-
Ninguno de los clientes del banco perdiรณ su dinero.
-
El ataque parece haber secuestrado las computadoras de las sucursales del banco.
El dรญa domingo el BancoEstado de Chile anunciรณ a sus clientes que fue vรญctima de un ataque cibernรฉtico y que se encontraban solucionรกndolo. No se supo la magnitud del ataque hasta el dรญa lunes, cuando el banco anunciรณ que sus sucursales no abrirรญan. El motivo: un ransomware, que habรญa secuestrado la red de las sucursales del banco.
La historia detrรกs de este incidente comenzรณ el dรญa 4 de septiembre, viernes por la tarde. Hasta donde se sabe, el hackeo fue originado por un documento de Office malicioso que fue abierto por un empleado del banco desde su equipo. Al abrirlo el archivo instalรณ una puerta trasera a la red de banco, la cual fue aprovechada por los hackers para acceder e instalar el ransomware.
Los primeros en darse cuenta del secuestro fueron los empleados que trabajaban en el turno del fin de semana. El sรกbado 5 de septiembre, al llegar a sus puestos de trabajo se dieron cuenta de que no tenรญan acceso a sus archivos. Eso es lo que hace un ransomware: encripta los archivos dentro de unos equipos. Para recuperarlos hay que pagarle al hacker por las llaves de desencriptaciรณn y usualmente el pago se realiza con bitcoin u otra criptomoneda.
Los empleados informaron al departamento de redes y seguridad informรกtica del banco, que luego hizo un anรกlisis de los daรฑos: se trataba de un ataque grave y el protocolo indicaba que debรญan avisar tanto a la Comisiรณn para el Mercado Financiero (CMF) como a la policรญa. La policรญa enviรณ un comunicado a nivel nacional de Alerta Cibernรฉtica Alta y la CMF a su vez alertรณ a la banca. De manera coordinada, BancoEstado, la CMF y la Sociedades de Apoyo al Giro estuvieron trabajando para evitar que el virus atacara a otra entidad.
El dรญa sรกbado fue trascendental. Los trabajadores tenรญan la instrucciรณn de evitar ingresar a la red del banco. Mientras que los distintos equipos, incluso la policรญa, intentaban controlar el problema. Fuentes cercanas al periรณdico ZDNet indicaron que, inicialmente, el banco esperaba recuperarse del ataque sin que fuera notado. Pero el daรฑo fue extenso, ya que el ransomware habรญa encriptado la gran mayorรญa de los servidores internos y estaciones de trabajo de los empleados.
El domingo 6 de septiembre, el banco tenรญa a sus departamentos de operaciones y de ciberseguridad desplegados, y mantenรญa comunicaciรณn constante con la divisiรณn de redes y seguridad informรกtica (CSIRT) de la policรญa de Chile. Sin embargo, no pudieron esconder mรกs las interrupciones en sus servicios y decidieron hacer pรบblico que habรญan sido vรญctimas del ataque de un software malicioso en un comunicado a travรฉs de Twitter.
Hoy, lunes 7 de septiembre, BancoEstado anunciรณ que sus sucursales se encontraban cerradas. Dadas las caracterรญsticas del ataque es posible que el banco trabaje en formatear las computadoras de sus sucursales y reinstalar el sistema operativo para que puedan volver a funcionar.
Afortunadamente, en este caso, BancoEstado hizo bien su trabajo y segmentรณ adecuadamente su red interna, lo que limitรณ lo que los piratas informรกticos podรญan encriptar. Es por esto que las sucursales se encontraban cerradas pero el sitio web, el portal bancario, las aplicaciones mรณviles y los cajeros automรกticos del banco siguieron funcionando. Asimismo, ni los clientes ni el banco han visto afectados su patrimonio, es decir, nadie perdiรณ su dinero.
Otro banco en Chile es vรญctima del ransomware
El ransomware es uno de los ataques mรกs populares que existen en internet. Su popularidad es tal que en la darknet pueden encontrarse servicios de Ransomware-as-a-Service, donde se pueden contratar piratas informรกticos para que ataquen a ciertas empresas, cual mercenarios en un ejรฉrcito.
Fuentes cercanas al proceso indicaron al periรณdico ZDNet que BancoEstado fue vรญctima de un ataque del ransomware Sodinokibi, del grupo REvil. Este ransomware es el mismo que afectรณ hace 15 dรญas al fabricante de Whiskey Jack Daniel’s y que le robรณ 1 TB de informaciรณn. Tambiรฉn fue el mismo que hackeรณ al CIBanco en Mรฉxico a principios de agosto, pero no se sabe si le robรณ informaciรณn.
El banco de Mรฉxico comparte eso con BancoEstado de Chile: no se sabe si se les robรณ informaciรณn. El presidente del banco expresรณ que no hubo una solicitud de dinero para liberar los equipos. Hasta donde se sabe, los hackers que llevaron a cabo el ataque no han hecho pรบblico ninguno de sus datos, que es algo que estos criminales suelen realizar.
Segรบn el periรณdico La Tercera de Chile, el ransomware es la principal ciberamenaza de Chile y este serรญa el segundo ataque en la historia reciente dirigido a un banco del paรญs austral. En CriptoNoticias se ha publicado una investigaciรณn de los sitios en los que se comparte la informaciรณn secuestrada por ransomware, a la que hay que estar atentos en los prรณximos dรญas.
