Ya pasaron dos meses del segundo ciber ataque masivo exitoso en Latinoamérica, pero el problema está muy lejos de solucionarse. Esta vez el blanco fue el Banco de Chile y el resultado fue el robo de U$S 10 millones que se efectuó, otra vez, a través de vulnerabilidades en los sistemas de la plataforma SWIFT. Esta ola comezó en febrero de 2016. Un banco de Bangladesh fue víctima de un sofisticado ataque en el que robaron unos U$S 81 millones. En ese momento, la novedad del ataque fue que la operación se hizo vulnerando al sistema SWIFT (Society for Worldwide Interbank Financial Telecommunication) encargado de efectuar transacciones monetarias entre entidades financieras de todo el mundo. El ataque fue atribuido por diversos investigadores tiempo después, al famoso Grupo Lazarus; organización ciber criminal con un importante récord de robos y ciber ataques por más de diez años. La organización SWIFT reaccionó de forma más o menos rápida, modificando y profundizando su CSP (SWIFT Customer Security Program) en el que indicaban que para seguir operando con ellos, todas las entidades adheridas debían cumplir con el nuevo Customer Security Controls Framework (Marco de Controles de Seguridad para los Clientes). De hecho, y según las recomendaciones de SWIFT, se iban a efectuar auditorías a los bancos adheridos y se les iba a cancelar la suscripción de no cumplir con dicho marco de ciber seguridad. Sin embargo, a partir del primer evento en Bangladesh, los ataques a bancos a través de los sistemas de SWIFT se multilplicaron a lo largo del mundo con modus operandis similares y también atribuidos por los investigadores al Grupo Lazarus. Estos son algunos de los incidentes:
- 2015, Banco del Austro, Ecuador, U$S 12 millones
- Mayo de 2016, un banco que no quiso identificarse de Taiwan, cantidad no indicada.
- Diciembre de 2017, Taiwan’s Far Eastern International Bank, U$S 266 mil
- Diciembre de 2017, Banco Globex de Rusia, U$S 1 millón
- Febrero de 2018, India’s City Union Bank, U$S 2 millones
- Marzo de 2018, Bank Negara Malaysia, no lograron concretar el robo.
- Mayo de 2018, Banco de Chile, U$S 10 millones.
Nota por Carlos Benitez
Carlos Benitez, es un reconocido experto en temas de seguridad de la información.