ae brand lab

bancos hackeados

El nuevo apetito por Latinoamérica de

image/svg+xml

y otros cibercriminales

La banca latinoamericana está en la mira de avezados grupos, algunos subvencionados por Estados, asociaciones ilícitas que no escatiman en recursos tecnológicos para analizar, atacar y robar. Mientras la ansiada transformación digital les abre brechas de seguridad a los hackers, la industria regional tendrá que adaptarse a un trabajo colaborativo constante con los Estados y su ciberdefensa. ¿Un modelo a replicar? La resiliencia de la UE asoma como ruta a seguir.
Jueves, 18/10/2018 Lino Solís de Ovando, Gwendolyn Ledger y Camilo Olarte

Se había prometido no volver a las grandes ligas. Mantenerse en calma representando a los accionistas minoritarios, en la comodidad de algunos directorios de las Asociaciones de Fondos de Pensiones (AFP). Tranquilo y a media máquina. Pero la culpa es de su legado como subsecretario de Telecomunicaciones (2010-2014). Saber actuar como un diligente ingeniero capaz de apagar el fuego, conciliar voluntades y crear una mística en torno a un objetivo común. Es lo que hizo posible que bajara las tarifas de telefonía móvil en 20%, y en casi 50% las de banda ancha; poner fin a la larga distancia y volver una realidad la portabilidad numérica. Pero, sobre todo, lo que hizo luego del 27 de febrero de 2010, cuando un terremoto magnitud 8,8 grados Richter azotó la costa centro-sur de Chile y hubo que levantar el sistema de telecomunicaciones. Así es Jorge Atton, el recién asumido asesor presidencial en materia de ciberseguridad del presidente Sebastián Piñera, quien recibe a AméricaEconomía con los ojos cansados y pocas horas de sueño en la subsecretaría del Interior del palacio de La Moneda, para hablar de su nueva tarea, acelerar una institucionalidad acorde a un problema global que hoy se ha vuelto amenazante para chilenos y latinoamericanos: los ciberataques contra la industria bancaria.

El temor es justificado. Según Kaspersky Lab, el panorama es especialmente sombrío para América Latina. Existe un incremento de la actividad cibercriminal en la región. En los últimos doce meses la compañía de ciberseguridad registró más de 746 mil ataques de malware diarios en América Latina, lo que significa un promedio de nueve ataques de malware por segundo. Esto significa un incremento de 60% en ataques cibernéticos en una zona de guerra que tiene a Venezuela con el mayor número de ataques en proporción a su población (70,4%), seguido por Bolivia (66,3%) y Brasil (64,4%).

Empapado por este ambiente de tensión regional y por las amenazas que aquejan al sector bancario local, es que Atton considera "una necesidad acelerar una política de ciberseguridad, lo que ya se discutió en 2016-2017, pero con una serie de medidas y lineamientos de largo plazo, que miraban el 2022; claramente, no se veía como un problema en ese momento", recuerda Atton, consciente además que, incluso hasta hace muy poco, la posibilidad de ciberataques era considerada una amenaza de segundo orden para las industrias: "si yo tomo la media, este tema de ciberseguridad no era uno relevante; no estaba en el top of mind, ni en el sector privado ni en el Estado. Se lo consideraba un problema de informáticos", sentencia.

Para revertir esa desidia, el asesor presidencial ya ha definido una ruta: "el primer proyecto de ley que vamos a sacar en muy corto plazo es una ley de ciberseguridad, siguiendo experiencias muy importantes como la de Holanda, bastante simple y entendible; Estados Unidos, Inglaterra también son modelos interesantes… La segunda tarea urgente desde el punto de vista legislativo para este año es un proyecto de ley sobre gobernanza (debería ser aprobada en los próximos 30 días), me refiero a tener un cargo de coordinador con empoderamiento presidencial, para el que queden muy claras sus atribuciones, responsabilidades, estándares mínimos de ciberseguridad que puede exigir a las distintas industrias, al mismo Estado, a todas sus instituciones. Y la tercera medida tiene relación con la infraestructura crítica -las comunicaciones, energía, la banca, el sector financiero, las instituciones de salud, el transporte-, una serie de servicios que son de primera utilidad y que pueden ser vulnerables desde la seguridad informática. Me refiero a la creación de una serie de Computer Security Incident Response Team (CSIRT) por sectores. Los primeros serán los de Finanzas y Telecomunicaciones", enumera Atton.

La celeridad de los anuncios de Atton calza con que hoy los chicos malos salieron de la madriguera. Hasta el cierre de esta edición, en el país sudamericano con no poca regularidad se escuchaba en los medios locales de hackers, de fuga de datos de tarjetas bancarias, aunque en su mayoría fueran actos realizados por neófitos ciberatacantes, como el del ingeniero informático de iniciales G.V.S., ya detenido por el área del cibercrimen de la Policía de Investigaciones (PDI), quien anunció con bombos y platillos el pasado martes 28 de agosto, en su cuenta Twitter La Balsa Pirata: "Todas sus tarjetas de coordenadas de BancoEstado nos pertenecen! Más de 70 mil ID, nombres y número seriales de BancoEstado". Se trataba solo de una base de datos antigua, un botín de poca monta. Por suerte, Atton está lo suficientemente informado para no dejarse encandilar por este tipo de fingimientos. Actos de posicionamiento ruidosos, pero sin fondo en el mundo del cibercrimen.

Cosa distinta es lo que piensa del ataque al Banco de Chile, el pasado 24 de mayo, cuando especializados ciberatacantes lograron burlar el sistema informático de la entidad y robar US$10 millones, un atraco virtual que incluyó el impactante colapso de miles de computadoras que en sus pantallas negras indicaban un escueto epitafio: Non-System disk or disk error, replace and strike any key when ready (Error de disco o disco que no es del sistema, reemplace y presione cualquier tecla cuando esté listo). Pero mientras este distractor funcionaba, y los operarios del área de informática recurrían incluso a la desconexión de los computadores para que no se propagara un virus, los avezados ciberciminales realizaban varias transacciones mediante el sistema internacional de pagos SWIFT. Pese a los intentos de anular estas operaciones, cuatro de esas transacciones lograron burlar el cerco informático del banco ligado a Citibank y el Grupo Luksic.

Pero las pérdidas del Banco de Chile podrían ser mayores. Si bien el estudio "Costo de una Brecha de Datos de 2018", de IBM Security y dirigido por el Ponemon Institute, contempla un costo promedio de una violación de datos a nivel mundial de US$3,86 millones, un aumento de 6,4% con respecto al informe de 2017, a juicio de Wendi Whitmore, líder mundial de IBM X-Force Incident Response and Intelligence Services (IRIS), "la verdad es que hay muchos gastos ocultos que deben tenerse en cuenta, como daños a la reputación, rotación de clientes y costos operativos".

Atton no opinará casi nada de este asunto. Solo asiente con la cabeza cuando AméricaEconomía le comenta que, según fuentes en off del sector de la ciberseguridad global a las que ha tenido acceso, existen fundadas sospechas de que detrás del ataque al Banco de Chile hay un grupo subvencionado por un Estado, el norcoreano, utilizando el mismo modo de operación exhibido en su ataque al Banco Nacional de Comercio Exterior de México (Bancomext), el 9 de enero de 2018; al Banco del Austro de Ecuador, en mayo de 2016, cuando robaron US$9 millones; y al Banco de Bangladesh, el 4 y 5 de febrero de 2016, operación a través de la cual sustrajeron US$81 millones. Mediante el uso de un código malicioso, accedieron al software de mensajería utilizado por más de 11.000 bancos e instituciones financieras de más de 200 países, la misma vía de acceso en el evento del Banco de Chile: SWIFT Alliance Access. Con sigilo, Atton dirá escueto: "Puede ser de un nivel muy superior a los que existen acá en Latinoamérica (el ataque al Banco de Chile)… bueno, pero es un tema que ha sido tratado, esa experiencia está siendo compartida con el resto de los bancos, por lo tanto, yo lo dejaría un poco a un lado…".

Cibersoldados

Pero aunque Atton no ahonda en el ataque, sus medidas hablan por él, al contemplar dentro de las reformas que el país realizará en materia de ciberseguridad, un espacio estratégico y destacado a los asuntos de la ciberdefensa (los CIRT sectoriales estarán conectados con el estamento creado por el Comando Conjunto de las Fuerzas Armadas para este tipo de amenazas), normados en la Política Nacional de Ciberseguridad, aprobada el 9 de noviembre de 2017, el "primer instrumento de política pública del Estado de Chile que orientará la acción del país en la materia, con el objetivo de contar con un ciberespacio libre, abierto, seguro y resiliente", según detalla su decreto. Un documento que menciona algo novedoso y acorde a la magnitud de las nuevas amenazas: “El Estado de Chile considera que un ciberataque puede llegar a ser tan dañino como un ataque armado. Chile podrá considerar los ciberataques masivos sobre su soberanía, sus habitantes, su infraestructura o aquellos que afecten gravemente sus intereses, como un ataque armado, y de acuerdo con el artículo 51 de la Carta de las Naciones Unidas, podrá hacer uso de los medios que estime apropiados, tanto físicos como digitales, en el ejercicio de su derecho a la legítima defensa".

Como parte de la Política Nacional de Ciberseguridad, el país sudamericano adhirió el 21 de abril de 2017 al Convenio sobre la Ciberdelincuencia del Consejo de Europa (el primero en Sudamérica en hacerlo), conocido como Convenio de Budapest, que entró en vigor en 2004, el primer tratado internacional sobre delitos cometidos a través de internet y otras redes informáticas, que trata en particular de fraude informático, pornografía infantil, delitos de odio y violaciones de seguridad de red. A la fecha ha sido ratificado por 53 Estados. La adhesión a este instrumento internacional significará "ser parte de un sistema rápido y eficaz de cooperación internacional, además de recibir asistencia para el desarrollo de capacidades nacionales para enfrentar de mejor manera las amenazas en el ciberespacio".

Más cómodo que Atton se muestra el senador independiente Kenneth Pugh para hablar de ciberdefensa. Ingeniero naval y ex director de Inteligencia de la Armada de Chile, es uno de los más activos parlamentarios en temas relacionados con los nuevos ámbitos de la seguridad. Pugh confirma a AméricaEconomía que hay un conocimiento, al más alto nivel, de que el ataque contra el Banco de Chile podría ligarse con Corea del Norte, un régimen que necesita con urgencia circulante que le permita mantener su plan de desarrollo nuclear, una carrera que ya le he significado un bloqueo internacional, y la imposibilidad de exportar a China su único recurso natural importante, el carbón. "Sí está siendo considerada (la variable de grupos de ciberataque subvencionados por Estados) y es parte de las políticas que ya han sido implementadas. Pero también tenemos que entender que Chile entró bastante atrasado en el tema de regulación y normativas en ciberseguridad. En abril del año pasado se promulgó la primera y única ley que tenemos hasta el momento, la Política Nacional de Ciberseguridad, con objetivos al 2021, pero en verdad esos objetivos debieran cumplirse mucho antes… Lo importante de esta Política Nacional es que posee la atribución para conocer si efectivamente son Estados o agentes del Estado los que están produciendo un daño al país", explica Pugh.

El parlamentario añade que incluso es momento de que Chile comience a pensar en cibersoldados, pensando en las nuevas amenazas. ¿Pero están preparadas las Fuerzas Armadas chilenas para algo así? "Las Fuerzas Armadas chilenas han mantenido un nivel de alistamiento de personas y de capacidad en el tiempo que las destacan. El gobierno de Estados Unidos reconoció a Chile y le dio el mando del ejercicio naval más importante del Pacífico, Rimpac, el pasado 27 de junio -participaron 27 países en las cercanías de Hawái, a través de simulaciones que contaron con 47 buques de guerra, cinco submarinos y más de 200 aviones-. Por primera vez un país no angloparlante dirigía dentro de toda esta gran capacidad de conexión de redes ciberseguras; o sea, Chile estuvo al más alto estándar, una capacidad que se tiene que mantener. Por eso la ley de financiamiento a las capacidades estratégicas tiene que considerar la oportunidad de los cibersoldados. Ofrecer una alternativa para ver si es factible que jóvenes que, aunque no tengan las capacidades físicas para ser un soldado combatiente normal, de terreno, sí puedan proteger a su país a través de la ciberdefensa", destaca.

Su colega, el senador Felipe Harboe, es más claro que Hugh respecto de la trama norcoreana detrás del ciberataque al Banco de Chile: "No hay un documento que acredite específicamente la participación de Corea del Norte con el ataque sufrido por el Banco Chile en mayo, pero es cierto que los recursos sustraídos aparentemente habrían terminados en cuentas ligadas a ese país", afirma, y agrega que mirando el lado positivo del suceso, "este evento del Banco Chile tuvo la virtud de reflotar un tema que no estaba teniendo la suficiente visibilidad pública. En caso de no haber existido este ataque, probablemente las cosas serían más difíciles".

Harboe también se muestra partidario de comenzar un reclutamiento especial en Fuerzas Armadas tendiente a conformar un contingente de cibersoldados: "Es absolutamente necesario para nuestro país. Piense que en EE.UU. ya se habla actualmente de una cuarta rama de las FF.AA. (también se ha agregado una quinta dimensión de la guerra, la espacial), y que son escuadrones de ciberataques para afrontar situaciones de ciberdefensa".

Las indagaciones de AméricaEconomía coinciden con las declaraciones del asesor en seguridad de la administración Trump, Thomas P. Bossert, publicadas en Wall Street Journal el pasado 6 de septiembre, quien afirmó oficialmente que Corea del Norte es el responsable del gigantesco ataque Wannacry. "Corea del Norte ha actuado especialmente mal, en gran medida sin control, durante más de una década, y su comportamiento malicioso se está volviendo cada vez más atroz", sentenció Bossert. Asimismo, el Departamento de Estado de ese país presentó cargos contra Park Jin Hyok, un ciudadano norcoreano que parecía trabajar en la compañía Korean Expo Joint Venture, que no sería más que una fachada de un grupo de cibersoldados norcoreanos que atacó a Sony Entertainment en 2014.

Los chicos de Mirim College

El nuevo apetito de Pionyang por los bancos, privados y estatales, quizás no habría sido descubierto si no hubiera sido por los vestigios que dejaron sus cuadros durante el intento de robo a la banca polaca, a inicios de 2017, mediante la infectación de su red bancaria, a través de un virus instalado en un software descargable de la página de su regulador financiero. Advertido y aislado el virus por los servicios informáticos, investigadores en ciberseguridad de Symantec pudieron a acceder a un listado de cerca de 100 instituciones bajo la mira del ejército de jóvenes cibersoldados de Corea del Norte, nombres sorprendentes y preocupantes para la región, a los que tuvo acceso AméricaEconomía: en Venezuela, el Banco Central de Venezuela, el Banco Mercantil y Dayco Telecom; en España, el Banco Bilbao Vizcaya Argentaria (BBVA) y el Banco Sabadell; en Cuba, la Empresa de Telecomunicaciones de Cuba (Etecsa); en República Dominicana, el Banco Popular Dominicano; en El Salvador, el Banco Azteca; en Colombia, el Banco Industrial Colombiano, el Banco Colpatria, el Banco de Bogotá y Bancolombia; en Perú, Banco Azteca Perú y Telefónica del Perú; en Brasil, el Banco Central do Brasil (Banco Central), el Banco do Brasil, Banco Bradesco, BTG Pactual e Itau Unibanco; en México, el Banco de México (hackeado), el Banco Interacciones, Grupo Financiero Bancomer, Scotiabank, HSBC, Banco Santander, Bursatec, Banca Afirme y Banco Monex; y en Chile, el Banco Central de Chile, Telmex Chile Internet, GTD Internet, el Banco Hipotecario de Fomento Nacional… y el Banco de Chile (hackeado).

Pero ¿quiénes son los cibersoldados entrenados por la Reconnaissance General Bureau (RGB), la agencia de inteligencia norcoreana, que se calculan entre 3.000 y 6.000, en su mayoría operando desde China, para aprovechar las mejores condiciones de su internet? Se trataría de jóvenes salidos en su mayoría de la Mirim College, de la que cada año egresan cerca de 100 expertos en elaboración y propagación de virus informáticos, hasta sistemas de orientación de armas. Parte del ejército digitalizado que le ha permitido al régimen norcoreano diversificarse en sus ingresos, por largas décadas un resultado de la producción de heroína, la impresión de facturas falsas y la falsificación de cigarrillos de marca, y que hoy se agrupan en entidades de cibersoldados extremadamente aceitadas, conocidas en la deep web como Lazarus y su unidad financiera Bluenoroff.

"En 2017, los hackers de Corea del Norte infectaron las computadoras de Microsoft en todo el mundo con un gusano conocido como Wannacry. Los dispositivos se volvieron inútiles a menos que el propietario pagara un rescate en Bitcoin para descongelar la computadora. Más de 200.000 computadoras en 150 países se vieron afectadas. Y solo en los últimos tres años los hackers norcoreanos han apuntado a los bancos y a los exchanges de criptomonedas en los siguientes países: Corea del Sur, Tailandia, India, Filipinas, Polonia, Perú, Vietnam, Nigeria, Australia, México, Japón y Singapur. En EE.UU., han ido tras Wells Fargo, Citibank y, por supuesto, la Reserva Federal de Nueva York. En total, estos atracos han recaudado unos US$650 millones en unos pocos años", dice Patrick Winn, corresponsal de Public Radio International (PRI) en Asia, en su extenso reportaje "Cómo los piratas informáticos de Corea del Norte se convirtieron en los ladrones de bancos más grandes del mundo".

Pero mientras el apetito por los bancos es un patrón en la actividad norcoreana, los integrantes de los otros grupos subvencionados por Estados más famosos y peligrosos, ligados a Rusia y China, navegan por otras aguas profundas… Para conocer más sobre estos grupos accedemos a una fuente en off de una importante empresa de ciberseguridad global, a quien llamaremos El Analista. Ubicado en una capital sudamericana, se ha especializado en advertir predictores que puedan caracterizar los ataques siguientes. El Analista nos comenta: "China no busca dinero. China es una economía sustentable, pero sí se dio cuenta de que su poderío en el ciberespacio tiene que apuntar al robo de propiedad intelectual. En julio de 2017, hubo un problema de hackeo contra la Universidad de Australia, en Canberra, lo que generó el enfriamiento de las relaciones bilaterales. Ese campus albergaba información muy importante sobre avances en defensa. La agencia de seguridad cibernética de Australia también ha culpado previamente a un servicio de inteligencia extranjero, sin identificarlo, de un ataque de malware de 2015 en la agencia meteorológica… Esto es para no creerlo, pero por algo uno ve en el escenario internacional estas alianzas de no agresión. Argentina firmó una con Estados Unidos; ahora Chile también y, finalmente, Australia terminó firmando una con China".

"Y la visión de los grupos ligados a Rusia es totalmente ofensiva, es la demostración de su poderío en la nueva dimensión de la guerra: el ciberespacio. Siempre a través de sus grupos ligados, como APT28, APT29 o Fancy Bears. Lo que tratan de decirte con sus operaciones es que tiene un poder de fuego global, sin límites", finaliza El Analista.

Y así lo demostraron los osos lujosos en 2017, cuando el malware NotPetya se extendió desde los servidores de una pequeña empresa de software ucraniana, a algunas de las empresas más grandes del mundo, paralizando en 45 segundos sus operaciones. Este ataque de bandera rusa causó perjuicios por US$10 mil millones, dañando las operaciones de compañías como Merck (reportó daños por US$870 millones), FedEx (US$400 millones), la constructora francesa Saint-Gobain (US$384 millones), Maersk (US$300 millones), Mondelez (US$188 millones) y Reckitt Benckiser (US$129 millones).

Doble golpe en México

La Unidad de Inteligencia de Mnemo-CERT (Centro de Respuesta a Incidentes Cibernéticos de la Policía Federal) lo había anunciado desde el 30 octubre de 2017. Una campaña de ciberataques, de una complejidad nunca vista en México, amenazaba a las instituciones financieras…

El informe de Mnemo -uno de los dos CERT de capital privado en México y el único especializado en instituciones financieras- fue el único aviso de alerta que advertía lo que ocurriría meses después. En el comunicado de apenas dos hojas se describía el intrincado modus operandi: los delincuentes usurpaban identidades o falsificaban información para abrir cuentas bancarias, posteriormente instalaban puertas traseras en los sistemas de infraestructura explotando las vulnerabilidades encontradas. Después, esperaban. Meses en que los atacantes definían la manera de evadir los controles de autenticación, a partir del análisis de las operaciones en los sistemas internos de la institución financiera. Finalmente, se ejecutaban transferencias no reconocidas de fondos a otras cuentas, que posteriormente las "mulas" retirarían en efectivo.

No se sabe cuánto dinero se robaron en esos últimos meses de 2017, pero no fue un golpe contundente. Algunos bancos creyeron haber vencido a los hackers, y tal vez por eso la colaboración entre las instituciones, los entes reguladores y los equipos de ciberseguridad fue escasa. Si la información hubiera fluido con mayor generosidad entre las instituciones, dice Carlos Ayala, Incident Response Manager en Mandiant, se podría haber mitigado la contundencia de los ataques posteriores.

La gravedad de estos incidentes no alcanzó a activar las alarmas dentro del sector. Fue hasta enero de 2018, después del intento de robo al Banco Nacional de Comercio Exterior de México (Bancomext), cuando las instituciones financieras se dieron cuenta del alcance que podían tener estos ataques. Si los ciberdelincuentes se hubieran salido con la suya, se habría convertido en el mayor robo (US$110 millones) en contra de una institución financiera en el mundo, a través de la vulneración de un sistema de pagos interbancarios, más grande incluso que el de Bangladesh en 2016.

Los atacantes pretendían aprovechar una debilidad muy mexicana: la modorra posvacacional. El "puente" (feriado largo) Guadalupe Reyes, como se le dice coloquialmente al periodo entre el 12 de diciembre -el día de la Virgen de Guadalupe- y el 6 de enero -día de Reyes-, había terminado el viernes anterior. La abulia parecía haber contagiado al sistema informático de Bancomext esa mañana del lunes 9 de enero: las pantallas de varias computadoras no encendían y la red corría a marchas forzadas.

A pesar de la lentitud propia de esos días, y de la cantidad de transacciones, mayor a un día normal, los trabajadores encargados de verificar las órdenes de pago emitidas por el sistema de transferencias internacionales SWIFT se dieron cuenta de cierta actividad inusual. Las transacciones de la cuenta de Standard Chartered, que Bancomext utiliza para realizar transferencias internacionales, no coincidía con las órdenes de pago. Un virus de nueva generación había permanecido por quien sabe cuánto tiempo en los servidores de Bancomext, y despertaba en un día particularmente difícil. La institución creada para promover y financiar las exportaciones en México alcanzó a detener las transferencias, suspendió por horas sus operaciones, se cerraron algunos servidores y muchos de los trabajadores fueron enviados de vuelta a sus casas. Los delincuentes, hackers norcoreanos, según varios analistas consultados por AméricaEconomía, no se pudieron llevar un peso esta vez.

La inversión en ciberseguridad por parte de las instituciones financieras aumentó drásticamente después de ese ataque. Tanto, que muchas empresas de ciberseguridad comenzaron desesperadamente a buscar capital humano para poder satisfacer a las nuevas necesidades del sector. Según la Asociación de Bancos de México (ABM), en 2018 la inversión de las instituciones financieras aumentará más de un 100%. En 2017, alcanzó US$ 150 millones.

Meses después, exactamente el 26 de abril, se detectaron nuevos ataques, una campaña similar a la de 2017, y con un modo de operar que guarda ciertas coincidencias con el ataque a Bancomext. "Arremete contra las mismas vulnerabilidades", dice Rubén Aquino, director del CERT de Mnemo, "pero es imposible asegurar en este momento que se trate de los mismos atacantes".

Los delincuentes apuntaron esta vez al sistema de pagos electrónicos interbancarios (SPEI) operado por el Banco de México (Banxico). Un sistema robusto y sofisticado a nivel mundial, por medio del cual se realizaron el año pasado 480 millones de pagos entre personas físicas y morales, por un valor de US$14.000.000 millones.

"No estamos ante un ataque a la banca", minimiza Alberto Gómez Alcalá, director ejecutivo de Citigroup. "El SPEI es como la carretera, los coches son los bancos y aquí lo que falló fue un semáforo, que en lugar de ponerse rojo dio verde, pero realmente no sufrimos un ataque a la banca".

"Lograron hackear algún tipo de software utilizado por algunos de los bancos. En estos metieron muchísimas operaciones adicionales", explica Marco Martínez Gavica, presidente de la Asociación de Bancos de México (ABM). "Es una banda, unos señores que hackean, se meten al sistema, lo adulteran y le sacan más recursos. Y luego abren cuentas en otros bancos y hay gente que va y retira en efectivo el depósito que acaba de llegar".

Un día después, Banxico emitió un escueto comunicado de prensa en el que mencionaba los "incidentes". Según un alto ejecutivo de una institución financiera, nunca se le dio la justa dimensión a lo que realmente estaba pasando: un ataque cibernético de alta complejidad. Pasaron días antes de que Banxico pidiera a los bancos cambiar a una conexión alterna. A mediados de mayo, ya eran cinco las instituciones financieras afectadas. Los hackers se fueron esta vez con unos US$ 15 millones, hasta donde se sabe, ya que la opacidad y la falta de colaboración en cuanto al flujo de la información es un lugar común en este sector. "El principal bien que maneja una institución financiera es la confianza y la reputación", sentencia Mario Isla, director de Negocios de Mnemo. "Cualquier tipo de reconocimiento de que algo puede estar ocurriendo puede ser muy perjudicial para el negocio. Por eso es muy común que se caiga en ese secretismo que solo beneficia a los delincuentes", recalca.

Tal como en Chile, los ataques de abril han movilizado al sector financiero mexicano en contra de la ciberdelincuencia como nunca lo había hecho. Tan solo unas semanas después de los eventos la Secretaría de Hacienda, el Banco de México y la Comisión Nacional Bancaria y de Valores (CNBV), y las principales instituciones financieras del país, firmaron un convenio de seguridad y se definió un protocolo de ciberseguridad adicional a la Estrategia Nacional de Ciberseguridad, publicada apenas a finales de 2017.

La cooperación parece estar fluyendo de una manera más eficiente. En una reunión reciente de la Asociación de Bancos de México (ABM), se anunció que un grupo de 18 bancos está trabajando para fortalecer la colaboración entre los bancos y especialmente al SPEI. "Nuevos códigos y protocolos de comportamiento frente a cualquier alerta permiten una comunicación en tiempo real entre los operadores de los bancos y Banxico", dice Martínez Gavica. "Cuando algún banco detecta alguna anomalía o probabilidad de evento, lo comunica inmediatamente a sus colegas; está funcionando", destaca.

Pero la inminencia de un nuevo ataque es cuestión de tiempo, advierte Carlos Ayala, Incident Response Manager en Mandiant. "Las soluciones, en la mayoría de los casos, son muy tecnológicas y poco estratégicas. Son esfuerzos aislados. Va a llegar el momento en que pase algo crítico, algo importante como pasó en los últimos meses, y no estamos preparados. Se trabaja en parches (para los softwares), se subsanan cuestiones operativas que no tienen el suficiente impacto que se requiere, pero no se invierte casi en la estrategia, como se debería”, enumera.

Remediar más que prevenir

Un reporte de WEF destaca que los ciberataques son la mayor amenaza humana que enfrena la economía global. Y si el dinero es el objetivo de los cibercriminales, claramente la banca es su cliente primordial. Esos antecedentes atemorizantes deberían estar más presentes en la banca regional, de ese modo se podría dar un golpe de timón a la estrategia conjunta en ciberseguridad.

"Ya no es un atraco a mano armada, es casi un crimen perfecto y muy barato", dice en exclusiva para AméricaEconomía Daniel Dobrygowski, gerente de Gobernanza y Políticas del Centro para Ciberseguridad (C4C) del Foro Económico Mundial (WEF). "(Con este procedimiento las mafias) obtienen mucho dinero, sin violencia ni peligros asociados y la mayor parte del tiempo no se pueden capturar, porque se mueven y transfieren constantemente los fondos robados", resume.

Y por supuesto, el dinero jamás se recupera.

Como ejemplo pone al grupo Money Taker, una banda criminal activa desde 2016 que estaría ligada a la mafia rusa y que alcanzó notoriedad cuando atacó una serie de bancos, firmas legales y hasta desarrolladores de software financiero en los Estados Unidos, Reino Unido y la misma Rusia. Y en el caso de uno de los bancos estadounidenses atacados, fue en al menos dos ocasiones distintas, de acuerdo con la empresa rusa de ciberseguridad Grupo-IB.

El problema es que ya no se trata solo de "tomar el dinero y huir con él". Como el mismo Dobrygowski destaca, la peligrosa tendencia detectada por analistas de seguridad y el mismo WEF es que las bandas "están robando información bancaria y financiera sobre cómo funciona el sistema de pagos y transferencias: literalmente roban los manuales internos (de bancos), aprendiendo cómo explotar a su favor la forma en que se mueven las transferencias de dinero desde EE.UU. a países de Latinoamérica".

Al parecer, aventura, estos grupos consideran menos protegido el sistema bancario sudamericano que el estadounidense. Podemos aventurar que el ataque a dicho sistema sería tan perfecto como perverso, porque las transferencias principalmente son realizadas por inmigrantes -no siempre legales- que envían dinero a sus parientes en países latinos.

Por eso tanto en ENISA, la Agencia Europea de Seguridad de las Redes y la Información, como en el WEF destacan -y como también afirma un reciente análisis de ciberseguridad en la banca realizado por Boston Consulting Gobal (BCG)- la relevancia que pueden jugar, por ejemplo, los terminales de la red de validación SWIFT, que posee un programa de seguridad al cliente (vía de ataque en el caso de Banco de Chile, también en México contra Bancomext, y en Ecuador contra Banco del Austro). En este, la firma pide a las compañías con las que se relaciona proteger y asegurar su ambiente local, prevenir y detectar el fraude en sus relaciones comerciales y compartir información. SWIFT no respondió a las consultas de AméricaEconomía para este reportaje.

En cualquier caso, debe tenerse en cuenta que el negocio bancario requiere, en algunos casos, determinados tratamientos que necesitan garantías adicionales, tales como los scoring o la inclusión de datos de carácter personal en ficheros de incumplimiento de obligaciones dinerarias. Por este motivo, la Agencia Española de Protección de Datos ya ha publicado informes jurídicos dando respuesta a algunas dudas y/o cuestiones planteadas por la Asociación Española de la Banca. "De igual modo, a nivel de la Unión Europea se están evaluando y regulando las implicaciones de la normativa de protección de datos en materias como el blanqueo de capitales y la normativa de servicios de pago -regulatory technical standards", complementa García del Poyo. Todo esto, por supuesto, adicional a la labor de organismos como Interpol o Europol, a cargo de la detección y seguimiento de las bandas criminales.

En marzo de este año, WEF anunció la creación de un consorcio de ciberseguridad para empresas fintech, pero eso es apenas un décimo de lo que la institución de Davos se propone en el plano de la ciber-resiliencia. Su misión actual y para los próximos años es construir coaliciones en torno a los tópicos de ciberseguridad. "Para la región (latinoamericana) tenemos un Memorando de Entendimiento, un acuerdo con la OEA para construir capacidades en ciberseguridad, enfocados en el sector financiero y más precisamente en cómo ayudamos a apoyar el sistema económico global. Y lo haremos juntando a socios del sector privado con gobiernos y organizaciones no gubernamentales internacionales", detalla Dobrygowski.

De acuerdo con el reporte de BCG y QuoScient, "El Punto Ciego de la Ciberseguridad en los bancos: y Cómo Arreglarlo", de agosto 2018, la banca está bajo el constante ataque de cibercriminales. A pesar de ello, el sector en general no contaría con las capacidades operacionales y la resiliencia que proporcionaría una adecuada protección. El problema se reduce a que tiene un limitado entendimiento de sus fortalezas clave y poca comprensión respecto de las amenazas que está enfrentando. Todo esto se ve empeorado por la escasez de talento. Y es por eso que, el sector en su conjunto, debería tomar medidas concretas para enfrentar la amenaza que supone tanto para consumidores, los mismos bancos y el sistema financiero como un todo.

Según el análisis, buena parte de eso parte por reconocer el problema como un riesgo del sector y no como un tópico exclusivo del equipo TI. Con ese enfoque, cualquier respuesta debe ser tanto estratégica como operacional, avanzando hacia incorporar la ciber-resiliencia dentro del modelo operacional. De forma simultánea, la banca deberá incorporar la tecnología y el recurso humano necesarios para monitorear, detectar, y especialmente, responder a los ataques de forma constante. Esa sería la única forma, según el análisis, ya que en la era de la banca digital los ciberataques solamente crecerán en cantidad y calidad.

En uno de sus acápites, el estudio además explica que el foco deberá cambiarse, desde el trabajo para evitar ciberataques hacia la contención y rápida superación de estos. Podría sonar cínico y hasta derrotista, pero tal como dijo el ex director del FBI, Robert Mueller, "las instituciones se dividen entre aquellas que han sido hackeadas y aquellas que todavía no saben que han sido hackeadas". Una máxima bajo la que se rige la empresa de seguridad informática Forcepoint. Con presencia en América Latina y los EE.UU., combina distintos softwares de detección con un trabajo de profiling en cada empresa, ya que una de sus máximas es que usualmente el factor humano es el que posibilita los ciberataques. "Hemos desarrollado tecnología para manejar temas de filtración de datos, usuarios maliciosos, usuarios comprometidos por terceras partes, conductas ilícitas y conductas negativas. Esto complementa a las actividades detectadas por las tecnologías tradicionales y nos entrega el contexto necesario para analizar los comportamientos de los usuarios y revisar si nos encontramos con irregularidades", explica Lukas Alarcón, Forcepoint Consulting Engineer. En la firma son enfáticos en señalar que los grandes robos generalmente son con ayuda o complicidad interna, hasta en un 80%. No solo eso. También afirman que a nivel de la banca regional se han conocido casos donde se trabaja con herramientas obsoletas, desde lenguaje de programación Cobol (creado en 1959) a Windows XP (sistema operativo de Microsoft lanzado al mercado en 2001), y que su defensa se basa en contar con sistemas de antivirus.

Las brechas que se abrieron

Pero también la ansiada transformación digital ha abierto rendijas por donde los especializados ciberatacantes se cuelan para robar. Atributos transversales a la banca latinoamericana y ampliamente potenciados por el marketing para atraer clientes, como home banking, el desarrollo de apps para clientes; o procesos administrativos, financieros y contables de los bancos en ambiente cloud, la abundante tercerización de sus procesos y el trabajo remoto o bring your own device, son algunos de esos avances que contienen al mismo tiempo ingentes riesgos para la ciberseguridad.

A juicio de Andrés Pérez, director regional de Ventas en Fortinet para Chile, Perú y Ecuador, "la movilidad y la transformación digital cambiaron el juego. Ahora las personas se conectan desde cualquier parte y en cualquier momento". Un punto con el que concuerda Eric Herson, consultor principal en prácticas inteligentes de seguridad global en SAS: "La economía digital, que es parte de la revolución móvil, ha sido un gran disruptor y nos ha obligado a ver todo de una nueva manera", reconoce.

El directivo en Fortinet, ingeniero en soporte y con 20 años de carrera en la ciberseguridad, aclara sin embargo que la inversión en TI de los bancos es muy alta, pero gran parte está enfocada en la usabilidad y experiencia de usuario (movilidad, acceso, portabilidad), no en la seguridad.

En el caso de Chile, por ejemplo, según reveló el Superintendente de Bancos e Instituciones Financieras del país, Mario Farren, en 2017 la banca invirtió en ciberseguridad CL$38.968 millones (unos US$57 millones), un 0,5% de los resultados operacionales brutos del sistema, cifra que aumentaría en 58% a CL$60.961 millones (unos US$89 millones) este año. Sin embargo, el monto no es alto considerando la inversión total en Tecnologías de la Información de la banca chilena, pues en 2017 esta cifra alcanzó los CL$634.994 millones (unos US$929 millones), con proyecciones de aumentar en 16% para 2018.

De esta forma, las nuevas herramientas tecnológicas -que suponen una mejor experiencia de servicio para los clientes- abrieron a su vez una brecha de seguridad preocupante. Tendencias como bring your own device, que invitan a trabajar con el dispositivo propio, son un ejemplo de esto. "El desafío es poder llevar la seguridad lo más cercana al punto de conexión del usuario, porque ya no vas a poder controlar cada uno de los dispositivos que las personas utilizan, entonces, lo que hay que poner son políticas de seguridad y protección", advierte Pérez.

Nicolás Corrado, Socio Risk Advisory en Deloitte, aporta con una escena cotidiana que grafica el riesgo constante de estos avances: "Cuando hablo con los directorios, las preguntas que a veces les hago son: ¿ustedes tienen un iPad o una tablet? ¿Tablet o tiene celular? ¿Tienen los emails ahí, trabajan y leen sobre eso? Cuándo su hijo o su nieto le pide algo para jugar, ¿qué le da? ¿El celular o la tablet? Entonces, ahí la barrera se rompió, porque el hijo o el nieto conoce mucho y empieza a bajar juegos, y hay muchos juegos que tienen virus o cosas o malware adentro… ese es el gran problema, por ejemplo, con Android, y que a veces también lo sufre Apple, que le meten un software no validado muy bien, y tienen unas vulnerabilidades, un caballito de Troya para destruir".

La portabilidad de dispositivos también quedó en entredicho con las fuerzas armadas estadounidenses, recuerda Corrado. Al contingente militar le prohibieron usar los relojes inteligentes durante campañas, "porque se dieron cuenta que podías ver luego la concentración de efectivos haciendo ejercicios en África, lo que era relacionable con un campamento militar. Ahora está prohibido portarlo cuando estás desplegado… Puedes decir que ese reloj solo me está viendo las pulsaciones, pero en realidad podría impactar en una estrategia militar de un país".

También avances como la banca móvil y el uso de big data complican procesos que solían ser más simples para las entidades bancarias. "La banca móvil es un gran desafío, porque se basa en la ubicuidad de estos equipos. Y los bancos deben asegurarse que eres tú quien está al otro lado de la transacción, y eso requiere mucha más data de la que como banco o empresa de seguros vas a poder manejar (...) Resolver el problema requiere data de terceros. Hace unos años resolver esto estaba en manos de la misma organización, pero hoy no puedes hacerlo", advierte el consultor de SAS.

Andrés Pérez añade otro cabo suelto: el exceso de proveedores de ciberseguridad para la banca. "Una de las cosas que nos pasó y que fue gran autocrítica para nosotros mismos, es que la seguridad creció de manera inorgánica; crecía a medida que aparecía una vulnerabilidad. Entonces, dábamos seguridad a equis sistema y aparecía un ataque nuevo que no lo podías detener con lo adquirido antes. O sea, se ponía un dispositivo nuevo; era como poner una cajita al lado de otra".

En esta línea, el experto de Fortinet nos cuenta que hoy en día es muy común que cualquier empresa tenga por lo menos 16 dispositivos de seguridad, cada uno con sus respectivas consolas de administración y, alarmantemente, provista por diferentes compañías, ya que los proyectos se licitan individualmente. "A eso me refiero con crecimiento inorgánico", recalca. Por eso, aboga por una nueva gobernanza de seguridad, capaz de mirar el panorama completo. "Eso es lo que hoy no existe y estamos al debe como industria: las empresas de seguridad en muchos casos se preocupan de vender productos aislados para atender una necesidad o problema puntual", lamenta.

Julián Dana apunta también que ante lo complejo que se ha vuelto este nuevo entorno, donde casi todo se digitaliza, los proveedores de distintos servicios del banco pueden ser una puerta de entrada para los atacantes. "Hemos visto a muchas empresas atacadas por sus redes o conexiones de terceros", revela.

El profesor Zac Rogers, de la Universidad de Colorado, y Thomas Y. Choi, director ejecutivo de CAPS Research, quisieron medir esta problemática, y realizaron una investigación sobre la recurrencia de los ciberataques a través de los departamentos de compras. "Nuestra investigación indica que más del 60% de los ataques realizados en 2017, contra firmas estadounidenses que cotizan en bolsa, se lanzaron a través de los sistemas de TI de proveedores y otros contratistas, en comparación con menos de una cuarta parte de los ataques en 2010. Algunos de los ataques de alto perfil contra grandes compañías, incluyendo Equifax, Netflix, Best Buy y Target, ocurrieron de esta manera", afirman en un artículo publicado en Harvard Business Review.

Pero no siempre podemos adjudicarle toda la responsabilidad de la vulneración a los cibercriminales. Aunque es cierto que cada vez especializan más sus técnicas con ataques dirigidos y adaptados, el factor interno, humano, suele ser origen de varios dolores de cabeza. Tony Anscombe, conferencista global de ESET, nos cuenta que las fallas e infecciones típicas empiezan por los empleados, porque caen en ingeniería social desarrollada específicamente. "Así, ya no es algo de infectar tres millones de máquinas en algún lugar, sino que en infectar diez máquinas en una organización que me pueda generar alguna ganancia económica. Hay una gran diferencia en el por qué o la forma en que la gente es atacada", cuenta.

Por otro lado, los clientes también deben ser informados sobre los peligros de este tipo de ataques. "El eslabón más débil son los propios cuenta correntistas que no necesariamente tienen conciencia del autocuidado digital y que pueden entregar sus contraseñas y/o información personal sin darse cuenta de que son víctimas de una campaña de phishing dirigido o de ingeniería social", comenta Patricio Villacura, Sales Specialist Symantec Chile.

Es por esto que, abordar estas amenazas apostando todo en una sola carta, como la tecnológica, no es la solución. La educación interna y una visión administrativa y de negocio conforman un mix que parece necesario, pues todo indica que los ataques seguirán.

Para Andrés Pérez, aún nos encontramos en una fase primaria de ataques, con daños altos mediáticamente, pero acotados en lo sustancial. "Existe un punto de quiebre en la seguridad cuando Shadow Brokers (poderoso grupo de múltiples nacionalidades de ciberatacantes) entregó información extremadamente relevante de la NSA sobre cómo hacer hacking de herramientas e información confidencial de muchas compañías a nivel mundial. Esto fue para nosotros un cambio de juego tan grande, que nos dice que tenemos que empezar a protegernos de forma distinta", concluye.

Hacia la resiliencia de la UE

Quien lleva leguas de ventaja en la estrategia de protección es el Viejo Continente. Europa no está a salvo del cibercrimen. Por el contrario, el caso de Estonia -ver recuadro- y los espectaculares ataques NotPetya -dirigido a desestabilizar a Ucrania, pero que terminó infectando a medio continente- y Wannacry, y el menos sensacional ataque de Bad Rabbit, a principios de octubre de 2017, dejaron a varias empresas afectadas… y a los usuarios un poco paranoicos. Pero ese temor constante ha dado paso a una resiliencia de la que debería aprender América Latina.

"Lo único seguro es que seguirán ocurriendo más ataques de este tipo y cada vez más sofisticados, porque hay organizaciones criminales detrás de esto que tienen el mismo nivel de desarrollo de software que la industria más avanzada, y su objetivo primordial es el dinero". Así de descarnado lo plantea Steve Purser, jefe de Operaciones Principales en ENISA, la agencia de la Unión Europea para la seguridad e información en red, al hablar con AméricaEconomía. Desde esa agencia, con sede en Grecia, es que se han impulsado las principales regulaciones y acciones sobre cibserseguridad para el conglomerado de naciones europeas. Gracias a eso, hoy la UE tiene en cierto sentido la delantera legal: una directiva para ciberseguridad denominada NIS, desde 2016, y otra específica para la seguridad de las transacciones electrónicas de dinero, llamada PSD2, desde enero de este año (y que reemplazó a la PSD1, de 2009). A ellas se une la reciente Ley de Protección General de Datos (GDPR por sus siglas en ingles), que tomó cuatro años de discusiones y otros dos en implementarse, desde su promulgación en 2016. Este 25 de mayo empezó a regir y, aunque ha generado más inquietudes que certezas, debido a que abarca todo el espectro de empresas que manejan datos -todo tipo de datos, excepto legales, militares, científicos y de menores de edad- y que contempla multas altísimas que bordean los 10 millones de euros o el 4% de las ganancias anuales de la empresa si se detectan fallas de seguridad, se mira como el estándar al cual otras naciones y bloques deberían aspirar en términos de protección ciudadana de datos y privacidad.

"La GDPR ha tenido un enorme impacto en todos los sectores de la sociedad (europea)", dice Samuel Martínez, abogado de la firma legal española Osborne-Clarke. "Algunos alaban con acierto las nuevas garantías que frece a las personas físicas respecto al control de sus datos y el uso que pueden hacer de ellos las entidades con las que establecen relaciones (…) pero no siempre el cumplimiento de las nuevas obligaciones por parte de las empresas se ha efectuado de manera ordenada y adecuada", matiza.

Dado que es una regulación que se aplica a todas las empresas, sin distinción de sectores, y con base en la tradición anglosajona, la GDPR "en lugar de delimitar los medios específicos para cumplir con las obligaciones impuestas, establece un principio de accountablity por el que los sujetos obligados deben autoevaluar de manera regular su adecuación y cumplimiento", precisa el también abogado Rafael García del Poyo. En ese sentido, se aleja de leyes de ciberseguridad y protección de datos como la que se discute en España, por ejemplo, que es más extensa y específica, con disposiciones más concretas sobre niveles de seguridad informática y de redes, funciones del regulador y sistemas de respuesta ante incidentes, explican desde el estudio de abogados. También Suiza, Estados Unidos y Australia trabajan en incluir normas que otorguen protección y garantías a los ciudadanos en materias de protección de datos personales, aunque Estados Unidos sufrió un golpe mayor cuando en mayo de este año Donald Trump decidió eliminar el rol de coordinador de ciberseguridad y los proyectos en los que estaba trabajando. "Pero no han alcanzado el estándar mínimo de cumplimiento de la GDPR", explican los abogados.

Por ahora, según aventura un informe de predicciones de seguridad informática de la empresa Forcepoint, para 2018, todas las empresas europeas o internacionales con operaciones en Europa, como Google o Amazon, miran con atención la GDPR, esperando que ocurra el primer y temido fallo de seguridad. Solo así podrán analizar el comportamiento del regulador y las medidas correctivas que aplique luego aquella empresa pionera que, obviamente sin quererlo, sufra una fuga de datos.

De esta manera, comenta el informe, sabrán a qué atenerse y cuál es la vara con que mide y sanciona la autoridad el tema.

Colaboración entre actores

Las directivas, leyes e instituciones que existen o se estudian en la UE en el ámbito de ciberseguridad y protección de datos responden al ansiado plan de contar con el denominado Mercado Único Digital para el bloque hacia 2020. Un camino que pretende mejorar la competitividad futura de la Unión Europea, y que tiene a la ya mencionada ENISA como uno de los entes articuladores.

La institución tiene como mandato la ciberseguridad, exceptuando los tópicos propios de inteligencia, policía y militar. Para ello está constantemente publicando estudios o papers, sistematizando mejores prácticas, y por supuesto, prestando apoyo y sustento para políticas y regulación en la materia. Así, ENISA se autodefine como un hub de información en la materia, a pesar de que no cuenta con más de 60 integrantes fijos y tiene un presupuesto más bien modesto de 11 millones de euros anuales. Su rol por ahora ha sido más de coordinación que de ejecución, explica Steve Purser, de ENISA, quien destaca orgulloso la que ha sido su mayor tarea hasta el momento: la organización de los ejercicios de ciberseguridad de la UE. "Posiblemente es el mayor ejercicio del mundo en su tipo, donde confluyen 20 países, entre gobierno, sector privado y académico, para jugar en un montaje bastante elaborado, donde se deben resolver problemas de ciberseguridad bajo un ambiente de presión, tal como sería en un ciberataque real", describe.

Este simulacro toma dos o tres días, no hay computadores funcionando, se actúa como si no hubiera red, se organizan procedimientos y protocolos de comunicación y sistematización. "Tomamos en cuenta distintos escenarios para realizar las comunicaciones", explica Purser con cierta satisfacción, y agrega una conclusión que debería envidiar la banca latinoamericana: "aunque no puedo entrar en detalles, sí puedo decir que estos simulacros nos sirvieron para enfrentar mejor los ataques de NotPetya y Wannacry".

Porque para el oficial de Operaciones la clave de este éxito ha sido la colaboración entre actores. No solo las policías cooperan entre sí, como la Interpol con Europol y fuerzas policiales locales. Gracias al tratado de Lisboa (2009), y con la conciencia de que el tema de ciberseguridad y ciberdefensa es transfronterizo, tal como el alcance de los ciberataques, la UE trabaja sobre una estrategia de seguridad interna, donde ENISA coopera con el centro europeo del cibercrimen, con el CERT-UE, el CSIRT, el Centro Europeo del Cibercrimen (EC3), además de las denominadas red de comunicaciones y la red de cooperación. "Todos estos organismos, en distintos grados y tiempos, toman acciones y dictan políticas en torno al mismo tema, y con nuestra ayuda se comparte la información de modo que lo que tiene una institución lo tendrá otra, y que el aprendizaje al que llega un Estado miembro llegue en el menor tiempo posible a los otros 19", recalca Purser.

Pero el rol de ENISA podría crecer. Así lo desea el presidente de la Unión Europea, Jean Claude Juncker, quien ha abogado porque la agencia de la Unión Europea para la seguridad e información en red tenga también la potestad de tomar más decisiones y posea un marco regulatorio ad hoc, donde tanto NIS como PSD2 y GDPR juegan un importante rol, y el establecimiento de un Plan Maestro (Blueprint en el original) para responder a incidentes y crisis de ciberseguridad a gran escala, junto con un centro europeo de investigación y competencias en ciberseguridad. En última instancia, se aspira a que exista una certificación común para productos y servicios IT.

Estos objetivos no están para nada desalineados con el sentir ciudadano: en la encuesta Eurobarómetro de 2017, el 87% de los entrevistados consideró que el cibercrimen es una amenaza para la seguridad interna de la UE, en tanto que el número de ataques globales creció en 300% desde 2015, con un 80% de compañías europeas afectadas.

El plan es completamente ambicioso, abarcando desde la capacidad de respuesta ante ciberataques, la creación de leyes criminales y capacidades de acción de policías y, en última instancia, en la creación de una "cibercapacidad global", que involucraría asistencia europea a naciones en desarrollo y la cooperación en tópicos de ciberdefensa con la OTAN.

Un plan ambicioso que ya está en conocimiento de Jorge Atton, el paladín de la presidencia chilena con ojos de sueño, y de otros líderes latinoamericanos que tendrán que acostumbrarse a los nuevos tiempos de la ciberseguridad y la ciberdefensa, esos en que un líder tan lejano, pero tan mediático como Kim Jong Un, podría ser el responsable de que una tropa de cibersoldados vulnere la seguridad del laptop de la oficina que esta semana se te ocurrió llevar a casa.

*Las instituciones que fueron consultadas por AméricaEconomía para este reportaje y que declinaron participar son: Asociación de Bancos e Instituciones Financieras de Chile, Banco de Chile, Scotiabank, Banco Itaú, Banco BCI, Cámara de Comercio de Santiago, Estado Mayor Conjunto de Chile, Banco del Austro (Ecuador) y SWIFT.

**Este reportaje contó también con la participación de los periodistas Daniela Zárate, Héctor Cancino, Gastón Meza, Cristian Aránguiz, Laura Villahermosa y Natalia Vera.

Mario Farren, superintendente de Bancos e Instituciones Financieras de Chile:

“La Superintendencia no va a definir de quién depende el gerente de Ciberseguridad”

-¿Cuál fue su reacción al llegar al cargo, el tema de ciberseguridad era un tema destacado dentro de las conversaciones del sector o no existía?

-El tema de tecnologías de la información es un tema bien importante y la banca chilena está al tanto de eso; digamos que existe conciencia de que los servicios financieros se van a dar en el terreno de las tecnologías de la información... Y nosotros como superintendencia tenemos un asunto, un tema, y que se refiere a lo que hemos llamado el acceso y la portabilidad, fundamentales para la estabilidad financiera. Que la gente tenga acceso a su dinero de manera oportuna, de manera segura, todo el tiempo, 24/7...

-¿Pero era un lineamiento (ciberseguridad) compartido con la industria cuando usted llega o era un tema reactivo?

-Sería injusto decir que este no era un tema. Sí era un tema, y era un tema que tenía varias dimensiones, y una era esta que le menciono: como ventaja comparativa, como estrategia en el concepto de negocio, por el aumento del acceso y la portabilidad… Indudablemente los acontecimientos de mayo cambiaron la velocidad con la que estos temas se venían trabajando.

-¿Cuál es el antes y el después del ánimo grupal, cuáles son las primeras enseñanzas del sector?

-Ya hay bancos que están adelantando planes de modernización, cajero automático, cambio de tarjetas bancarias magnéticas a chip; hemos estado trabajando con los bancos también para aumentar la seguridad con la que operan los medios de pagos de alto valor, SWIFT por ejemplo. Hemos estado trabajando también en perfeccionar la normativa respecto de la información sobre los incidentes. Desde enero de este año las instituciones tienen que reportar inmediatamente los incidentes. Entonces, hemos estado, bueno, haciéndola cumplir y perfeccionándola en el sentido de la información que nos están entregando los bancos.

- ¿Eso estaba vigente desde enero?

-La norma existe desde este año, lo que hemos estado trabajando con los bancos es el concepto para perfeccionar el contenido de la información (…) Nosotros vamos a asegurarnos de que la herramienta exista, para que compartan esta información que es un elemento muy importante. Desde el primer minuto en que ocurrieron estos incidentes se ha hecho hincapié en que compartan la información. Hay información estratégica que con toda seguridad no la tienen que compartir los bancos y eso es practica internacional, pero hay información que sí es importante que se comparta y que se comparta inmediatamente.

-Se trata de una industria que ciertamente es muy secretista, muy sigilosa…

-Efectivamente la práctica internacional dice que los bancos no necesariamente comparten información sobre el efecto que pudo tener (un ataque), en particular. Pero todo lo demás, respecto a si es virus de malware de día cero (inédito), si es un mal software, decir si están disponibles los parches (para el software), toda esa información, sí se comparte. Entonces, lo que hemos venido haciendo con los bancos es avanzar en medidas de modernización de instrumentos de comunicación con la Superintendencia, entre los bancos, y la forma en que se comunican los bancos con los clientes.

-¿Usted va a tratar de promover que se cree una división de ciberseguridad en todos los bancos?

-No, lo que pasa es que, eso tiene que ver directamente con el cómo, es decir, cada institución, las instituciones digamos, son las que tienen que definir sus estrategias de negocios y sus estrategias organizacionales. La superintendencia no coadministra las instituciones y, por lo tanto, no va a llamar a definir exactamente de quién depende el gerente de Ciberseguridad. Lo que sí obviamente nos interesa es que existan procesos, que exista definición de procesos críticos, que existan controles compensatorios, que se testeen; que exista claramente una distensión entre la primera, la segunda y la tercera línea de defensa de las instituciones… Ese es el enfoque que nosotros tenemos y esa es la forma en que esperamos que se manejen las instituciones.

-La Superintendencia es consciente de que tecnologías como home banking, las aplicaciones; todo este tipo de nuevos accesos también son a su vez riesgos en relación con los nuevos atacantes, tremendamente versátiles y algunos con financiamiento casi limitado? ¿Son conscientes de aquello que está al frente?

-Tenemos consciencia porque hemos hecho una diligencia importante y nos hemos reunido con reguladores de Colombia, de EE.UU. Hemos hablado con instituciones globales, regionales y estamos conscientes del peligro (...) Estamos conscientes de los peligros, conscientes de la tarea que tenemos por delante para asegurar que tenemos un sistema confiable, un sistema en el cual los usuarios tienen acceso a su dinero en forma permanente, segura, oportuna.

Estonia: de ultradigital y ultrahackeada, a cibersegura

Psicosis. Esa es la palabra que usa Marten Kaevats, Encargado Nacional del Plan Digital de Estonia (el país más digitalizado del mundo), para definir el ataque cibernético sufrido en 2007 y que paralizó a la nación por una semana. Y si la transformación digital es una meta ineludible para los procesos industriales (los bancos incluidos) y los Estados, el caso de esta república báltica es un ejemplo notable de cómo se puede pasar de ser ultra digitalizado… a ultra hackeado por el nuevo perfil de los cibercriminales.

Estonia, el país de 1,3 millones de habitantes, emergía digitalmente tras romper vínculos con la era soviética, construyendo una multiplicidad de servicios online para que sus ciudadanos pudieran pagar impuestos, pedir una receta médica o votar (el país realizó el primer escrutinio online en 2005) a través de un computador de uso sencillo en casa. Pero esta meta país casi naufraga cuando un grupo de hackers informáticos rusos dejaron en negro las plataformas web oficiales del gobierno, sembrando el pánico en la población. En pocos segundos, el país en ese entonces más digital de Europa se veía forzado a regresar a la década de los 80, teniendo que usar el fax y los teléfonos residenciales como sus vías de comunicación principal.

Danic Maldonado, comisario de la Brigada Investigadora del Cíber Crimen Metropolitana de la Policía de Investigaciones de Chile, fue un testigo privilegiado de esa semana caótica. "Se dice que habría sido (el ataque) originado por la determinación del gobierno estonio de mover el Monumento para los Libertadores de Tallin", contextualiza, refiriéndose a la mítica escultura de un gran soldado de bronce con la cabeza gacha, instalado por autoridades soviéticas en 1947 y que se ubicaba en el cementerio de la homónima ciudad. Pero simbólicamente no se trataba de cualquier escultura. Representaba nada menos que la victoria de los soviéticos sobre los nazis, sin embargo, en pleno siglo XXI, para los estonios que reivindicaban su autonomía también significaba seguir amparando la invasión rusa. Así que razones tenían los grupos de ciberataque subvencionados por Rusia para estar rabiosos, y a partir del 27 de abril, se desató la guerra.

Tal como recuerda Kaevats, la primera reacción fue la psicosis, aunque una semana después se dio el espacio de resiliencia necesario para romper la parálisis y comenzar a levantar los servicios con una seguridad basada en blockchain, tecnología encriptada que permite la realización confiable y segura de cualquier tipo de transacción, entre dos o más personas, sin la necesidad de intermediarios, a través de internet.

Maldonado también recuerda los cambios paulatinos: "Estonia, a partir de esa época, comenzó a crear un centro de ciberdefensa. Hoy en día, además, ha generado campañas para proteger la sociedad digital, haciendo énfasis en transparentar los hechos cuando existe algún tipo de incidente cibernético", resalta.

Actualmente en Estonia, aclara Kaevats, no todos los datos públicos están integralmente alojados bajo tecnología blockchain, pero se utiliza la innovación con fuerza, debido a que hasta ahora no se ha logrado hackear y se cree en su eficacia para respaldar gran parte de los registros que se manejan. Es que una de las principales lecciones de los estonios, luego del ataque ruso, es que "nunca hay que poner todos los huevos (datos) en una misma canasta", como afirma su encargado de planificación digital.

Consecuentes con esa idea es que próximamente abrirán la primera embajada de datos del mundo, fuera de casa, con sede en Luxemburgo, con el objetivo de proteger sus servidores para cuando haya una contingencia que les impida operar desde suelo estonio y, así, seguir sirviendo a sus ciudadanos como si nada hubiera pasado.

"Estonia es hoy el anfitrión del Centro de Excelencia Cooperativa de la Ciberseguridad de la OTAN y de la Agencia de la Unión Europea para los sistemas informáticos de gran escala, en el área de seguridad interna. Hemos aprendido nuestra lección de ciberseguridad", cuenta Kaevats con orgullo, y añade que "Estonia es hoy un país más amable para vivir. Es un país que simplifica tu vida diaria, si se lo quiere analizar en materia burocrática".

¿Qué se viene para Estonia? La Inteligencia Artificial (IA) es el siguiente paso para el "país electrónico", y ya están investigando las posibilidades en las que pueden aplicarla, obviamente, siempre resguardados por políticas macro de ciberseguridad. "En estrecha asociación con nuestros organismos de ciberseguridad y con otros aliados internacionales", condiciona Kaevats, ya que "por ningún motivo queremos volver a estar offline".