Banco de Chile y Santander alertaron en informes a la SEC sobre alza de ciberataques

Casi un mes antes de ser víctima de un ataque informático que le significó el robo de US$ 10 millones, el Banco de Chile informó a la Comisión de Bolsa y Valores de Estados Unidos (SEC por sus siglas en inglés), sobre los eventuales efectos de los ciberataques, identificándolos como uno de los riesgos operacionales a los que están expuestos.

La compañía ligada al grupo Luksic y Citibank, le comunicó a la SEC el 27 de abril que “los eventos de seguridad cibernética podrían afectar negativamente nuestra reputación o resultados de operaciones y pueden dar lugar a un litigio”.

El documento del banco llama al regulador norteamericano a tener en consideración que “recientemente se ha incrementado el nivel de atención enfocado en ciberataques contra grandes corporaciones”.

Bajo este escenario, la entidad financiera que es presidida por Pablo Granifo indicaba a inicios del segundo trimestre “que tenemos la intención de implementar continuamente dispositivos de tecnología de seguridad y establecer procedimientos operacionales para evitar dicho daño, no podemos asegurarle que estas medidas de seguridad serán exitosas”.

Y es que la compañía preveía que un eventual ataque informático generaría “una gran responsabilidad para nosotros en exceso de cobertura de seguro”.

Agregó que otro de los daños es “que clientes existentes y potenciales se abstengan de hacer negocios con nosotros”.

Banco de Chile enumeró una serie de riesgos operacionales al regulador estadounidense, uno de ellos es que dependían “de una variedad de plataformas y redes de procesamiento de datos, comunicación e intercambio de información basadas en Internet”.

En segundo lugar, poseer “importantes activos financieros que pertenecen tanto a nuestros clientes como a nosotros”.

Otro riesgo es el hecho de proporcionar a sus clientes “acceso continuo en línea a sus cuentas y la posibilidad de transferir activos financieros sustanciales por medios electrónicos al comprar bienes o retirar fondos, en Chile y en el extranjero con tarjetas de crédito y débito emitidas por nosotros”.

El reporte de Banco de Chile fue entregado a la SEC en el marco del fin de año fiscal 2017 en EEUU.

Por otra parte, y de acuerdo a la información disponible en la SEC, Banco de Chile reportó el ciberataque y robo de US$ 10 millones el 30 de julio, fecha en que entregó los resultados operacionales al término de junio.

Reuniones en Chile

El superintendente de Bancos e Instituciones Financieras, Mario Farren, comentó, tras presentar en un seminario sobre ciberseguridad organizado por Formación Ejecutiva DF, que las reuniones con los altos ejecutivos de Banco de Chile continúan.

Farren indicó que han obtenido mayores antecedentes del ciberataque sufrido por la entidad tras recibir el informe forense: “Estamos discutiendo con Banco de Chile y nos estamos reuniendo con ellos para ampliar esa información”.

El regulador dijo que tras el robo informático “nos interesa mucho los planes de rectificación, el plan estratégico de Banco de Chile y dentro del cual, se encuentra el cambio en la estructura organizacional”.

Esto, pues la compañía anunció el 20 de junio la creación de una división especializada en ciberseguridad a cargo de Fermín Uribe-Echeverría. Tras ello, la firma fue en la búsqueda de profesionales especializados en la materia a través de LinkedIn.

El regulador consideró positiva la creación de esta área en el banco.

Santander también muestra preocupación por ciberseguridad

Banco Santander reportó el 28 de marzo de este año a la SEC en EEUU los riesgos operacionales de su negocio en el marco del fin de año fiscal 2017 y que estaban "realizando importantes inversiones y mejoras en nuestra infraestructura de tecnología de la información para seguir siendo competitivos".
No obstante, la firma comandada por Claudio Melandri aclaró al regulador norteamericano que "no podemos asegurarle que en el futuro podremos mantener el nivel de gastos de capital necesarios para respaldar la mejora o actualización de nuestra infraestructura de tecnología de la información".
Consultado el banco sobre esta respuesta a la SEC, Santander declinó referirse al asunto.
La compañía de capitales españoles manifestó en su informe que existen varias normativas que estaban definiendo cómo gestionar los riesgos informáticos.
Con este panorama, Santander declaró que "estas regulaciones están bastante fragmentadas en términos de definiciones, alcance y aplicabilidad. Si no implementamos con éxito todas o algunas de estas nuevas regulaciones globales y locales, que en algunos casos tienen regímenes de sanciones severas, podrían tener un efecto material adverso en nosotros".
La firma con casa matriz en calle Bandera, indicó al regulador de EEUU que han visto "en los últimos años que los sistemas informáticos de empresas y organizaciones están siendo atacados, no solo por ciberdelincuentes, sino también por activistas y estados canallas".
Un punto que hizo ver Santander fue que sus sistemas tecnológicos dependen de la "infraestructura crítica nacional y cualquier ciberataque contra dicho elemento podría afectar negativamente nuestra capacidad de atender a nuestros clientes".
El banco manifestó en su documento enviado a la SEC que como no tienen control de la "infraestructura crítica del país, tenemos una capacidad limitada para proteger nuestros sistemas de tecnología de la información de los efectos adversos de dicho ciberataque".