, lo que eleva el total del año a más de 4.500 billones. Buena parte de las empresas y gobiernos del mundo tienden a no hablar sobre estos incidentes y los montos comprometidos, mientras fortalecen sus áreas de ciberseguridad.
Comenta
Por favor, inicia sesión en La Tercera para acceder a los comentarios.