Cuando la estafa se gesta en el interior de la institución: el reciente caso del Banco de Chile
Recientemente se dio a conocer el caso de una estafa informa tica que afectó al Banco de Chile, donde un empleado realizó durante al menos un año transferencias no autorizadas por valor de 475 millones de pesos chilenos (cifra que supera los 700 mil dólares) simulando que se trataba de actividades laborales.
Esta semana la Unidad de Investigación de Radio Bío Bío publicó un reportaje en el que se narran los hechos sobre una estafa informa tica que ocurrió dentro de Banco de Chile en la que, según la querella presentada por la institución financiera, el técnico en computación Elías Lillo Sandoval, que se desempeñaba como “Especialista en Operaciones” del banco, robó la suma de 475 millones de pesos chilenos mediante un total de 35 transferencias que realizó entre mayo de 2017 y mayo de 2018.
Cabe destacar que el Banco de Chile fue noticia hace menos de dos meses por el ciberataque que sufrió el 24 de mayo en el que cibercriminales internacionales robaron, mediante transferencias bancarias, cerca de 10 millones de dólares en lo que fue una operación sofisticada que incluyó la introducción de un código malicioso. Si bien esto sucedió antes, sale a la luz ahora y no deja de ser negativo para la entidad el hecho de ser noticia con algunas semanas de diferencia, por dos ataques informa ticos que sufriera. Según supo Radio Bio Bio, Lillo dejó de asistir en fechas cercanas a las que sucedió el ciberataque, aunque nadie sabe exactamente si fue antes o después.
Los investigadores detra s de la estafa informa tica llegaron a la conclusión de que el técnico engañaba a sus superiores, quienes confiaban en el experto y le daban acceso a una clave electrónica que utilizó para realizar las transferencias desde su computadora en el Banco, identificada con su Alias “PCUl5W”, a la cuenta de su padre, ya que éste les hacía creer que utilizaba los accesos para realizar tareas que formaban parte de sus labores normales.
Si bien Lillo Sandoval no dejó evidencia alguna de las transferencias que realizó, sí quedaron registros en los sistemas. De hecho, fue así que el 14 de mayo, el jefe Departamento de Control Financiero y Tesorería del Banco se dio cuenta de que algo estaba sucediendo cuando tres operaciones en las que se realizó un traspaso de dinero desde la cuenta en dólares del banco al sistema interno llamaron su atención. En seguida reportó el hecho y se activó el protocolo de seguridad.
Si bien las operaciones fradulentas por las que se acusa al técnico en computación ocurrieron entre mayo del año pasado y mayo de este año, a partir de la investigación los auditores continuaron buscando y constataron que, con una metodología similar, desde 2008 se habían realizado ma s de 240 transferencias equivalentes a una cifra cercana a los 2.200 millones de pesos chilenos, aunque según explica el medio local, estos movimientos aún esta n siendo investigados y no se puede afirmar que estén relacionadas con el acusado.
Así, el Banco de Chile presentó una querella por estafa contra Elías Lillo Sandoval, al tiempo que no se sabe el paradero del acusado.
Las amenazas internas
Cuando hablamos de medidas de seguridad no solo nos referimos a las que se deben tener en cuenta para evitar ataques provenientes del exterior, sino también del interior de la empresa, organización o institución. Y es que puertas para adentro, una entidad ─como puede ser en este caso un banco─ debe tomar los recaudos suficientes ante la posibilidad real de que exista una amenaza interna. Muchas empresas saben esto y lo confirma un estudio realizado por Niux en 2016 donde en una encuesta realizada el 93% opinó que la mayor amenaza contra la seguridad corporativa la representan los empleados que la componen.
En este sentido, la realización de auditorías internas es una gran herramienta para establecer un diagnóstico acerca del estado de la seguridad puertas para dentro de la institución.
El principio del menor privilegio como estrategia
Una estrategia de seguridad aplicable en casi todos los a mbitos es la del principio del menor privilegio, que se sustenta en la idea de limitar el acceso y los permisos para casos en los que resulta imprescindible. De esta manera, se tiene mayor control de quienes pueden acceder a determinada información y a la vez se reduce el margen de posibles incidentes, como puede ser una fuga de información, robo de datos o el daño de archivos de valor, por ejemplo.
Como dijo el especialista en seguridad de ESET, Miguel a ngel Mendoza, “la asignación de permisos a un usuario sin control alguno puede permitir que se lleven a cabo acciones para las cuales no esta autorizado, como acceder, obtener o modificar información de valor”.
FUENTE: welive security