Robos electrónicos alertan sobre fragilidad en Ecuador

El nuevo fiscal, Galo Chiriboga, se reunió la semana pasada con el sector financiero.

El incremento de los delitos informáticos muestra que pese a que las entidades bancarias implementen seguridades en sus portales electrónicos, estas no son impenetrables. En el país existe la Ley de Comercio Electrónico desde 2002, fecha en la que se empezó a juzgar ese tipo de delitos, sin embargo, también hay vacíos en la legislación.

Dos casos de problemas informáticos pusieron en alerta, este mes, a los usuarios de los bancos. Los inconvenientes en el sistema operativo del Banco de Guayaquil y el desvío de fondos de 47 funcionarios del Consejo de Participación Ciudadana y Control Social (Cpccs) evidenciaron la vulnerabilidad de las herramientas electrónicas en el país.

El pasado 12 de julio, los usuarios del Banco de Guayaquil advirtieron, vía Twitter, de problemas para ingresar a sus cuentas en el portal electrónico y en los cajeros automáticos. Eso motivó una serie de rumores sobre las posibles causas, desde el ataque de ‘hackers’ hasta inestabilidad económica de la institución.

Pero la explicación fue distinta, lo ocurrido fue un desperfecto técnico en el software operativo, dijo el director del Banco, Guillermo Lasso, según diario El Universo. Además, se informó que el inconveniente fue superado el mismo día en un 80% según la cuenta de twitter de la entidad (@BancoGuayaquil).

Como respuesta a lo ocurrido el Banco dispuso sistemas alternativos para la atención al público; y pidió a los usuarios que escriban a distintos correos electrónicos, o se comuniquen con el banco para atender de forma personalizada los inconvenientes, que se hicieron públicos después, también por las redes sociales.

Una persona reportó el martes pasado en su perfil de Facebook que tenía $ 500 menos en su cuenta de ahorros; y que cuando consultó le dijeron que esto se produjo por el problema informático; la presentadora de televisión Doménica Mena, reportó en su cuenta de twitter que le cambiaron el nombre a una cuenta que había abierto; otros que no pudieron cobrar las pensiones alimenticias a través de la entidad.

Pero según los representantes del banco “fue tema de un solo día, y eso quedó como le consta a la ciudadanía, completamente superado. Realmente fue un tema operativo”, explicó Angelo Caputti, vicepresidente Ejecutivo y gerente General del Banco, el pasado miércoles, durante la firma de un convenio.

Respecto a las pensiones, aseguró que se cobraron con normalidad, al igual que el resto de obligaciones: “los roles se han cobrado, los bancos del barrio están normal y es una operación absolutamente normal”, recalcó Caputti y sin ofrecer más detalles, reiteró que fue un problema del sistema operativo y que se incrementó la capacidad de ancho de banda y de respuesta para dar mayores facilidades a los clientes. “Fue un tema puntual, hoy absolutamente superado y se retomó la normalidad. Tomó una mañana y una tarde y es algo absolutamente superado. Hemos tomado muchas medidas para salir fortalecidos”.

Robo a trabajadores del Consejo de Participación Ciudadana

La semana anterior, en cambio, la presidenta del Cpccs, Marcela Miranda, denunció la pérdida de por lo menos $20.000 de las cuentas de 47 funcionarios de la entidad. Según la denuncia, presentada ante la Fiscalía al día siguiente, el dinero desapareció de las cuentas de los empleados públicos a través de transferencias, en su mayoría realizadas al exterior.

José Vásquez, el abogado que lleva el caso, señaló en Radio Sonorama, que las cuentas de los funcionarios están de 10 bancos distintos: entre ellos, Guayaquil, Pacífico, Pichincha, Amazonas, Machala y Produbanco. El promedio de retiro en cada cuenta fue de $400 y el número de perjudicados subió progresivamente. El lunes se reportó 32 casos, el martes 39 y el jueves, 47, según Vásquez.

“El caso que más dinero reporto es a quien le retiraron 1500 dólares… Lo lamentable es que los bancos no hacen nada”, dijo el abogado a esa emisora. Además, indicó que aunque la Fiscalía inició los procesos de investigación presentarán el caso también en la Defensoría del Pueblo.

La Fiscalía afirmó que de encontrarse responsabilidad o negligencia bancaria en esta investigación se hará cumplir la resolución interinstitucional firmada en el 2010, que obliga a las instituciones financieras a restituir los dineros sustraídos de forma ilegal a sus clientes.

El director de Tecnologías de la Información de la Fiscalía, Jorge San Lucas, señaló que existen maneras de determinar el medio que se usó para perpetrar el delito. Y no se descarta una reunión con la Asociación de Bancos para analizar las medidas a tomar, para que el sistema bancario no sea vulnerable.

Para Ricardo Cuesta, presidente del Directorio de la Asociación de Bancos Privados, el caso merece una investigación más a fondo, pues a diferencia de otro tipo de delitos registrados anteriormente, los perjudicados no fueron escogidos aleatoriamente, sino que pertenecen a una misma entidad y trabajan en un mismo edificio. “Se necesita encontrar cómo fue realizado el delito, porque se pague o no se pague el perjuicio, lo que hay que determinar es qué pasa a futuro con el resto de usuarios, que quedamos expuestos quizá a una nueva forma de delito”.

Seguridad Cibernética en aumento, por distintos tipos de delitos

El problema de seguridad cibernética (cyber security) es un tema central en este momento, explicó a www.burodeanalisis.com Germán Creamer, profesor de Ingeniería Financiera en el Instituto de Tecnología Stevens, Estados Unidos. Entre las áreas de riesgo del sistema financiero se lo cataloga como un riesgo operativo muy alto, y por eso los bancos mundiales toman el tema con mucha seriedad. Esto, porque las entidades son objetos de ataque, incluso, de grupos terroristas.

“Es más efectivo hacer un ataque informático que físico, los sistemas de seguridad de los bancos de Estados Unidos y Europa, en este momento están fortaleciendo su sistemas, pero aún no son impenetrables. Es más, en los últimos meses se han presentado fallas tecnológicas que han mostrado la vulnerabilidad de estos sistemas, lo cual origina una crisis de confianza”, dijo el especialista, quien participó la semana pasada en una conferencia en la Espae.

Según Creamer, los delitos informáticos cada vez son más sofisticados. Si antes existían personas, sobre todo aficionados, que entraban a las bases de datos de los bancos como una especie de juego para demostrar quien tiene mayores habilidades; ahora, quienes lo hacen forman parte de redes organizadas y cada vez utilizan sistemas, más eficientes.

Uno de los delitos más típicos es la vulneración de las bases de datos de clientes masivos, donde se obtienen nombres, número de seguro social, cédula o de tarjetas de crédito, para poder extraer los fondos de esas personas. Pero también se dan casos a nivel corporativo, es decir que ingresan a bases de datos estratégicas, como información de potenciales clientes o proyectos de la empresa.

También está el conocido ‘pishing’, un método por el cual llegan ofertas a los correos electrónicos, que son muy bien elaboradas y parecen las páginas oficiales de los bancos. En los mensajes se pide que el cliente actualice los datos pues su clave está expirada.

Pero cuando el usuario envía la información esta se redirige a una cuenta diferente, falsa. “En realidad los datos van directamente a un ladrón, y aunque los bancos no pueden controlar directamente eso lo que están diciendo es: ‘mire, nosotros nunca le vamos a pedir la información de esa manera’”, dijo Creamer.

A mayor avance tecnológico, mayor vulnerabilidad

Así como se inventaron los sistemas automáticos, hay gente que se preocupa en ver cómo defraudarlos, agrega en este tema, el analista financiero Bruno Faidutti. “El fraude ha existido siempre, desde la época del fraude piramidal de Ponzi (1920) y la de Bernard Madoff (1990), en la bolsa de Estados Unidos que los consideran como fraudes financieros, otros los creen como habilidad financiera. El caso de David Murcia Guzmán (estafador y cometió fraude piramidal) en Colombia. ¿Cómo caen ellos? Ellos no caen por la inseguridad en el sistema, más por el shock de confianza que se crea por un rumor, y ese rumor siempre es un problema en la actividad financiera por la falta de credibilidad que se crea”.

Una vez que la institución financiera está automatizada, se elimina la tarjeta (o cardex) que servía para llevar el registro del saldo de las cuentas y toda la información se maneja en línea, indicó el analista. “Con la modernidad ahora todos los bancos son vulnerables, aunque siempre existe una central espejo o un ‘backup’, pero toma tiempo hacer esa migración y para mí que en el Banco Guayaquil fue un problema de migración de un sistema a otro para dar mejor servicio y eso hizo que colapse”, dijo.

Ante los rumores, añadió Faidutti, también existen formas de blindarse, y una de ellas es informar constantemente sobre la actividad y los índices financieros, así como de los servicios que está brindando la institución. “A mí me llamó mucha gente preguntándome si el Banco de Guayaquil estaba en riesgo y yo les dije no, no va a quebrar porque no hay un referente negativo para eso”.

En tecnología, nos hemos quedado atrás, señaló Lenin Vásquez, gerente de la empresa Security Data, quien aseguró que en Ecuador no hay una cultura de prevención. Se está concientizando a las empresas que deben asegurar la información que transmiten por internet, a través de los certificados de páginas web. Pero también se comunica a las empresas que las informaciones de correo pueden ser vulneradas, si no está siendo cifrada correctamente.

“Esperamos que nos ataquen para poder reaccionar, no hacemos un correcto análisis de vulnerabilidades ni un ‘etical hacking’, que es un mecanismo para determinar qué entradas están abiertas en las páginas webs, que son fáciles para que entren los hackers. Hay que prevenir y cerrar todas esas puertas para blindarse por completo”.

La Asobancos tiene un Comité de seguridad bancaria

Para la Asociación de Bancos, el delito informático es aleatorio, es decir, no se escoge una víctima por sus características, sino que le puede pasar a cualquiera que use medios electrónicos, para hacer transacciones de servicios financieros. Esto, según el presidente del Directorio de la entidad, ocurrió a medida que el cheque fue reemplazado por mecanismos electrónicos como las tarjetas de débito. “Los más expuestos son los que más utilizan los servicios, no tienen que ver con el saldo o el nombre, porque para el que esta capturando la información no conoce la cara sino los datos que están en una banda magnética”.

Pero aseguró que la banca cuenta con un área de seguridad informática, y dentro de la Asociación existe un comité de seguridad bancaria que agrupa a todos los jefes de seguridad. “Constantemente estamos en un proceso para implementar sistemas y procedimientos. Pero la mafia, que también tiene recursos, se inventa nuevos procedimientos”.

El negocio financiero en este momento tiene un fuerte componente tecnológico y Ecuador no es la excepción, agregó Germán Creamer. Por lo cual el sistema financiero ecuatoriano debería estar a la par de los sistemas mundiales, que ponen como prioridad máxima de sus negocios la protección contra los ataques cibernéticos.

Los activos más importantes de la institución bancaria son los clientes, según Clermont Muñoz, profesor de Finanzas de la Espae. Por lo tanto está implícita la responsabilidad de cuidar la información que se proporciona a través de sistemas que bloqueen el ataque de hackers o de fraudes informáticos.

“Al organismo de control (Superintendencia de Bancos) le toca velar porque los estándares de seguridad de los datos que se manejan en los bancos tengan los más altos niveles. Ecuador no es que ocupa un sitial importante en el mundo de las inversiones, otros países tienen sistemas más complejos y nuestra banca tendrá que ir evolucionando hacia ellos”.

El superintendente de Bancos, Pedro Solines, reconoció la semana pasada que así como los delitos comunes se incrementan día a día, también ocurre en la parte informática; y aunque el regulador establezca nueva medidas para bloquear el ataque, los ladrones virtuales estudian cada día nuevos mecanismos para evadir esas seguridades.

“No significa que la fiscalía, policía o la Superintendencia están inertes ante esa situación. Nosotros cuando emitimos la resolución para atender los reclamos rezagados de delitos informáticos, dispusimos la implementación, a los bancos, mutualistas y cooperativas que implementen seguridades para limitar el cometimiento de estos delitos informáticos. Además, la Junta Bancaria emitió regulaciones específicas para que las instituciones financieras las cumplan”, mencionó el funcionario, en rueda de prensa.

Lo cierto es que esa evolución de los delitos significa que las entidades financieras deberán hacer frecuentes inversiones para hacer un blindaje electrónico, indicó Muñoz. “Eso cuesta, y por eso es un gasto que muchas veces se suele diferir, por el poco potencial de amenaza. Pero en el momento en que empiezan a existir hay que poner más bloqueos. Y en la medida en que un banco se proteja le dará mayor confianza al cliente, lo cual debería traducirse en una mayor lealtad, porque se da cuenta que entre un banco y otro hay mayor protección”. (VVC)

Publicidad

Deje un comentario

Powered by Buró Estratégico