Banca & FinTech

Microsoft y ciberataques a la banca: “Es difícil pero no imposible determinar de dónde es el atacante”

El director de asuntos legales de la firma tecnológica, Alex Pessó, aborda los desafíos y brechas del sector tras el ataque sufrido por BancoEstado.

Por: Daniel Vizcarra | Publicado: Martes 20 de octubre de 2020 a las 04:00 hrs.
  • T+
  • T-

Compartir

Imagen foto_00000002

Uno de los temas que sacudió a la industria financiera en 2020 fue el ciberataque que sufrió BancoEstado, que le impidió incluso abrir sus sucursales el primer lunes de septiembre.

Una de las firmas que contrató el banco para analizar el evento fue Microsoft, que tiene como encargo la elaboración de un informe forense para detectar cómo ingresó el virus en sus sistemas.

En entrevista con DF, el director legal de la filial local de la compañía tecnológica, Alex Pessó, sostiene que, con la actual normativa, desde el punto de vista legal, es complejo dar con la fuente del ataque, sobre todo en situaciones donde no hubo un perjuicio patrimonial, tal como ocurrió con BancoEstado.

“Definitivamente las normas no están actualizadas. Las ley que tenemos, sobre todo la de delitos informáticos, es de 1993, y la tecnología que había en ese año no tiene nada que ver con lo que ocurre hoy. Por lo tanto, el problema es serio y lo estamos viviendo todos los días, cuando vemos que hay dificultad para perseguir los ataques informáticos que se han ido multiplicando en el tiempo”, dice Pessó.

- ¿Entonces, las acciones legales que persiguen este tipo de ataques están destinadas a fracasar?

- Efectivamente, hoy se necesita tener herramientas para que se puedan realizar investigaciones con mayor amplitud y prontitud. Diría que es difícil, pero no imposible, llegar a determinar de dónde es el atacante.

- ¿De qué depende?

- Hay que distinguir entre los ataques en que efectivamente se produce un daño patrimonial, es decir, un daño económico y aquellos en que no existe este perjuicio. En los que se produce un daño patrimonial la pista muchas veces va por el lado de cómo se va a descargar ese dinero, por dónde sale éste. Ahí es más fácil a veces encontrar el hilo. En casos donde no hubo daño patrimonial es más difícil determinar al atacante.

- En BancoEstado la administración aseguró que no hubo daño patrimonial.

- Exactamente. En estos casos se puede llegar a determinar por dónde entró el atacante, cuándo y a través de qué lugar, pero no necesariamente ese momento va a ser el único. Puede que anteriormente el atacante haya estado, haya borrado su huella y no se lo pueda detectar.

- ¿Ya se emitió el informe que solicitó BancoEstado?

- Ese tema lo está manejando Microsoft Corporation desde Estados Unidos y se entiende directamente con BancoEstado. Nosotros tenemos acuerdos de confidencialidad con el banco y en estos temas tan sensibles no podemos entregar más información que la que el mismo banco esté disponible a dar, salvo que el día de mañana tengamos algún requerimiento judicial, en cuyo caso obviamente que vamos a tener que cumplir con estos.

Situación de la banca

- ¿Cómo se encuentra la industria financiera respecto a la ciberseguridad?

- Me parece que en el sector financiero se ha avanzado bastante en los últimos años, en materia de uso de tecnología en la nube y también en ciberseguridad. Yo creo que los bancos hace mucho tiempo que vienen adoptando medidas, digamos tanto en inversión de tecnología como también en el establecimiento de políticas internas.

- El presidente de BancoEstado dijo que hubo un error humano que permitió el ataque. ¿Esta es una brecha que tiene la banca?

- Sí, lo veo absolutamente así. La capacitación y el entrenamiento se ven muy aplicados a los temas de ciberataques y es algo que hace falta en el sector financiero, pero también en todos los sectores. Los ataques van cambiando, la sofisticación se va tornando más compleja, por lo que hay que estar permanentemente aumentando los entrenamientos y entendiendo bien en la práctica cómo operan los ataques.

- ¿Qué normas están pendientes para que los bancos puedan enfrentar los ataques de mejor manera?

- Diría que hay cambios que no solamente son privativos de la industria financiera, pero que también la impactan. Está pendiente una ley de protección de datos personales y una ley de gobernanza en ciberseguridad que fue anunciada por el gobierno.

- ¿Cuál sería el impacto de esta última?

- Con la ley de gobernanza se debieran establecer cuáles son las áreas o sectores se denominan como infraestructura crítica y obviamente que la banca, por la importancia que tiene, por las operaciones críticas que hace, en algunos casos sistémicas cuando se implica a los actores más grandes, debiera ser considerada dentro de esta categoría y tener algunas obligaciones especiales adicionales.

- ¿Qué otra acción podría tomar el gobierno?

- Hace falta un organismo o agencia de ciberseguridad que establezca la coordinación necesaria entre el sector público y el sector privado. Debiera haber una agencia que coordine la cooperación que establezca los mecanismos de prevención de ataques.

Lo más leído