top of page

Hackeo al Banco de Chile: expertos develan desprotección a datos de clientes


Desde fundaciones vinculadas al manejo y protección de los datos personales evidencian la falta de transparencia y regulación para abordar este tipo de incidentes.


A tres semanas de que el Banco de Chile fuera atacado desde el extranjero y le robaran US$10 millones, las dudas se han mantenido respecto a los efectos de un hackeo internacional a una entidad bancaria y la legislación que regula el cuidado que dichas entidades deben tener respecto a los datos personales y los bienes de los clientes.


Para Romina Garrido, profesora de ciberseguridad en la Facultad de Economía y Negocios de la Universidad de Chile, el hecho de que el banco haya declarado que no habían cuentas corrientes de clientes afectadas no implica un peligro menor respecto al robo de información de los clientes, considerando además que se trata de un delito de carácter transnacional.


Para la fundadora de la ONG Datos Protegidos, en este punto existe mucha desinformación por parte del banco hacia sus clientes, lo que, a su juicio, es la principal desprotección que enfrenta la ciudadanía.


Menciona además que los bancos no tienen los incentivos necesarios para invertir en ciberseguridad, considerando además que no es la primera vez que este banco es advertido de brechas en sus plataformas y en sus medios de pago.


“Tal como el banco hace inversión de distinto tipo tiene que hacer también inversiones en proteger su patrimonio, el secreto bancario y la información de los clientes. Si no hay normas que te obliguen a implementar seguridad en tus operaciones, al final la inversión que haces es mínima, es para el día a día, y sin pensar en un patrimonio que son los datos y la información de tus clientes”, dice Garrido.


Para María Paz Canales, directora ejecutiva de Fundación Derechos Digitales, el caso del Banco de Chile es complejo no sólo por el riesgo potencial de la pérdida de dinero, sino que revela que muchas otras organizaciones que prestan servicios no están al día en los protocolos de seguridad integral para prevenir ataques o virus.


“Que el banco haya sido capaz de aislar el daño a los clientes en esta ocasión puntual –según la información dada a conocer por ellos- no garantiza que eso se cumpla en el futuro y simplemente lo que refuerza es la duda respecto a cuál es la fortaleza real de su sistema”, puntualiza.


Un experto en seguridad informática consultado por El Dínamo explica que los bancos realizan monitoreos de seguridad que funcionan en tres capas: ataques desde internet hacia adentro de la entidad, internos o de adentro hacia afuera.


En el caso del Banco de Chile, el ataque fue de “afuera hacia adentro”. “Entonces, lo que no funcionó fueron los monitoreos de internet que indican quién pudo haber hecho un ingreso indebido. Después fallaron los análisis de malware que no detectaron el virus ni las herramientas de análisis de comportamiento interno”, asegura. “Desde una analogía, fue una falla multi sistemática de seguridad”, agrega.


Canales agrega que estos incidentes no son aislados, por lo que si no se abordan con una política interna bien estructurada de manejo de riesgo de ciberseguridad en todos los rubros en que se manejen datos lo más probable es que estos riesgos se presenten nuevamente. “Esto no es exclusivo ni del banco ni del sistema financiero, también hay otras instituciones potencialmente en riesgo, que pueden ser más críticas, como hospitales, proveedores de energía eléctrica, incluso las Fuerzas Armadas u otros organismos estatales. Este es un tema transversal. Es una alerta para revisar a nivel de política pública”.


El rol de la Superintendencia de Bancos


Para Romina Garrido, uno de los hechos que más llamó su atención fue la presencia del superintendente de Bancos e Instituciones Financieras (SBIF), Mario Farren, en la Comisión de Economía del Senado. En dicha ocasión, la autoridad reconoció la falta de capacidad técnica para abordar la brecha de seguridad y comentó que no se había constituido en el banco porque “no quería estorbar”.


Para ella, esto se traduce en que la SBIF “se transforme en un vocero del banco y básicamente en sus comunicados replique lo que el banco dice. Esto sobrepasa la gestión bancaria misma. Ellos deberían ser capaces de ejercer sus potestades también respecto a estos incidentes informáticos y estar controlando que el banco cuide la información bancaria y no bancaria de todos los clientes”.


De esta manera, agrega, no hay posibilidad de verificar a través del regulador si hay datos personales de los clientes afectados, a pesar de que la SBIF cuenta con una normativa relacionada con incidentes de ciberseguridad y la continuidad operacional, contenida en la Recopilación Actualizada de Normas (RAN) Capítulo 20-8 y una carta circular en la que da cuenta de la relevancia de la ciberseguridad.


Tras confirmar el ataque, el gerente del Banco de Chile, Eduardo Ebensperger, aseguró en entrevista con Pulsoque solicitó un análisis forense, “tal como contempla su protocolo de contingencia”, el que demoraría tres semanas en entregar sus resultados.


Profesionales vinculados a ciberseguridad aseguraron a El Dínamo que el mercado de los peritos privados en esta área, que prestan servicios a entidades públicas como privadas, es muy reducido y son contratados por las mismas entidades que han sufrido vulneraciones de seguridad.


Garrido confirma esta parcialidad de las empresas que realizan los informes forenses, lo que refuerza, a su juicio, la necesidad de contar con autoridades públicas capacitadas que gestionen este tipo de informes, atendiendo que