Ayer miles de clientes del BancoEstado que acudieron a distintas sucursales a lo largo de todo el país se encontraron con una desagradable sorpresa: estaban casi todas cerradas.

No sólo no pudieron hacer trámites, sino que aquellos sin acceso a las plataformas digitales -o que no saben manejarlas- tampoco pudieron retirar el segundo pago del retiro del 10% que varias AFP depositaron ayer.

La tarde del domingo, la entidad presidida por Sebastián Sichel, avisó a través de sus redes sociales que “durante este fin de semana, BancoEstado detectó en sus sistemas operativos un software malicioso”. En el mismo comunicado, la entidad aseguró que “apenas fue descubierto, nuestros equipos operativos y de ciberseguridad se desplegaron para localizar contener y solucionar esta situación”. El banco afirmó que el presunto ataque cibernético no había afectado a las cuentas de sus clientes ni a las plataformas web de los usuarios.

Nuestro medio conversó con varios empleados del banco que aseguraron que, efectivamente, ya el domingo varios de sus sistemas presentaban fallas y que funcionaban de manera intermitente. Los primeros blancos del virus fueron los correos institucionales, Banca en Línea Empresas y el sistema de cajas, entre otros, aseguraron. 

Sin embargo, hacia el lunes en la mañana ya estaba claro que el problema era aún más grave del que se había comunicado inicialmente al público y empleados. Si el domingo la entidad aconsejó preferir métodos digitales que ir en persona a las sucursales, no fue hasta ayer mismo que el banco decidió de manera urgente mantener cerrados la mayoría de sus agencias.

De hecho, recién pasado el mediodía BancoEstado envió a sus clientes un mail anunciando que “nuestras sucursales no estarán operativas y permanecerán cerrados hoy”. En el mismo correo, la entidad financiera que ha emitido más de 14 millones de tarjetas bancarias, siendo el banco con mayor número de clientes en Chile, informó: “Estamos haciendo todos nuestros esfuerzos para contener y revertir esta acción maliciosa de personas que buscan afectar la acción cotidiana de millones de chilenos que utilizan diariamente BancoEstado. Seguimos trabajando para reestablecer en su totalidad los sistemas operativos afectados”.

Y poco después de la una de la tarde, Sichel realizó un punto de prensa en las oficinas centrales, donde afirmó que el virus había encriptado archivos, pero que los clientes no habían sido afectados. El banco interpuso una querella en contra de los posibles autores de este ataque de malware.

El Equipo de Respuestas ante Incidentes de Seguridad Informática del Gobierno (CSIRT), el grupo encargado de monitorear y alertar brechas de ciberseguridad, ya había emitido una alerta el domingo en la noche respecto de un tipo de virus conocido como ransomware, en concreto el llamado Sodinokibi. Sin embargo, la alerta era para empresas privadas. “No se descarta que este vector pueda estar involucrado en el ataque dirigido a las entidades privadas de la economía local en las últimas horas”, afirmó la entidad. El CSIRT advirtió, eso sí, que “existe una amenaza que, de llegar a afectar a (entidades del) Estado, podría tener un impacto significativo”.

Este tipo de virus cibernéticos tiene un funcionamiento parecido a los secuestros. Es decir, entran a un sistema y secuestran los datos de computadores y servidores, en general encriptándolos; es decir, transformándolos en archivos muy difíciles de volver a abrir, como si estuviesen en otro formato. Los delincuentes mantienen “secuestrados los archivos” y para liberarlos piden recompensas millonarias. En general, si no se les paga, liberan datos sensibles (como números de tarjetas de crédito, claves, etc.) en foros o plataformas frecuentadas por hackers.

El senador Felipe Harboe (PPD) publicó ayer su cuenta de Twitter que el caso que afecta al BancoEstado sería de este tipo. “Petición de millonario rescate a @BancoEstado para retomar control de sus sistemas revela la precariedad de la ciberseguridad en el banco público chileno”. Además, pidió a “Comisión de Economía de @Senado_Chile citación a sus (BancoEstado) máximos ejecutivos. Esto es muy grave”.

INTERFERENCIA se contactó con el legislador para saber de dónde había obtenido la información de que se trataría de un ataque con fines de obtener un cuantioso rescate, que normalmente se suele cobrar en bitcoins. “Según expertos en ciberseguridad estaríamos ante este caso en el BancoEstado. No lo ha confirmado el banco, pero entiendo que le habrían confirmado a la CMF”, aseguró Harboe.

Nuestro medio contactó a la Comisión para el Mercado Financiero (CMF), órgano encargado de fiscalizar la actividad de las entidades bancarias. Esta confirmó que personal de su repartición había investigado en terreno los problemas asociados a este ciberataque, pero que su foco estaba en contribuir a que las personas pudieran tener sus fondos seguros y que prontamente pudieran acceder a los servicios del banco con normalidad.

Hasta el cierre de esta edición, el banco aún no sabía o no había confirmado qué tipo de virus había afectado a sus sistemas, ni cuán profundo había infectado a sus bases de datos.

Sichel aseguró ayer que se podría tratar de un virus nuevo.

Dados los pocos antecedentes que se conocen hasta ahora, Mauro Gómez, tecnólogo en informática biomédica y creador del sitio Aurockra sobre tecnología, afirma que estos virus no son nuevos y que se conocen desde al menos años atrás. Dentro de la familia de ransomware, por ejemplo, hay más de 15 virus parecidos y cada día van en aumento, dice. Típicamente, estos malware se activan al abrir un documento word o excel u otro tipo de software.

“Se han reportado aumentos de la incidencias en plena pandemia, a nivel mundial, porque muchas personas comienzan a trabajar desde sus casas y sus equipos no son de la organización, son de los trabajadores, son privados, y hacen falta protocolos de ciberseguridad por parte de las organizaciones para ellos”, explica Gómez.

Alerta sabatina

Justamente el sábado pasado, varios empleados que estaban en el turno de fin de semana alertaron a la plana mayor del banco que no podían acceder a varios de sus documentos de trabajo.

Según un artículo publicado por ZDNet, un sitio especializado en informaciones tecnológicas con base en Estados Unidos, “inicialmente el banco albergó la esperanza de recuperarse del ataque sin tener que hacerlo público”. Eso se condice con la cronología de este caso, ya que desde el sábado las autoridades del banco estaban al tanto, pero recién el lunes tomaron la decisión de no abrir sus sucursales.

Según ese medio, que cita fuentes internas que estarían al tanto del caso, “el daño fue extenso, ya que el ransomware encriptó gran parte de los servidores internos y las estaciones de trabajo de los empleados”.

“Por suerte, parece ser que el banco hizo bien su trabajo al segmentar de manera apropiada su red interna, lo que limitó lo que los hackers pudieron encriptar”, asegura la nota. Eso podría explicar por qué la página web, las aplicaciones y los cajeros no sufrieron ninguna alteración.

Según el sitio ZDNet, que asegura que el virus ya habría sido identificado como parte de la familia Sodinokibi, también conocidos como REvil, los operadores de estos virus tienen la particularidad de tener un sitio web donde filtran archivos robados en caso de no obtener el rescate. Hasta el lunes en la noche BancoEstado no estaba mencionado en esa lista. “Eso podría indicar que el banco ya pagó el rescate o que está negociando con los hackers”, afirma ese artículo.

Con todo, aún no hay confirmación oficial si efectivamente existe una petición de rescate monetario o no.

Gómez afirma que no necesariamente los ciberdelincuentes logren cobrar un rescate, si el banco detectó el ataque a tiempo y está logrando detener el avance del virus. La magnitud del ataque sólo se conocerá con el pasar de los días y la recuperación del sistema, afirma el experto.

Un ransomware similar atacó el 27 de agosto a la agencia de inmigración de Argentina. En esa ocasión los atacantes pidieron el pago de 4 millones de dólares. En tanto, este viernes, un virus parecido atacó el Hospital Moisès Broggi, en Barcelona. En Chile, el único antecedente parecido es el ataque que sufrido en 2018 por el Banco de Chile, que sí afectó a cientos de cuentas de clientes. 

En una entrevista con la Radio BioBio, el presidente del BancoEstado aseguró que “es un virus que encripta información de ciertas máquinas y computadores y lo que hemos hecho es no hacer operativas esas máquinas. La primera información fue el sábado, tomamos la decisión de bajar los sistemas, se tomaron todos los protocolos y contactamos a expertos para ver cómo desbloqueamos y ver cómo levantamos de a poco los servicios del banco. No vamos a descansar hasta pillar a quienes son los responsables”.

El caso ya ingresó a la Fiscalía Metropolitana Centro Norte, y estará a cargo de Jaime Retamal, fiscal adjunto de Delitos de Alta Complejidad, quien trabajará junto a la brigada de cibercrimen de la PDI.

El hermetismo también se mantiene sobre los trabajadores del banco, a quienes se les solicitó no referirse al tema en sus redes sociales. Mientras éstos no pueden acceder a sus programas de manejo de cajas o de negocios, tampoco manejan información sobre el tipo de virus que los afectó o cómo ayudar a solucionarlo. Solo hay una pista: mientras más lenta sea la recuperación, de mayor envergadura habrá sido el daño.

La mala racha de Sichel

Entre muchos empleados y gerentes existe un creciente descontento con la gestión de Sebastián Sichel, quien asumió la presidencia a inicios de junio. Entre muchos se comenta que el nuevo jefe está más interesado en promocionar su imagen y una eventual candidatura presidencial, que en el teje y maneje del banco estatal.

Nada más aterrizar en las oficinas centrales en la calle Bandera, Sichel trajo consigo a su círculo de hierro que trabajó con él cuando era ministro de Desarrollo Social. En los pasillos de la casa matriz se refieren a este grupo como “el gabinete ministerial”.

Después INTERFERENCIA reveló que una encuesta llamada Black&White, que situaba a Sichel en el tercer lugar de las preferencias presidenciales, pertenece a Paola Assael, miembro del directorio del BancoEstado. Esa primera encuesta, que nadie conocía antes, fue publicado en el diario digital El Dínamo, del cual Sichel fue gerente general hace algunos años.

Pero el malestar de muchos empleados y gerentes se enfoca en la seguidilla de fallas que se han dado desde que este ex militante de la DC asumiera la presidencia.

Y es que el reciente ataque, si bien el más grave, no es el único incidente en sus tres meses al mando.

A fines de junio miles de usuarios de la aplicación de smartphone del BancoEstado denunciaron en redes sociales y en los canales oficiales de la entidad bancaria que una actualización de esa aplicación había derivado en numerosos problemas. Algunos no podían acceder a sus cuentas y otros incluso se espantaron al ver que sus saldos estaban cercanos a cero a pesar de contar con dinero y ahorros en sus cuentas. 

Si bien BancoEstado negó que hubiera sido víctima de un hackeo, lo cierto es que tanto la aplicación telefónica como el portal de internet de la entidad bancaria fallaron durante varias horas. Finalmente, ningún cliente perdió dinero, pero el susto para muchos fue grande.

Además, muchos usuarios se han quejado que en los últimos meses sus contraseñas para acceder a sus cuentas no son reconocidas por lo que tienen que volver a crear una nueva. A veces hasta tres veces por semana.