Banco Central actualiza primera normativa post ciberataques a la banca

El Banco Central publicó ayer en el Diario Oficial el nuevo Protocolo de Contingencia para Sistemas de Pago de Alto Valor, con el fin de “velar por la continuidad de los pagos internos y externos”.

Se trata del primer cambio regulatorio al sistema bancario luego del ciberataque sufrido por el Banco de Chile en mayo pasado.

La autoridad monetaria especificó a través de un comunicado de prensa que el estrenado protocolo viene a “robustecer el marco integral de gestión de riesgos y resguardar la continuidad operacional de los pagos de alta cuantía efectuados entre empresas bancarias frente a la ocurrencia de eventos operacionales críticos”.

Previo a su aprobación por parte del consejo del Banco Central, el nuevo marco contó con un informe de la Superintendencia de Bancos e Instituciones Financieras, “quien se manifestó en términos favorables respecto de la iniciativa”, indicó el ente emisor.

Cabe recordar que un sistema de pagos de alto valor es aquel en donde se realizan transferencias de fondos que generalmente procesan pagos de elevada cuantía y con carácter prioritario.

En Chile, dicho esquema está constituido por el sistema de Liquidación Bruta en Tiempo Real (LBTR), que es creado y administrado por el Banco Central. En éste participan los bancos y la Cámara de Compensación de Pagos de Alto Valor.

Dicha Cámara es un sistema regulado por la autoridad monetaria al cual también concurre la banca y es administrado por ComBanc, una sociedad de apoyo al giro bancario.

Según el Central, el protocolo puede entenderse como un acuerdo entre los operadores del LBTR y ComBanc, “para lograr una operación alternativa o complementaria de ambos sistemas frente a la ocurrencia de un evento operacional crítico”.

Esto, pues permite que los gerentes generales del Banco Central y ComBanc puedan suscribir términos y condiciones para la implementación de este protocolo.

El marco estuvo en consulta pública para los agentes del mercado entre el 22 de junio y el 22 de julio, recibiendo comentarios de que la Asociación de Bancos (Abif) y de una sucursal bancaria de origen extranjero.

La Abif hizo alusión a la necesidad de incorporar mayores especificaciones a los procedimientos establecidos en la normativa en consulta.

El Central aclaró que otorgar un marco general permite al gerente general de esta entidad realizar diferentes opciones para establecer el protocolo.

¿Por qué lo cambios?

El sistema de pagos de alto valor tomó relevancia en el mercado luego de que Banco de Chile se viera afectado tras un ataque informático el 24 de mayo, episodio por el cual la compañía se vio imposibilitada de participar del sistema de LBTR en sus instalaciones.

Frente a la emergencia, personal de la firma ligada al grupo Luksic y Citibank acudió durante el 24 y el 25 de mayo a las dependencias del ente emisor para realizar estas transacciones, según aclaró la autoridad monetaria en su oportunidad.

Además, en la oportunidad, el Banco Central también extendió los horarios del sistema LBTR para facilitar la operación de Banco de Chile.

A pesar del ciberataque, el Central afirmó que no afectó el normal funcionamiento del sistema de pagos de alto valor. Además, el ente rector activó los protocolos para evitar cualquier daño al sistema financiero.

Luego del ciberataque a Banco de Chile, la autoridad monetaria declaró en varias oportunidades que iba continuar su labor “en el monitoreo y refuerzo permanente de los procedimientos y medidas de seguridad para hacer frente a contingencias de este ámbito que se puedan presentar en las entidades que integran nuestro sistema financiero”.

Hackers filtran antiguas bases de datos de funcionarios de Santander y BBVA

No habían transcurrido más de 24 horas desde que un grupo de ciberdelincuentes filtrara los datos de 210 tarjetas de crédito de entidades financieras el lunes, para nuevamente ayer concretar un nuevo ataque, esta vez con de información de trabajadores de Santander y BBVA Chile, hoy propiedad de Scotiabank.
En la mañana de ayer, el primer afectado fue Santander, luego de que se publicara una planilla Excel con varios datos de trabajadores del banco presidido por Claudio Melandri.
Ante el hecho, Santander declaró a través de un comunicado que se trataba de "información antigua, estimativamente de hace unos cuatro años, cuyos datos no se condicen con ningún formato de uso interno ni estructura de base de datos de colaboradores".
La firma aclaró que "los antecedentes liberados corresponden a información de carácter público, que no comprometen la privacidad de los colaboradores ni la seguridad del banco".
Luego, pasado el mediodía, se conoció un nuevo caso de similares características, pero el afectado ahora era BBVA Chile, entidad que se apronta a ser absorbida por Scotiabank, luego de que los canadienses tomaran el control del banco.
Al igual que lo hizo Santander, BBVA Chile señaló que los datos liberados "corresponden a información antigua, estimativamente de hace más de tres años, y no proviene de los sistemas del banco".
Además, aclararon que "se trata de información desactualizada, que incluye a un gran porcentaje de personas que ya no forman parte de la organización".
La firma también llamó a la calma: "Esta filtración no compromete ningún dato de carácter privado de los colaboradores, ni tampoco la seguridad del banco y de sus clientes".

Superintendencia actúa
Sobre la banda internacional de hackers "The Shadow Brokers", que estaría detrás de estas emergencias, el superintendente de Bancos e Instituciones Financiera, Mario Farren dijo ayer en Radio Duna que "evitaría hacer caja de resonancia de esta gente, claramente lo que está buscando es publicidad".
Consultada la Superintendencia de Bancos sobre las acciones ante este episodio, el regulador afirmó que se activaron los protocolos "para supervisar el adecuado tratamiento de la contingencia por parte de los bancos".
El regulador señaló que "como en otras ocasiones, hemos instruido a los bancos a tomar todas las medidas necesarias para cautelar la información de sus usuarios y comunicarse con sus clientes".
Asimismo, el organismo regulador recordó que "estos temas ponen de manifiesto la relevancia de tener una adecuada cultura de riesgo cibernético en las instituciones".