Francisco Olmedo.
¿Qué amenazas a la seguridad enfrenta hoy la industria financiera chilena y de dónde provienen?
Cabe consignar que estos incidentes no son problemas nuevos, globalmente vienen ocurriendo desde hace algún tiempo. En nuestro sector, hay diferentes tipos de amenazas. Los atacantes tratarán siempre de vulnerar nuestras plataformas. En ese sentido, sus objetivos son dos: obtener dinero de manera ilícita, es decir, robar a las instituciones o a los usuarios; y ocasionar daños a los sistemas. En este último período el sector financiero ha sido víctima de este tipo de intrusiones; por lo tanto, me parece que siempre hay aspectos por mejorar y se deben llevar a cabo inversiones en esta materia.
Generalmente, se identifica el origen de las amenazas, y este tipo de ataques proviene de países como Rusia, Corea del Norte o China. Junto con Estados Unidos, a nivel latinoamericano, los lugares principales radican en Brasil y Perú. Hoy en día, la mayor cantidad de incidentes de seguridad a nivel local se concentran en la clonación de tarjetas, phishing, malware, vulneración de sistemas y suplantación de dispositivos.
¿Cuál es el eslabón más débil en la cadena de ciberseguridad del sector financiero?
Lamentablemente, siempre lo serán los usuarios. En cualquier momento, se nos puede pillar desprevenidos, propiciando situaciones como el phishing, ingresando claves y datos en portales que no son de las instituciones financieras. Tenemos que estar muy atentos dónde insertamos nuestras tarjetas, por ejemplo, al utilizar los POS. En ese sentido, el malhechor ya tiene resuelto el 50% de su fechoría y el otro 50% se relaciona con la utilización de contraseñas débiles. Por lo tanto, me parece que el rol que juegan las personas en la prevención de los ciberataques es fundamental.
Las empresas del sector, por su parte, en general han mejorado bastante en los últimos años; se ha invertido mucho y se han generado alianzas con proveedores de seguridad especializados y otras instituciones financieras foráneas. De hecho, la industria financiera lidera en esta materia a nivel local y está dictando la pauta actualmente.
En este sentido, ¿es relevante avanzar con un cambio cultural en las organizaciones y en los usuarios?
Absolutamente. Generar un cambio cultural es una estrategia clave. Hay que tomar conciencia de que el fenómeno de los ciberataques es prácticamente una industria del robo y está modificando todo el mercado. Incluso, hay videos tutoriales en YouTube que muestran cómo generar una intrusión. Por lo tanto, lo que se está promoviendo hoy es que las empresas empiecen a considerar en sus ítems de presupuestos eventos de ciberseguridad con montos asociados a pérdidas por incidentes; vamos a tener que acostumbrarnos a que este tipo de situaciones sean recurrentes. Por eso resulta primordial la estrategia de las entidades financieras en cuanto a saber reaccionar a la misma velocidad y utilizando las mismas y mejores tecnologías que las “organizaciones” de ciberataques emplean.
A su juicio, ¿es adecuada la actual normativa sobre ciberseguridad?
En general, me parece que en temas de legislación debemos mejorar bastante a nivel nacional. Las normas que hay en la actualidad están atrasadas y son más bien ambiguas en términos de definiciones y en cuanto a concretar responsabilidades en este tipo de situaciones. En la práctica, las clasificaciones que se manejan son antiguas, ya que hablan sobre conceptos de seguridad de hace más de diez años. A nivel de gobierno se están impulsando nuevas iniciativas, por ejemplo, en relación al Convenio de Budapest (2017), e incluso se ha avanzado en impulsar la Política Nacional de Ciberseguridad implementando propuestas asociadas a medidas operativas y materias legislativas.
Y los bancos que operan en Chile, ¿han implementado correctamente los lineamientos de esta normativa?
En términos de cumplimiento, los bancos van incluso por delante de la normativa vigente. Se dispone de una normativa específica y muy detallada en la industria y que tiene un cumplimiento muy estricto en el sector. En ese aspecto, la Superintendencia de Bancos e Instituciones Financieras (SBIF) desarrolla y verifica las exigencias, que los regulan más allá de las normas legales a nivel país. Por ejemplo, se han publicado diversos oficios y la SBIF está verificando la forma en que se están implementando estas medidas de seguridad en términos prácticos.
¿Qué elementos son clave para incrementar la seguridad del sector?
Una de las medidas más importantes es destinar presupuestos concretos para generar estructuras o plataformas de protección. Además, es importante empezar a ver el tema de la ciberseguridad no como un costo o gasto, sino más bien como una inversión que se traduce en una percepción positiva de clientes y usuarios en cuanto a la seguridad, mejor reputación y cumplimento en términos de servicios. Todos los intercambios de e-commerce o de información deben incluir necesariamente un componente de seguridad; ya no es posible pensar en improvisar en este aspecto. Bajo esta premisa siempre hay que garantizar el cumplimento de los tres conceptos fundamentales de seguridad de la información: confidencialidad, disponibilidad e integridad de los datos.
¿Han pensado implementar una “plataforma común” para que los bancos avisen y discutan los ataques a sus respectivos sistemas?
El retail, por ejemplo, está llevando a cabo la implementación de modelos predictivos de comportamiento de consumidores a través de soluciones de Big Data e Inteligencia de Negocios, ligados a estrategias comerciales. Algo así sería muy interesante de hacer también en el rubro de la ciberseguridad. Sin embargo, por un tema que, a la luz, parece bastante lógico, y que también puede ser asociado a un aspecto cultural, las instituciones no promueven el hecho de hacer pública una situación de ataque o incidente sufrida al interior de su empresa; claramente, esto te puede dejar en desventaja frente a un competidor; es además, un tema de reputación. Pero, evidentemente, con el enfoque de ciberseguridad basado en un marco colaborativo, es un aspecto a mejorar. Un buen ejemplo a seguir son las normas de protección de datos de la UE que no solo garantizan el resguardo de los datos personales, sino que obligan a informar de forma inmediata cuando una firma sufre un ataque a su seguridad.
¿Chile cuenta con los profesionales necesarios para defender su industria financiera?
De acuerdo a varios estudios que han sido publicados en el último año al respecto, existe un círculo bastante reducido de profesionales relacionados con la seguridad de la información. En estos momentos, nuestro sector está en una fase en proceso de maduración en este ámbito, se ha establecido una base mínima donde están definidos, tanto los conceptos específicos y tecnológicos como las políticas, entre otros. Por tal motivo, desde ahí debemos continuar mejorando con una mayor cantidad de profesionales especializados en redes, herramientas de seguridad y monitoreo de diferentes plataformas, para lo cual se requiere que el personal esté capacitado. Hay un marco normativo y un desafío global muy exigente que debemos cumplir y para eso necesitamos profesionales idóneos.
El Centro de Compensación Automatizado (CCA), utilizado por 16 instituciones partícipes, fue creado como una forma eficaz de ampliar el ámbito de negocios bancarios de las transacciones electrónicas (TEF), aumentando la calidad y seguridad de los sistemas de pago y ofreciendo al resto de la comunidad canales alternativos para el desarrollo de medios de transacciones electrónicas.