La Moneda instruye creación de una agencia contra ataques cibernéticos

La Moneda instruye creación de una agencia contra ataques cibernéticos

Chile fuera una persona, estaría entrando en la adolescencia en términos de seguridad informática: es inmaduro respecto de la mayoría de los países OCDE y está al nivel de Camerún, Ruanda o Serbia, muy lejos de los líderes mundiales como Estados Unidos, Japón o Rusia.

Eso, según el último Índice de Ciberseguridad Global, del International Telecommunication Union (ITU), dato que tuvo en cuenta La Moneda para plantear que ya era tiempo de crear una suerte de ‘agencia nacional contra ataques cibernéticos’ para proteger ‘la casa’, es decir, al Estado y los datos tributarios, legales, salariales, domiciliarios, bancarios, financieros, entre otros, de los 17 millones de chilenos.

La necesidad de adoptar esta medida se le hizo evidente al Gobierno tras la filtración de datos de 14.071 tarjetas de crédito que salió a la luz pública el miércoles por la noche, correspondientes a plásticos emitidos en distintas proporciones por los bancos Santander, Banco de Chile, BCI, Itaú Corpbanca, BancoEstado, BBVA, Scotiabank, Banco Security, Banco Falabella, Banco Bice, Banco Paris, Banco Internacional y Banco Consorcio; además de CMR, Ripley MasterCard, Presto, Tricot y la cooperativa Coopeuch. Adicionalmente, se detectaron emisores extranjeros. Del total de tarjetas publicadas, solo 2.446 se encontraban activas, todo según información oficial de la Superintendencia de Bancos e Instituciones Financieras (SBIF).

Claro que la decisión de tomar cartas en el asunto por parte del Ejecutivo había tenido una antesala. En bilateral del 26 de junio —posterior al ciberataque que afectó al Banco de Chile, el 24 de mayo—, el Presidente Piñera planteó el tema al ministro del Interior, Andrés Chadwick, quien lo derivó al subsecretario Rodrigo Ubilla. Tanto en el Ministerio del Interior como en todo el equipo económico se trabaja a full para sacar adelante una nueva norma de ciberseguridad, ya que la vigente data de 1993, y a juicio del titular de la SBIF, Mario Farren, ‘si consideramos una ley diseñada para un mundo de hace 25 años, sumada a que en el mismo período hemos vivido un desarrollo tecnológico inédito en la historia de la humanidad, un contexto legal como el actual puede resultar en una evidente ventaja para los cibercriminales’.

El superintendente es enfático: ‘El desarrollo de la economía y su integración al mundo digital han traído aparejados un aumento importante de riesgos de ciberseguridad. Por eso hemos señalado que esto va más allá de la industria financiera: es un tema país. Los últimos eventos confirman que nadie está exento de un ataque’. Fuentes de La Moneda confirman que la nueva ley de ciberseguridad y que crearía una suerte de ‘agencia nacional contra ataques cibernéticos’ ingresará al Congreso con suma urgencia tras lo ocurrido esta semana. A la par, en el Gobierno trabajan para reforzar la seguridad informática en cada organismo con normas administrativas concretas.

Y es que, como señalan desde Interior, en este tema el país está muy por detrás de sus pares de la OCDE. En cuanto a modelos, Chile sigue de cerca lo que ha hecho en esta materia Estados Unidos, Israel y España. A ello se suma que el Ministerio de Defensa tiene a cargo la llamada ‘ciberdefensa’, es decir, los ataques provenientes del exterior, y la Agencia Nacional de Inteligencia (ANI), la ‘ciberinteligencia’, las vulneraciones a la seguridad interna de grupos radicales. El senador PPD Felipe Harboe señala que en ninguno de estos ámbitos el país tiene el desarrollo, el marco legal y las herramientas adecuados. En el Gobierno lo admiten. Según un reporte del Boston Consulting Group, el gasto en seguridad informática de las empresas es de menos de US$ 195,7 millones, y en el Estado no existe una cifra consolidada de cuánto se gasta y en qué.

En el Ministerio del Interior están confeccionando tal número. Y es que, según los expertos, en términos informáticos, los ataques son continuos. Según un análisis del Boston Consulting Group, de los 50 mayores ataques informáticos del mundo —que suman pérdidas de 1.800 millones de registros—, el 72% corresponde a fallas de la propia organización (problemas para configurar la seguridad, negligencias, trabajo interno o filtraciones, etc.), y un 28% se explica por una inadecuada seguridad tecnológica como tal.

Según el experto en seguridad Dmitry Bestuzhev —director del Equipo de Investigación y Análisis de Kaspersky Lab América Latina, una compañía internacional dedicada a la seguridad informática con presencia en varios países y de origen ruso—, la época en que solo los clientes de los bancos eran objetivo de los ciberataques ha quedado en el pasado.

‘Vivimos una realidad diferente, que destaca ataques directamente hacia los bancos y no a sus clientes, o ataques hacia las entidades comerciales que procesan datos de los clientes y no a los clientes en sí. Esta tendencia está para quedarse y cada año vamos a seguir viendo más y más ataques con mayores cifras de daño financiero’.

SBIF pasa a la ofensiva

Este viernes, la SBIF presentó la primera denuncia por la filtración de información de tarjetas bancarias. La acción interpuesta en la Fiscalía Regional Metropolitana Centro Norte va dirigida contra quienes resulten responsables de la publicación de los datos de 14.071 clientes de distintas entidades bancarias. Todo para determinar si ‘procede investigarlos en mayor profundidad’.

El superintendente de Bancos, que estaba esta semana en Nueva York en un seminario de ciberseguridad financiera, dice que la industria financiera debe hacerse cargo y mejorar en estas materias. ‘En la SBIF nos encontramos trabajando en mejoras regulatorias y de supervisión, identificando espacios para subir los estándares de gestión de riesgo operacional y cibernético’, señala.

En concreto: gobierno corporativo, las redes y la arquitectura tecnológica de las entidades y los mecanismos y protocolos para compartir información entre los reguladores y los regulados en su conjunto. Mario Farren dice que han instruido a los bancos a adoptar medidas para esactualizar los sistemas operativos de su red de cajeros, migrar el parque de tarjetas para incluir la tecnología chip y verificar la forma en que opera SWIFT, la plataforma de transferencias interbancarias. Pero ‘aún resta mucho por hacer’, sostiene.

Y aunque enfatiza que la banca chilena es sólida, ‘hoy el 80% de las transacciones se realizan por medios electrónicos o digitales y hemos migrado de un mundo de transacciones físicas en sucursal a uno digital, pero la seguridad operacional no ha cambiado a es ta misma velocidad’. Y los ataques, alerta, ‘podrían seguir ocurriendo por la sofisticación creciente de este tipo de delincuencia’.

Por ello, el trabajo de la SBIF ‘se enfoca en disminuir la probabilidad de ocurrencia, y que de ocurrir, estos eventos tengan el menor impacto posible en el sistema’. ‘Las personas deben tener acceso constante, seguro y confiable a su dinero. Esto es de la esencia del sistema financiero, y estamos trabajando para lograr este objetivo’, dice.

Recuadro : 
No está claro si hubo ilegalidad, debido a la antigüedad de la norma sobre delitos informáticos:

Las implicaciones legales del ataque aún están por verse. Para abogados expertos en ciberseguridad, en lo práctico este acto tiene varias víctimas, pero todavía ninguna consecuencia económica real de la que se sepa públicamente (la información disponible hasta el cierre de esta edición apuntaba a que no se produjeron traspasos de dinero ni pérdidas económicas para los afectados, mientras las entidades financieras bloquearon las cuentas activas). ‘Los afectados finales son sin duda los titulares de los datos (…), sin olvidar que se trata de una acción delictual sofisticada que afecta a toda la cadena de tratamiento de datos’, explica Carolina Cabrera, abogada encargada del área de Tecnología y Datos Personales de Barros & Errázuriz (B&E).

En Chile, la normativa a aplicar sería la ley 19.223, sobre delitos informáticos y sistemas de información. Dicha norma hace expresa alusión a este tipo de situaciones, con sus penas.

‘El que con el ánimo de apoderarse, usar o conocer indebidamente de la información contenida en un sistema de tratamiento de la misma, lo intercepte, interfiera o acceda a él, será castigado con presidio menor en su grado mínimo a medio’, dice dicho texto en su artículo 2. ‘El que maliciosamente revele o difunda los datos contenidos en un sistema de información, sufrirá la pena de presidio menor en su grado medio. Si quien incurre en estas conductas es el responsable del sistema de información, la pena se aumentará en un grado’, expresa el artículo 4.

Sin embargo, el profesor de la Universidad de Chile y magíster en Leyes, Ciencia y Tecnología de Stanford, Claudio Magliona, hace una distinción: si los datos ‘se filtraron porque alguien en forma intencional buscó el filtrado, hay un delito; si se filtraron porque hubo negligencia en la administración (de los datos), o porque el sistema de seguridad no fue lo suficientemente riguroso, no hay un delito’, estima.

Para la abogada de B&E, efectivamente la negligencia no sería un delito, pero ‘quien se apodere o use indebidamente la información contenida en un sistema de tratamiento de datos (hacker) incurriría sin duda en una figura penal’, dice. Carolina Cabrera apunta a que ‘es importante y urgente que se apruebe la modificación de la ley de protección de datos personales —de 1999—, ya que ella debería contemplar un organismo especial entendido en la materia (…) Precisamente, exigirá estándares
de protección y cuidado más estrictos’.

CÓMO EL CONSUMIDOR PUEDE DEFENDERSE DE ATAQUES CIBERNÉTICOS:

Los expertos dan algunos consejos para no ser víctimas de ciberataques o robo de datos como tarjetas bancarias.

-En la banca recomiendan revisar todos los días las transacciones cargadas a las cuentas bancarias, y si la institución financiera envía estas operaciones por mail, fijarse bien en que sea efectivamente el correo electrónico del banco y no uno parecido a este.

-En el comercio sugieren que antes de realizar la compra online se debe verificar la seguridad del sitio web haciendo doble clic en el ícono del candado ubicado en la barra de la dirección (indica conexión segura).En el comercio sugieren que antes de realizar la compra online se debe verificar la seguridad del sitio web haciendo doble clic en el ícono del candado ubicado en la barra de la dirección (indica conexión segura).

-En caso de que reciba correos vinculados a e-commerce, compruebe que la dirección del remitente del correo coincida con el dominio del sitio web real de la empresa.

-Otro consejo es que cuando esté comprando no responda correos o ventanas pop-up que soliciten datos personales, información de facturación o de acceso, porque puede inducir a un fraude.

-Los expertos señalan que se debe evitar usar las redes de wifi públicas para realizar transacciones y activar claves de acceso seguras en smartphones, tablets y computadores, así como mantener actualizados antivirus en cada uno de ellos.

-En caso de anular la compra, guarde el comprobante o tome foto de la pantalla.

-Por último, consulte con un experto en caso de recibir una amenaza por correo de alguien que asegure tener sus datos, porque puede ser una intimidación sin base, o efectivamente tener información sensible y que estén dispuestos a usarla.

Algunos clientes cuyos datos fueron filtrados insisten en apuntar a Correos:

Saltaron a la fama en 2016. Con nombre de un personaje de videojuegos, ‘The Shadow Brokers’ originales ofrecieron en una subasta al mejor postor varias herramientas de hackeo de la mismísima NSA, la Agencia Nacional de Seguridad de Estados Unidos, dedicada precisamente a la seguridad de la información. Y cuando nadie accedió a comprar las herramientas, simplemente las liberaron gratuitamente al ciberespacio.

La explotación de ese software robado a la NSA permitió a diversos cibercriminales ‘hacer colapsar hospitales y el tráfico férreo, extendiendo caos en unos 150 países’, según indicó en su momento el New York Times. Pero ‘The Shadow Brokers’ que se adjudicaron la liberación de los datos esta semana —la base de 14.071 tarjetas— al parecer solo compartirían el nombre con los célebres hackers que subastaron —sin éxito— los datos de la NSA, para finalmente compartirlos sin costo.

Este viernes, la misma cuenta de Twitter que filtró la base de datos, comenzó a tuitear en castellano: ‘Nosotros pedimos pedimos liberación de un chileno poh’, es un ejemplo de lo que comenzaron a publicar ese día (ver imágenes). El experto Dmitry Bestuzhev, director del Equipo de Investigación y Análisis de Kaspersky Lab América Latina, estaba convencido de que es otro grupo distinto de aquellos de 2016. ‘Primero, no es la misma cuenta de Twitter del grupo original. Segundo, su inglés es diferente del que usaron las personas detrás del grupo original’, explicó. Asimismo, el experto reforzó lo expresado por diversas autoridades, al señalar que debido a que hay distintos bancos asociados a las tarjetas reveladas, la filtración probablemente provino de algún establecimiento físico o virtual que acepta estos medios de pago. Bestuzhev señaló también que es posible que el atacante posea datos de más tarjetas.

‘Por lo general, los actores de ataques de este tipo mantienen sus operaciones en marcha’, explica. Una de las teorías que circulan es que los datos habrían sido extraídos del servicio de Casilla en Miami de CorreosChile. A pesar de que, durante jueves y viernes, la estatal envió comunicados en los cuales rechazaba estas aseveraciones, algunos afectados aún defienden esta postura.

¿Por qué? Por el alto número de tarjetas virtuales o tercerizadas que había en la base. En simple, tarjetas no emitidas por bancos, sino que de sitios web que generan un número ‘virtual’ habilitado por un rango de tiempo corto y que normalmente solo se usa para una compra. Nicolás Díaz es una de las personas que usaron una ‘tarjeta virtual’ para ingresar a este producto de Correos y es uno de los afectados.

En su caso, se trató de una tarjeta Optimal Payments con la que, asegura, hizo muy pocas transacciones. Díaz no tiene dudas de que los datos fueron sacados desde Correos. ‘Con los antecedentes que han aparecido, a mí no me queda duda de que la fuente es Correos (…). Si te fijas bien en la base de datos, el nombre de la entidad bancaria no está estandarizado, sale escrito en formas diferentes, con o sin mayúsculas, con o sin tildes, etc.’, dice.

En su caso está escrito exactamente como él los ingresó al sitio de Correos, explica. Similar es lo que le pasó a Philip Oyarzo, informático de Puerto Montt, quien usa la mayoría de las veces Pay- Pal como intermediario para minimizar el riesgo. No sospechaba de nadie en particular, hasta que ‘El Mercurio’ le consultó si había ingresado sus datos para el servicio de casillas en Correos. ‘No me acordaba, pero ahora revisé y sí. Efectivamente, activé la casilla en 2014 y mis datos y los de la tarjeta aparecen en la base de datos filtrada tal cual los escribí’, aclara. Consultados sobre estos casos concretos, desde Correos respondieron que ‘según la información que nos ha entregado nuestro proveedor externo (Transexpress) que presta el servicio Casilla Miami, hasta la tarde de hoy (viernes) no habría coincidencia en el cruce de información’. Cabe además recordar que, si bien estos casos apuntan a una institución en particular, el texto filtrado bien pudo originarse en más de una fuente. (El Mercurio)