Esta semana la Unidad de Investigación de Radio Bío Bío publicó un reportaje en el que se narran los hechos sobre una estafa informática que ocurrió dentro de Banco de Chile en la que, según la querella presentada por la institución financiera, el técnico en computación Elías Lillo Sandoval, que se desempeñaba como “Especialista en Operaciones” del banco, robó la suma de 475 millones de pesos chilenos mediante un total de 35 transferencias que realizó entre mayo de 2017 y mayo de 2018.
Cabe destacar que el Banco de Chile fue noticia hace menos de dos meses por el ciberataque que sufrió el 24 de mayo en el que cibercriminales internacionales robaron, mediante transferencias bancarias, cerca de 10 millones de dólares en lo que fue una operación sofisticada que incluyó la introducción de un código malicioso. Si bien esto sucedió antes, sale a la luz ahora y no deja de ser negativo para la entidad el hecho de ser noticia con algunas semanas de diferencia, por dos ataques informáticos que sufriera. Según supo Radio Bio Bio, Lillo dejó de asistir en fechas cercanas a las que sucedió el ciberataque, aunque nadie sabe exactamente si fue antes o después.
Los investigadores detrás de la estafa informática llegaron a la conclusión de que el técnico engañaba a sus superiores, quienes confiaban en el experto y le daban acceso a una clave electrónica que utilizó para realizar las transferencias desde su computadora en el Banco, identificada con su Alias “PCUl5W”, a la cuenta de su padre, ya que éste les hacía creer que utilizaba los accesos para realizar tareas que formaban parte de sus labores normales.
Si bien Lillo Sandoval no dejó evidencia alguna de las transferencias que realizó, sí quedaron registros en los sistemas. De hecho, fue así que el 14 de mayo, el jefe Departamento de Control Financiero y Tesorería del Banco se dio cuenta de que algo estaba sucediendo cuando tres operaciones en las que se realizó un traspaso de dinero desde la cuenta en dólares del banco al sistema interno llamaron su atención. En seguida reportó el hecho y se activó el protocolo de seguridad.
Si bien las operaciones fradulentas por las que se acusa al técnico en computación ocurrieron entre mayo del año pasado y mayo de este año, a partir de la investigación los auditores continuaron buscando y constataron que, con una metodología similar, desde 2008 se habían realizado más de 240 transferencias equivalentes a una cifra cercana a los 2.200 millones de pesos chilenos, aunque según explica el medio local, estos movimientos aún están siendo investigados y no se puede afirmar que estén relacionadas con el acusado.
Así, el Banco de Chile presentó una querella por estafa contra Elías Lillo Sandoval, al tiempo que no se sabe el paradero del acusado.
Las amenazas internas
Cuando hablamos de medidas de seguridad no solo nos referimos a las que se deben tener en cuenta para evitar ataques provenientes del exterior, sino también del interior de la empresa, organización o institución. Y es que puertas para adentro, una entidad ─como puede ser en este caso un banco─ debe tomar los recaudos suficientes ante la posibilidad real de que exista una amenaza interna. Muchas empresas saben esto y lo confirma un estudio realizado por Niux en 2016 donde en una encuesta realizada el 93% opinó que la mayor amenaza contra la seguridad corporativa la representan los empleados que la componen.
En este sentido, la realización de auditorías internas es una gran herramienta para establecer un diagnóstico acerca del estado de la seguridad puertas para dentro de la institución.
El principio del menor privilegio como estrategia
Una estrategia de seguridad aplicable en casi todos los ámbitos es la del principio del menor privilegio, que se sustenta en la idea de limitar el acceso y los permisos para casos en los que resulta imprescindible. De esta manera, se tiene mayor control de quienes pueden acceder a determinada información y a la vez se reduce el margen de posibles incidentes, como puede ser una fuga de información, robo de datos o el daño de archivos de valor, por ejemplo.
Como dijo el especialista en seguridad de ESET, Miguel Ángel Mendoza, “la asignación de permisos a un usuario sin control alguno puede permitir que se lleven a cabo acciones para las cuales no está autorizado, como acceder, obtener o modificar información de valor”.