Ciberataque: Expertos analizan los alcances del golpe "de gran envergadura" que recibió BancoEstado

"Primera vez una entidad bancaria sufre un ataque de esta naturaleza en nuestro país". Así lo aseguró esta mañana el ministro del Interior, Víctor Pérez, al abordar el software malicioso que BancoEstado identificó en sus sistemas operativos durante el fin de semana y que obligó a cerrar todas sus sucursales bancarias este lunes.

"Queremos informar que, debido a la acción de terceros a través de un software malicioso, nuestras sucursales no estarán operativas y permanecerán cerradas hoy. Estamos haciendo todos los esfuerzos para poner en funcionamiento algunas sucursales durante la jornada", sostuvo hoy la entidad por medio de un comunicado. Y más tarde, el presidente de BancoEstado, Sebastián Sichel, expuso que "hemos estado trabajando a full para proteger nuestro funcionamiento y a nuestros clientes de este ataque de terceros".

"No hay afectación de fondos y de a poco iremos abriendo sucursales. Nos dedicaremos a perseguir a los culpables de afectar el banco de 13 millones de chilenos", agregó.

A la vez, el Gobierno anunció que se levantó una alerta a todo el sector financiero y público del país para que tengan información respecto de este malware y así tomen la medidas preventivas con el objeto de que esta amenaza se extienda a otras entidades, además de señalar que aún no hay detalles respecto del origen del ataque ni el nivel de daño que este puede provocar.

De todas formas, para Excequiel Matamala, vicepresidente de la Alianza Chilena de Ciberseguridad, esto "claramente es un ataque de gran envergadura", ya que "involucra la continuidad operacional de todas las sucursales de la institución financiera (BancoEstado), y tiene afectados los miles de puestos de trabajo del banco".

Matalama, además, comparó este ataque con otros que ha recibido el sistema financiero en el último tiempo, "como fue el golpe fuerte al Banco de Chile de US$10 millones en 2018, y posteriormente al del Banco Consorcio", y aseguró que el del BancoEstado es distinto, pues "llevó a cerrar todas las sucursales de atención a público en un banco sensible para los chilenos".

Eso sí, rescató que, hasta donde se sabe, "no hay afectación de fondos. Los recursos de los chilenos, de los ahorrantes, no están bajo compromiso, pero las sucursales no están operando".

En todo caso, Matamala subrayó que el hecho de que BancoEstado haya detectado el software malicioso en su sistema "habla más o menos bien de sus propios equipos de ciberseguridad, porque identificaron el tema y actuaron rápidamente para reaccionar a la emergencia".

"Eso es súper importante, porque cuando hablamos de ciberseguridad tenemos que hablar necesariamente de ciberresiliencia, es decir, yo tomo muchas medidas preventivas para evitar ser afectado, pero no puedo tomar el 100% de los riesgos. Alguna vez voy a ser afectado. Entonces, lo importante es que cuando sea afectado tenga toda la capacidad de reponerme rápidamente, y en eso está el banco", acotó.

Si bien la institución no ha confirmado que esto se trate de un rasonware (secuestro de datos), asegurando que por ahora no se ha pedido ninguna condición para un eventual "rescate", para Nicolás Corrado, socio líder de ciberseguridad de Deloitte, la existencia de un rasonware es una posibilidad.

Si es así, comentó que "la mejor y la primera medida tiene que ser tratar de contener la propagación del virus", y en ese marco "empiezan a darse dos carreras muy importantes: contener para asegurar la operación del banco, cosa que parece que está complicado porque decidieron no abrir, y al mismo tiempo tratar de identificar cuál es el tipo de virus".

"Esto puede ser un ransomware, pero este ransomware también puede ser una acción como parte de un ataque más complejo. Quizás esto puede ser que se está luchando contra un ransomware y el ataque está siendo por otro lado y están sacando información", añadió.

Además de ello, continuó, puede darse otro escenario: "Se ha dado que el ransomware saca información, la encripta, y a la compañía después le cobran por esa información que se llevaron, como ha pasado con otras empresas".

"No sé lo anterior fue lo que pasó con BancoEstado en este momento, pero no sería de extrañar que dentro de poco salga alguno de los atacantes diciendo que tiene información del banco y que la está vendiendo. No sería muy loco de pensar", sostuvo Corrado, recalcando que la situación que está viviendo la institución financiera "es muy preocupante" y si esto "se disparó el fin de semana, seguro que vienen produciéndose ataques desde hace tiempo. Generalmente en estos ataques primero hay una entrada por una vulnerabilidad y de ahí empiezan a bajar los ransomware".

"Esto no es tan sencillo como decir 'tengo que limpiar un servidor para que siga funcionando', muchas veces las medidas para solucionar algo como esto es reinstalar o instalar un servidor nuevo desde cero y serían miles los servidores comprometidos", afirmó. Y aseguró que el tiempo que podría tomar el banco para solucionar esta situación "dependerá de cuánto se demore en identificar lo que se llama 'el paciente cero' o el vector de ataque por donde están sufriendo este incidente, la cantidad de equipos que tienen infectados y, por último, los respaldos o la información que tengan para recuperar la información".

Para esto, Corrado estimó que pueden pasar 24 horas o quizás menos para los servicios críticos y más para los servicios menos críticos, pero recalcó que "lo importante ahora es ser cautos, que el banco active todos sus protocolos y encuentre el vector de ataque y los indicadores de compromisos, o sea que servicios está usando el ransomware para propagarse, y que cuando vaya haciendo eso lo vaya compartiendo con la banca nacional para que todos se protejan y sepan cuál fue la vulneración".