Nuevos detalles sobre el ciberataque a BancoEstado van surgiendo día a día. Este miércoles asistieron a la Comisión de Economía del Senado el presidente de la entidad, Sebastián Sichel, y el presidente de la Comisión para el Mercado Financiero (CMF), Joaquín Cortez, donde revelaron más antecedentes sobre lo sucedido.
Allí, Sichel dijo que el ransomware solo habría ingresado al banco algunos días antes de que se detectara el virus el pasado sábado 5 de septiembre, a diferencia de lo ocurrido en el ciberataque de 2018 a Banco de Chile, donde estuvo por meses dentro del sistema antes de atacar.
“Es un periodo cortísimo (...) ni siquiera de semanas”, dijo Sichel frente a la pregunta del senador Felipe Harboe (PPD). El gerente de operaciones y sistemas de BancoEstado, Marcelo García, puntualizó que “efectivamente no estamos hablando de semanas, estamos hablando de días”.
Sin embargo, el jefe de la Unidad de Riesgo Operacional de la CMF, José Mendoza, señaló que “no es descartable (que haya estado por más tiempo), porque en definitiva gran parte de las acciones que se están realizando son para operacionalizar todos los servicios (del banco) que están con falta de disponibilidad, y en forma conjunta se están viendo cuáles (son) las vulnerabilidades que se aprovecharon para instalar este virus. A nuestro juicio no es posible descartar nada porque no tenemos información total”.
Algunos temas que aún no se han logrado operacionalizar son, por ejemplo, el curse de créditos, señalan fuentes conocedoras, tema que por ahora seguiría detenido. Por otro lado, se estaría trabajando para que los correos electrónicos de los ejecutivos puedan volver a funcionar en contingencia mediante una extensión que se crearía.
El senador Harboe consultó si era cierto que parte del equipo de ciberseguridad que tiene hoy el banco son los mismos que habían estado trabajando en Banco de Chile cuando ocurrió el ciberataque a la entidad ligada al grupo Luksic y Citibank, frente a lo cual desde la estatal aclararon que eso es efectivo. Eso sí, habrían trabajado en Banchile en ese tiempo.
Por otro lado, Sichel ahora dijo que en realidad no hubo sustracción de información de la entidad mediante el hackeo, sino que el malware logró encriptar datos del banco, por lo que en la práctica no se debería observar una comercialización o venta de esos datos, ya que no habrían logrado sacarlos del banco.
Esto, pese a que el martes el presidente de BancoEstado dijo que “lo que pasó en la práctica es que este virus o este ataque lo que buscaba era tomar datos. Tomó datos que, por ahora, para el banco, no son significativos, por eso hemos podido levantar la operación y lo que probablemente puede pasar estos días es que traten de alguna forma de comercializar o vender estos datos”.
Asimismo, el exministro recalcó que no ha habido solicitud de rescate, y que “lo que también dicen los especialistas, nos explican, es que es muy poco probable (...) al no haber toma real de datos en este ataque, (que) haya particularmente solicitudes de secuestro o rescate”. Con todo, señaló que este jueves esperan tener todo o sobre el 80% de las sucursales funcionando.
Medidas tomadas
El presidente de la estatal también mencionó las medidas de contención que tomaron en este proceso. Explicó que el mismo sábado descolgaron los sistemas del banco de internet, además de apagar los servidores más sensibles para evitar contaminación. Ese mismo día llamaron a un equipo especializado de Microsoft, quienes son los que está realizando el análisis forense.
En paralelo, señaló que “el comité de crisis empieza a trabajar específicamente en medidas de impacto, se determina que el virus primero afecta particularmente a plataformas Windows, por eso particularmente hemos trabajado ahí, y principalmente programas que permiten los canales de atención presencial”.
De todas maneras, señaló que “el malware está controlado (...) La propagación terminó el mismo día sábado”. También detalló que la PDI ha tomado declaraciones y ha obtenido resultados.
Por su parte, el presidente de la CMF relató que el sábado recibieron un llamado de la estatal que les informó lo sucedido, “y nos reportaron las primeras medidas de contención del virus. Con esto, se activó el grupo de continuidad operacional del Consejo de Estabilidad Financiera, se inició coordinación con la industria y sus grupos de continuidad operacional, se recibió de parte de BancoEstado un segundo reporte a través del reporte de incidentes operacionales (RIO), en que se identificaron características adicionales del malware y se comenzó análisis forense de los equipos afectados”.
Cortez también detalló que hubo reuniones entre los equipos técnicos de la CMF y de BancoEstado, así como entre el equipo directivo de la Comisión, con el presidente de BancoEstado, su gerente general, y gerente de riesgo y de tecnología.
“Respecto a ponerle nota a BancoEstado, la verdad es que lo que puedo decir, es que BancoEstado en el último tiempo ha aumentado su presupuesto en materia de ciberseguridad y ha ido cerrando brechas. No estoy en condiciones todavía de ponerles una nota de 1 a 10”, dijo Cortez.