Actualidad

Cómo fue el hackeo al Banco de Chile

POR Administrador | 11 de junio 2018

La sustracción de US$ 10 millones fue el punto cúlmine de una sofisticada operación que duró meses y que puede volver a ocurrir en Chile. Empresas de ciberseguridad alertaron, en noviembre pasado, de este tipo de ataques.

Las alarmas sonaron el jueves 24 de mayo dentro del Banco de Chile. Un virus había logrado entrar a la red de la institución y comenzaba a inutilizar computadores anulando sus discos de arranque.

Mientras el equipo de seguridad enfocaba su atención en cerrar 9.000 terminales para proteger datos e información de clientes, decenas de transferencias se ejecutaban automáticamente desde cuentas del banco a destinos fuera del país. Algunos de estos traspasos encendieron la alerta y fue en ese momento cuando dentro de la institución se dieron cuenta de que el virus en los computadores era una distracción y que el verdadero peligro era el robo de millones de dólares.

Planeando el robo

“Una operación como esa demora meses”, dice Joshua Provoste, encargado de seguridad informática de la Fundación Datos Protegidos. Explica que para lograr “distraer con el virus”, los hackers deben haber infiltrado la red del banco mucho antes, para conocer los hábitos de navegación de los usuarios y así “desarrollar Ingeniería Social -el conjunto de anuncios, emails y todo tipo de comunicación sobre un tema determinado- y lograr que alguien haga clic en un enlace o descargue un archivo que permite al programa malicioso propagarse en el sistema”. En este caso lo hizo para anular los discos de arranque de los computadores.

Sin embargo, antes de introducir el virus a la red, los hackers encontraron alguna vulnerabilidad para entrar al sistema Swift, la aplicación que ejecuta las transferencias internacionales. Según explica Marcos Sandoval, experto en seguridad y gerente de Estrategia y Negocios de AltaVoz, los atacantes “ya tenían las claves y lo necesario para ejecutar esos traspasos y esperaron a hacerlo de forma coordinada con el virus que funcionó como distractor.”

Este grado de sofisticación ha hecho que este tipo de ataques hayan sido bautizados como APT, advanced persistent threat. “Los hacen grupos de hackers muy hábiles que siguen un patrón que ya se ha visto en desfalcos a otros bancos en el mundo”, como el ataque que sustrajo 300 millones de pesos desde Bancomext en México en enero pasado, o los US$ 81 millones desde el Banco Central de Bangladesh el 2016. Ambos hackeos se han atribuido al Grupo Lazarus, patrocinado por el gobierno de Corea del Norte.

¿Qué tienen en común bancos en México, Bangladesh y Chile?

“Se trata de economías globalizadas y muy abiertas al comercio internacional, en las que hacer traspasos a otros países no es difícil”, explica Sandoval. Y esa es una característica que los hackers explotan para sacar el dinero y para después hacerse con él, ya que “lo reparten en pequeñas cantidades en muchas cuentas de países en África o Asia Central, las llamadas cuentas mula”.

A eso hay que sumar que es muy difícil dar con la ubicación geográfica de los ladrones, pues “ocupan VPN –virtual private network– que va enmascarando la dirección del computador en distintos países, haciendo que sea prácticamente imposible de rastrear”.

La advertencia

“Esto es mucho más sofisticado que un virus“, dice un exhacker que pidió mantener anonimato. “Los que hicieron esto conocen todas las aplicaciones del banco, sus proveedores, a los usuarios de la red, los softwares en los que están trabajando, todo. Ahí encuentran el punto débil y por ahí comienzan a hacer todo este trabajo”.

En noviembre de 2017, Kaspersky Lab, la prestigiosa empresa internacional de seguridad informática, advirtió que la banca se enfrentaría a este tipo de ataques, más sofisticados, este año: “Los bancos de la región (Latinoamérica) tendrán que enfrentar la nueva realidad de múltiples ataques con técnicas y vectores de ataques híbridos que permitirán a los atacantes sustraer grandes sumas de dinero directamente de los activos del banco. Dichos ataques podrán ser complementados con el uso de insiders, tecnologías maliciosas para los cajeros automáticos, así como los servidores internos y otras estaciones dentro de las propias redes de las instituciones bancarias.”

Los próximos pasos

El gerente general del Banco de Chile, Eduardo Ebensperger, en entrevista con Pulso, de La Tercera, reconoció que “este tipo de ataque requiere otro tipo de sofisticación, otro tipo de conocimiento, y vamos a evolucionar de acuerdo a eso. Si bien tenemos antivirus y una serie de controles y monitoreo, hay que intensificarlo. Tomaremos todas las medidas que sean necesarias para seguir investigando y resguardando a nuestros clientes como lo hemos hecho hasta ahora. Este es un nuevo método, que desde Chile lo veíamos un poco lejos, pero ahora viene bajando a Latinoamérica”.

Desde la Asociación de Bancos e Instituciones Financieras (ABIF) declinaron entregar nuevos comentarios sobre el tema. El día del ataque, la entidad difundió un breve comunicado de prensa precisando que el problema sólo se acotaba a Banco de Chile y que no existían “antecedentes sobre eventos similares que afecten a otras entidades bancarias”.

Desde algunos bancos comentaron que la industria está a la espera de las definiciones que adopten las autoridades, sobre todo después de que el propio Presidente Sebastián Piñera planteara el caso al comité político y solicitará estudiar cambios legales para fortalecer las medidas de seguridad ante crímenes informáticos. El gobierno convocó para este martes 12 de junio al comité interministerial de Ciberseguridad, integrado por ocho subsecretarías y la Agencia Nacional de Seguridad, donde se estudiarían nuevos requerimientos para el sector público y privado (especialmente para actividades de atención de público y que involucren dinero) en materia de protección ante ciberataques.

PAUTA.cl solicitó información sobre lecciones de este caso y eventuales ajustes regulatorios a la Superintendencia de Bancos e Instituciones Financieras (SBIF), pero la entidad respondió que no formulará declaraciones al respecto. El regulador ha estado bajo presión por su conducta tras conocerse el hackeo al Banco de Chile (no se constituyó en las oficinas de la entidad, sino que optó por monitoreo telefónico y vía email), y enfrentó cuestionamientos en una sesión en la comisión de Economía del Senado, especialmente tras admitir que no existen protocolos expresos para actuar frente a ataques cibernéticos.

[{"id_post":158886,"post_title":"Cadem: 80% de los encuestados tiene temor a la delincuencia y 87% cree que ha aumentado","post_link":"actualidad\/2022\/12\/05\/encuesta-cadem-temor-delincuencia-aumento-seguridad-violencia-robos-delitos.html","publicador":"Manuel Izquierdo","autor":"","image":"\/2023\/06\/imagen_principal-47789-300x169.jpg","bajada":"Un 85% teme ser v\u00edctima de un delito en espacios con comercio ambulante y un 82% cree que puede ser v\u00edctima durante la noche o en espacios p\u00fablicos. En tanto, la aprobaci\u00f3n a Carabineros lleg\u00f3 a su nivel m\u00e1s alto en siete a\u00f1os."},{"id_post":156242,"post_title":"Banco de Chile en la previa de la Telet\u00f3n 2022: \u201cEstamos muy entusiasmados para recibir a todas las familias de Chile\u201d","post_link":"actualidad\/2022\/11\/04\/teleton-2022-banco-de-chile-novedades-corrida-desafio-fortnite-donaciones.html","publicador":"Manuel Izquierdo","autor":"","image":"\/2023\/06\/imagen_principal-47009-300x169.jpg","bajada":"La gerenta de asuntos corporativos de la instituci\u00f3n bancaria, Mar\u00eda Victoria Martabit, destac\u00f3 que habr\u00e1 m\u00e1s de 3 mil puntos f\u00edsicos para realizar donaciones en todo el pa\u00eds. Adem\u00e1s, invit\u00f3 a participar en la Corrida Familiar y en el desaf\u00edo Campeones de la Solidaridad, que ir\u00e1n en ayuda de la Telet\u00f3n."},{"id_post":152600,"post_title":"Alejandro Barros, experto en ciberseguridad: \u201cLlevamos 15 a\u00f1os discutiendo una ley de protecci\u00f3n de datos\u201d","post_link":"actualidad\/2022\/09\/26\/alejandro-barros-ciberseguridad-hackeo-poder-judicial-fuerzas-armadas-emco.html","publicador":"Manuel Izquierdo","autor":"","image":"\/2023\/06\/imagen_principal-45935-300x169.jpg","bajada":"El investigador del Centro de Sistemas P\u00fablicos de la Universidad de Chile advirti\u00f3 que \u201clos riesgos van a ir en aumento, cada vez hay m\u00e1s ataques y cada vez son m\u00e1s sofisticados\u201d por lo que es importante mantener actualizados los sistemas digitales."},{"id_post":152539,"post_title":"Nuevo ataque hacker: Poder Judicial lanz\u00f3 alerta inform\u00e1tica y se prohibi\u00f3 a jueces abrir \u201ccorreos dudosos\u201d","post_link":"actualidad\/2022\/09\/26\/hackeo-informatico-a-poder-judicial-nuevo-ataque-hacker.html","publicador":"Isidora Pa\u00fal","autor":"","image":"\/2023\/06\/imagen_principal-45916-300x169.jpg","bajada":"Los magistrados deber\u00e1n realizar sus audiencias a trav\u00e9s de sus propios tel\u00e9fonos celulares por v\u00eddeo llamadas."}]