Por Renato Olmos, Diario Financiero.
El avance tecnológico va a la par de la ciberdelincuencia, y si bien los bancos son flanco permanente de ataques, la mayoría logran frenarse, aunque hay ocasiones donde han permeado los sistemas financieros.
Un ejemplo es el jaqueo al Banco de Chile en mayo de 2018, donde delincuentes robaron unos US$ 10 millones tras infiltrarse a través del método phishing; en noviembre del mismo año el Banco Consorcio sufrió un ciberataque avaluado en unos US$ 2 millones, o la amenaza que afectó a BancoEstado en 2020.
Tras estos icónicos episodios la industria aprendió ciertas lecciones. Cristián Vega, gerente de operaciones y tecnología de la Asociación de Bancos e Instituciones Financieras de Chile (ABIF), señala que la principal fue la importancia de contar con la capacidad para monitorear y mitigar los impactos de los ciberataques a nivel institucional y de industria. “La colaboración y el trabajo conjunto de las instituciones que conforman la industria financiera es fundamental”, dice.
Vega explica que la ciberseguridad se está abordando a nivel de directorio en los bancos y que “los directores son conscientes de estos riesgos y han definido las estrategias para enfrentarlos y mitigarlos”. Cuenta que desde la ABIF se realiza un trabajo de coordinación en ciberseguridad desde hace años a nivel de la industria, con la participación de los responsables de esta materia de cada banco.
Capacitación y tecnología
Vega afirma que las medidas que adoptan los bancos se mueven de acuerdo con los perfiles de amenazas, que cambian diariamente, lo que supone enfrentarse a nuevos retos constantemente. La información que recaba la asociación es compartida con las instituciones con el fin de tener una mirada común para combatir los nuevos peligros.
Scotiabank Chile señala por escrito a DF que la estrategia de ciberseguridad del banco se basa en un modelo de tres líneas de defensa bajo una gestión de riesgos, con una política que fue recientemente actualizada y aprobada por el directorio.
Este plan, dice la entidad, les ha permitido que no se registrara ningún incidente crítico en ciberseguridad durante 2022. Para eso, han fortalecido una cultura interna de prevención con políticas, procedimientos y controles para garantizar la protección de sus sistemas, como campañas de phishing ético.
Una de las medidas es un programa de capacitación para concientizar sobre los actuales riesgos y la forma en que deben ser gestionados. Durante 2022 esta iniciativa involucró a más de 6.200 personas con unas 14.400 horas de capacitación.
Banco Bci comenta -por escrito- que una de las medidas concretas que han permitido controlar el “entorno hostil” está asociada al robustecimiento de tecnología base de ciberseguridad y la incorporación de nuevas innovaciones como machine learning e inteligencia artificial.
El banco, que destina casi un 20% del presupuesto anual para tecnologías en ciberseguridad, viene impulsando desde 2016 “una mirada centrada en los riesgos del ecosistema y la visibilidad de las amenazas que afectan a la industria”, afirma.
Las medidas que han implementado apuntan a los riesgos contingentes como ecosistemas con terceras partes -proveedores y empresas de adquirencia y apoyo al giro bancario-, amenazas emergentes, adopción de nuevas tecnologías, transformación digital, equipo de profesionales capacitados y la mantención de procesos de cultura y sensibilización en ciberseguridad.
En paralelo, buscan implementar nuevas mejoras en vista de los riesgos a los que se ven expuestos. Por ejemplo, seguir adoptando tecnologías como la automatización en apoyo a las labores operativas y elevar el alcance objetivo de los controles de ciberseguridad.
Retos
Si bien Vega, de la ABIF, dice que la banca chilena tiene un “muy buen” nivel de madurez en relación a la región y “con un elemento diferenciador al ser los propulsores de instancias de coordinación en ciberseguridad”, aún ve espacio para mejorar en esta materia.
Por ejemplo, y al hacer la comparación con los países del bloque de la Organización para la Cooperación y Desarrollo Económicos (OCDE), dice que es necesario actualizar el marco legal en aspectos de ciberseguridad que genere una mayor capacidad de persecución de este tipo de delitos e implementar una institucionalidad que permita enfrentar estos desafíos, principalmente en la coordinación y respuesta ante eventos que puedan afectar a la infraestructura crítica.
Actualmente en el Congreso se está discutiendo un proyecto que establece una Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información que está en su primer trámite constitucional en el Senado, que incluye la creación de una Agencia Nacional de Ciberseguridad. Y en junio de 2022 se promulgó la nueva Ley de Delitos Informáticos.
Vega también considera clave tener “un buen manejo de la información e inteligencia que permita adelantarse a escenarios de posibles ataques en el futuro”.