ColumnasDestacado
Una ley de ciberseguridad, un esfuerzo insuficiente
"La rapidez con que avanzan los ilícitos informáticos puede dejar obsoleta en un par de meses a la mejor de las leyes. O lo que es peor, la aplicación de una ley obsoleta podría acarrear más obstáculos para la industria y, consiguientemente, el crecimiento innecesario de los costos de compliance."
Rodrigo Mella
El 24 de mayo pasado, en una operación digna de serie de Netflix, un grupo de hackers lograron penetrar los sistemas informaticos del Banco de Chile e infectar con un virus cientos de computadores de dicha institución y causando intermitencias en el funcionamiento de sus plataformas digitales durante varios días. Sin embargo, el virus solo sería una distracción para la sustracción de $10 millones de dólares mediante transferencias a otros países ejecutadas a través del sistema internacional SWIFT. El ataque al Banco de Chile se enmarca dentro de una tendencia mundial. Bancos en Ecuador (Banco del Austro, 2015), Vietnam (Tien Phong Bank, 2016) y Bangladesh (Bank of Bangladesh, 2016) han sido víctimas de este tipo de ilícitos informáticos, a través del mismo modus operandi. En el caso de Bangladesh, los hackers alcanzaron a sustraer $1.000 millones de dólares que, según un reportaje del New York Times, fueron a parar a cuentas bancaria en Hong Kong, giradas en las Filipinas y blanqueadas en casinos del mismo país. Mientras que en el caso del Banco del Austro, el banco ecuatoriano decidió perseguir la responsabilidad de un banco corresponsal estadounidense involucrado indirectamente en las transacciones realizadas fraudulentamente.
El Banco de Chile resolvió como primera medida presentar una denuncia criminal ante las autoridades de Hong Kong, atendido el destino de algunas de las transacciones. Pero desafortunadamente, las experiencias de los casos de Ecuador, Vietnam y Bangladesh entregan un mal augurio a la denuncia presentada. En los casos anteriores, los hackers nunca fueron encontrados y los fondos no pudieron ser recuperados en su totalidad.
El ataque al Banco de Chile sorprendió a las autoridades chilenas con la guardia baja, toda vez que recién en 2017 se dio inicio a un proceso de coordinación institucional para reaccionar antes incidentes de ciberseguridad contra empresas e infraestructuras informáticas. De poco sirvió para prevenir el ataque la publicación de la Política Nacional de Ciberseguridad en abril de 2017. Mucho menos sirvió el ingreso a tramitación legislativa del único proyecto de ley sobre la materia que tiene por objeto declarar al mes de octubre como el “mes de la ciberseguridad”.
El escenario actual plantea un serio desafío para las autoridades. Las consecuencias de incidentes informáticos pueden poner en riesgo la estabilidad del sistema financiero y, lo que es peor, pueden afectar la confianza del público en los bancos. Pero, ¿qué debemos hacer para prevenir este tipo de incidentes? Una alternativa es avanzar hacia una nueva legislación que asegure mayores niveles de ciberseguridad, que obligue a los bancos a dedicar más recursos y que imponga nuevos estandares para prevenir ataques informáticos severos. Sin embargo, la rapidez con que avanzan los ilícitos informáticos puede dejar obsoleta en un par de meses a la mejor de las leyes. O lo que es peor, la aplicación de una ley obsoleta podría acarrear más obstáculos para la industria y, consiguientemente, el crecimiento innecesario de los costos de compliance.
Para una aproximación eficiente a la ciberseguridad, resulta esencial un esfuerzo público y privado para concientizar sobre los riesgos de la digitalización y promover una cultura de la ciberseguridad. Lo que, además, debe venir acompañado de una mayor participación del supervisor financiero en materia de ciberseguridad. La SBIF tiene las herramientas necesarias para presionar a los bancos a actuar más decididamente en la prevención de incidentes informáticos, ya sea a través de una nueva normativa o mediante el proceso que realiza año a año para calificar la gestión de los bancos. Otras fórmulas a explorar involucran la creación de mecanismos para otorgar inmunidades para permitir la coordinación entre empresas para la prevención de incidentes informáticos, sin que esto signifique una infracción a las normas de libre competencia. Y el reforzamiento de las capacidades del Ministerio Público y las policías para perseguir los ilícitos informáticos transfronterizos.
Asimismo, los esfuerzos de las autoridades deben ser acompañados por una mayor inversión en ciberseguridad por parte de las empresas, que deben asegurar un entrenamiento constante de sus trabajadores, la adquisición de talento en áreas informáticas y un tono desde el gobierno corporativo de cada empresa para abordar este riesgo como relevante para el funcionamiento del negocio. De igual forma, los bancos deberán revisar sus contratos con sus proveedores, a objeto de verificar que las responsabilidades en materia de ciberseguridad se encuentren claramente delimitadas y debidamente asignadas.
Solo de esta forma evitaremos tener que jalar del cable de poder o aplicar el antiguo y nunca bienvenido ALT+CTRL+SUPR.