No hubo robo del patrimonio de los clientes ni del banco, pero el ciberataque sí consiguió extraer información de la entidad. Eso fue lo que dijo este martes el presidente de BancoEstado, Sebastián Sichel, en un punto de prensa, pero puntualizó que estos datos “por ahora, para el banco, no son significativos. Por eso hemos podido levantar la operación, y lo que probablemente puede pasar estos días, es que traten de alguna forma de comercializar o vender estos datos”.
Eso sí, detalló que serían “programas y datos no personales, más bien de sistemas operativos del banco”. Además, insistió en que no han recibido solicitud de rescate, y ahora estiman que el jueves podrían tener todas las sucursales operativas.
El mismo lunes el banco ya había presentado una querella contra quienes resulten responsables por sabotaje informático. En el documento, revela que fue el sábado por la mañana cuando un funcionario del banco reportó “que al abrir su computador personal (PC), apareció un mensaje en el cual se le indicaba que sus archivos habían sido encriptados y, a la vez, se debía seguir instrucciones para proceder a desencriptarlos”.
De esta manera, el oficial de seguridad de la estatal activó los protocolos, e informó a la gerencia de ciberseguridad para iniciar el “análisis de seguridad de la plataforma interna; indicándosele que un usuario en específico tenía problema con su correo electrónico, diagnosticándose que se trataba de un virus informático malware, desde una estación de trabajo ubicada en la sucursal Bandera N° 60, de la comuna de Santiago”.
Así, el equipo forense de ciberseguridad hizo un análisis de la estación de trabajo, “correspondiente al paciente cero”, puntualiza la querella; esto quiere decir, el primer equipo que se infectó. El documento dice que la máquina afectada tiene el “nombre ‘VS2K8-CORREDOR3’, bajo el dominio ‘ACTIVO’, perteneciente al servidor de correo Exchange de Microsoft”.
¿Qué significa eso? Gabriel Bergel, cofundador y CEO de 8.8 Computer Security Conference, explica que esto significa que es una máquina relacionada al correo, es decir, “se desprende que el vector de ataque fue el correo, y confirma que se habría ocupado un phishing o spear phishing”.
La querella continúa relatando que ese mismo sábado “se activaron los protocolos de respuesta de acción inmediata, implicando la desconexión de todos los equipos de la red y seguidamente un análisis de tráfico de la red corporativa para encontrar archivo ejecutable asociado al virus, con la finalidad de determinar las consecuencias del mismo”.
En paralelo, el equipo de ciberdefensa de la gerencia de ciberseguridad “procedió a analizar el tráfico de los Firewall, sin encontrar tráfico malicioso”. Mientras que “la subgerencia de riesgo tecnológico, procedió a informar a las filiales y reportó el incidente al regulador (Comisión para el Mercado Financiero), específicamente la detección de un malware en el banco, de nombre PACKED.GENERIC.525, cuya característica es infectar los equipos con un archivo ejecutable malicioso”.
El equipo de respuesta a incidentes de ciberseguridad comenzó a respaldar “los distintos aplicativos del banco, priorizando la criticidad desde punto de vista de la seguridad de los clientes y la continuidad del negocio”.
La querella termina diciendo que “hasta el momento no se ha detectado vulneración a las cuentas de nuestros clientes ni al patrimonio del banco, sin que ello se pueda descartar a futuro”. De todas maneras, detalla que las medidas de contención tomadas “para prevenir la afectación de los clientes, ocasionó que los servicios de canales presenciales se vieran afectados, esto es, la red de sucursales, ServiEstado, el call center (intermitente), y sitio web empresas (intermitente)”.