El ataque cibernético sufrido por BancoEstado el fin de semana -que ha paralizado a decenas de sucursales en todo el país y ha dejado a cientos de empleados sin poder acceder a sus sistemas de trabajo- es sólo el último de una serie de ataques que esa entidad ha sufrido en los últimos meses. 

Si bien es el más masivo, INTERFERENCIA tuvo acceso a varias querellas criminales entabladas por el propio BancoEstado durante los últimos meses, que muestran que esa entidad ha sufrido numerosas vulneraciones. Entre ellas abundan los casos de clonación de tarjetas y phishing ocasionales, los cuales han ocurrido al menos una decena de veces desde el año pasado hasta la fecha, según los documentos judiciales a los que tuvo acceso nuestro medio.

Hasta ahora la mayoría de estas querellas, que buscan perseguir a delincuentes cibernéticos que han vulnerado sus sistemas de seguridad tecnológica, eran desconocidas para la opinión pública.

El caso más llamativo se refiere a los hechos ocurridos los días 25 y 26 de junio, a pocas semanas de que Sebastián Sichel asumiera la presidencia de la entidad estatal. Esos días, miles de usuarios reportaron graves fallas con la aplicación móvil del banco. A algunos incluso les desapareció por algunas horas su dinero depositado, arrojando un saldo de cero.

Horas después de los primeros reportes de problemas y pánico entre muchos usuarios, el día 26 el banco emitió un comunicado. “Respecto a versiones sobre la app BancoEstado, informamos que la información que circula sobre un hackeo en nuestra app es absolutamente falsa y no existe riesgo al actualizarla”.

La noche de ese mismo día, el presidente del banco habló públicamente para bajarle el perfil a la situación. “Es el banco con más clientes de Chile, por lo tanto hay intentos de hackeos masivos siempre, pero estamos con cortinas de seguridad que permiten bloquear”, aseguró Sichel en una entrevista con Teletrece.

Sin embargo, todo indica que el incidente fue de mayor envergadura a la que quisieron reconocer públicamente. Por eso mismo, la institución financiera interpuso calladamente una querella criminal por los hechos que rodearon las fallas de su app a fines de junio.

La querella

La querella de BancoEstado se presentó ante el 7° Juzgado de Garantía de Santiago y está dirigida contra todos “quienes resulten responsables” por el delito de “Sabotaje y Espionaje Informático (y) uso malicioso de tarjeta de pago o autenticación”. El banco señala expresamente que los hechos denunciados se relacionan con “un fraude a clientes de Banco Estado realizado a través de la aplicación APP del Banco del Estado de Chile”. 

El escrito señala que “el día jueves 25 de junio de 2020, alrededor de las 22:30 horas, el área de Prevención de Fraudes de BancoEstado, tras un monitoreo de fraudes, recibió una alerta de vulneración de la aplicación APP, informando que clientes de BancoEstado presentaban transacciones fraudulentas (...) con otras instituciones bancarias”.

Según se señala la querella, el modus operandi empleado por estos hackers consiste en utilizar técnicas que les permiten ”obtener la clave de internet o clave ATM (cajero automático) del cliente -primer factor de autenticación- y luego por vulnerabilidad de la aplicación realizan el by pass del segundo factor de autenticación”. De esta forma, los ciber delincuentes habrían accedido de forma exitosa a un número no determinado de cuentas de los clientes. 

Un aspecto que llama la atención es que los hechos de fines de junio fueron mucho más graves de lo que se creía. En la querella, el BancoEstado detalla la magnitud del impacto que este ciberataque tuvo en sus clientes. En el escrito se mencionan 7.663 clientes alertados y bloqueados; 1.168 clientes que en relación a estos hechos sufrieron transacciones financieras, lo que "eventualmente habla de un daño patrimonial". Además, hubo al menos 485 clientes que presentaron reclamos al 30 de junio. 

“No cabe duda que ante los hechos que dan cuenta la presente querella se está en presencia de personas y organizaciones delictivas en materia informática”, dice el escrito.

El ataque de fines de junio

El 25 y 26 de junio se multiplicaron las denuncias de usuarios a través de canales oficiales y redes sociales por serios problemas para acceder a los servicios de la App de BancoEstado. 

Muchos usuarios no podían entrar en sus aplicaciones, se encontraron con sus cuentas bloqueadas, e incluso, algunos de ellos mostraban cómo sus aplicaciones arrojaban saldos cercanos a cero, a pesar de que contaban con dinero en sus cuentas. La aplicación aparecía con estos errores tras ser actualizada. Sin embargo, en esos días otros usuarios presentaban más problemas: recibían mensajes de texto para corroborar contraseñas o donde se les avisaba que su aplicación había sido corroborada, pero en otro celular.

En esos días se viralizó un video que advertía a los usuarios no actualizar la App de BancoEstado debido a que, por alguna razón desconocida, al agregar usuario y clave, se generaba un problema que en algunos casos terminó afectando el monto del saldo que tenían en la cuenta.

Curiosamente, BancoEstado presentó otra querella a propósito de lo ocurrido en esos días. Esta vez se trataba de una querella por el delito de "falsa alarma pública", la que en términos generales busca perseguir a todos quienes resulten responsables de haber esparcido el rumor de que la App de BancoEstado estaba siendo víctima de un hackeo.

¿Qué fue lo que pasó?

¿En qué consistió, concretamente, el ciberataque de fines de junio? En base a lo descrito en los documentos judiciales, Lizbeth Álvarez, experta en seguridad informática y fundadora de la empresa de seguridad digital Quartz Security, cree que probablemente “los ciber delincuentes utilizaron métodos de ingeniería social (como phishing o smishing, que son estafas a través de plataformas, correos o mensaje de texto), desde donde lograron obtener las contraseñas de los usuarios”. 

Álvarez explica que este ataque fue tal vez posible debido a que la App del banco era vulnerable, ya que en muchos casos su segundo paso de autentificación falló, lo que permitió que los hackers accedieran a dichas cuentas. La experta no descarta que el mecanismo para realizar el phishing pudiera haber sido precisamente alguna actualización. Sin embargo, dice que una investigación policial es la que debe analizar la App y determinar si existió un hackeo utilizando ese mecanismo.