Fuente: Pulso- www.latercera.com
Intensos han sido los días para Mario Farren desde que en mayo asumió como superintendente de Bancos. Ese mismo mes el Banco de Chile sufrió un ciberataque donde le sustrajeron US$10 millones, y una vez que pasó esa tormenta, comenzó otra con las filtraciones de información de tarjetas de crédito a través de un cuenta en Twitter de la banda de hackers The Shadow Brokers.
La Superintendencia de Bancos e Instituciones Financieras (SBIF) presentó una denuncia ante la Fiscalía Centro Norte por este motivo el 27 de julio, y pocos días después surgió una nueva cuenta en dicha red social, La Balsa Pirata, que filtró información de las tarjetas de coordenadas de BancoEstado.
En paralelo, el regulador anunció modificaciones a la normativa de ciberseguridad de la banca, e instruyó a las entidades financieras a mantener una mejor comunicación. “No quiero dar una señal de autocomplacencia, para nada, la tarea sigue pendiente, hemos avanzado y vamos a seguir avanzando”, comenta Farren.
Y esta semana Correos de Chile admitió que hay una alta probabilidad de que las filtraciones de tarjetas de crédito hayan salido de la base de datos de uno de sus proveedores de EEUU. “Los eventos que hemos tenido están identificados, con excepción de quién es el hacker de las filtraciones. Sin embargo, sabemos de quiénes se trata.
Por ejemplo, en el caso del BancoEstado, la PDI se demoró 24 horas en detener al hacker, estaban investigando el tema por la denuncia que pusimos en la Fiscalía, a la que se sumó la Asociación de Bancos una semana más tarde”, explica el superintendente. Y agrega: “respecto de la situación de filtración de tarjetas, ésta se produjo en un comercio, no se produjo desde los bancos, y no estoy defendiendo a los bancos, es la integridad del sistema, es importante decirlo: se filtraron de un comercio internacional”.
¿Qué balance hace a casi dos meses de la primera filtración?
-Hemos aprendido mucho sobre cómo se reacciona, cómo se contiene, cómo se recupera. Hemos aprendido respecto de cómo se comunica: no hay que sobrecomunicar. El otro aprendizaje es sobre el modo en que se comunican las instituciones, también ha habido una mejora en ese sentido. De hecho, hace cerca de tres semanas hubo un evento en Perú, la Asociación de Bancos de Perú se comunicó con la de Chile un viernes en la tarde, y a los minutos estaban los bancos y nosotros informados.
Qué fue lo que pasó, particularmente, con Correos de Chile, considerando que la estatal siempre tuvo la información, pero Nexus nunca pudo tener todos los datos hasta esta semana. ¿Qué puede hacer el regulador, faltan facultades, hay que mejorar la legislación?
-Estamos mejorando la RAN 1-13 (Recopilación Actualizada de Normas), donde decimos que queremos que los directorios de las instituciones se involucren, que haya evidencia de ello, y estén informados y autoricen las políticas, procesos, controles.
Pero Correos de Chile no entra en esa categoría.
-Correos de Chile no es una institución supervisada por la Superintendencia, entramos en esto porque hay tarjetas de crédito involucradas, las que son emitidas por emisores que supervisamos.
¿Ustedes anunciaron que pedirán mayor información de incidentes a la banca mediante modificaciones a la normativa de ciberseguridad, es una mera formalización de algo que los bancos ya entregaban, o nunca lo hicieron?
-Existía desde enero la petición de informar, ahora hemos sido más formales, más precisos respecto de qué es lo que significa cada cosa.
Si bien la SBIF avanzó en requerir mayor información con esta normativa, el gobierno anunció que enviará un proyecto sobre ciberseguridad. ¿Este considera requerir mayor inversión?
-Sobre lo que está haciendo el gobierno, habría que preguntarle concretamente al asesor nacional de ciberseguridad, Jorge Atton, pero indudablemente se está apuntando a proteger la infraestructura crítica, que tiene que ver con el sector público, el sector privado, donde está la industria financiera, telecomunicaciones, salud y transportes, entre otros. Nosotros nos estamos haciendo cargo del capítulo financiero dentro de la infraestructura crítica.
¿Y la Superintendencia quiere que la banca aumente la inversión?
-Más que prescribir en forma concreta un monto o un porcentaje a gastar, a lo que estamos orientados es a resultados. Entonces, por ejemplo, una regulación sobre la que estamos trabajando y que sacaremos de aquí a fin de año, es sobre el uptime de canales (tiempo mínimo de funcionamiento), que tiene que ver con el acceso…
No basta con decir sí, mi página estaba disponible, mi aplicación estaba disponible. La pregunta es: ¿Estaba disponible y se podía operar en ella? ¿Los clientes podían hacer Transacciones Electrónicas de Fondo (TEF)? Vamos a medir el uptime de la capacidad de las instituciones, esa es una métrica concreta.
¿La van a medir o van a exigir un mínimo?
-La vamos a medir y vamos a exigir un mínimo.
¿De cuánto sería el mínimo?
-En eso es en lo que estamos trabajando, pero ya tenemos la métrica, que es TEF, porque es una medida dura que realmente le importa a la gente.
¿Hasta ahora, de cuánto es el uptime?
-Es bastante alto, y ha mejorado muchísimo. En los últimos dos meses no hemos tenido prácticamente incidentes de latencia.
¿Cómo saben que ha bajado la latencia en los últimos dos meses?
-Porque así lo revelan nuestros monitoreos y porque las instituciones nos avisan inmediatamente.
¿Se definirán otros elementos en uptime, además de transferencias?
-Ese es un elemento en el que estamos trabajando, hay otros más.
¿Será como norma o ley?
-No necesitamos leyes, la SBIF tiene las herramientas. Este es un símil de lo que pasó con los cajeros, no necesariamente se pondrá en consulta.
¿Les faltan recursos para contratar expertos en ciberseguridad?
-Nos están dando los recursos. Los tenemos contemplados en el presupuesto que presentamos para 2019. En nuestro plan de gastos contemplamos modernización de infraestructura de tecnología de la información de la SBIF, y el reforzamiento del equipo de supervisión en materias de ciberseguridad.
¿Cuánto dinero extra pidieron para esta materia?
-Lo que puedo decir es que hemos acogido el llamado que nos hizo el gobierno, como a todas las reparticiones, de apretarse el cinturón y austeridad. Se cumplió, se está cumpliendo. Pero por eso no corresponde decir cuánto, porque hemos ahorrado por otros lados también. Pero hay elementos concretos para reforzar el equipo en ciberseguridad e infraestructura en TI de la SBIF.
¿Existe algún vacío legislativo en ciberseguridad en el país?
-El robo sigue siendo robo. Que te saquen la plata del bolsillo es equivalente a que te la roben de manera digital. Y los delitos fuera de Chile se tratan como siempre, hay que recurrir a la justicia en otros países, eso no ha cambiado. Ahora, ¿hay algo que perfeccionar? Sí, creo que el cibercrimen tiene que tener una definición clara, la ley tiene que distinguir el cibercrimen como lo que es, un delito. Ahí hay que hacer algunos cambios.
El FMI ya entregó los resultados preliminares de ciberseguridad, ¿qué balance hizo el organismo?
-No podemos referirnos hasta tener el informe final, lo que hay es un informe preliminar. Ahora, ese informe preliminar nos tiene bastante expectantes, fue esclarecedor. El final debiera venir antes de fin de año.
La SBIF ha hecho dos normas de provisiones, ¿qué pasa con consumo?
-Estamos trabajando en esa normativa. La última la sacamos en créditos grupales comerciales.
¿Cuál será el estándar mínimo?
-En la anterior significó, o está significando, un aumento en las provisiones, parece que es lo que corresponde. El nivel de seguridad al que estamos llevando a la industria es el adecuado, además, es procíclico, estamos en un año en que mejora el crecimiento y se expande el crédito.
¿Pero por qué les han dicho a los bancos que tienen un déficit en consumo?
-Las generalizaciones son malas, hay instituciones que están bien, y otras que tienen más espacio para mejorar.
El Banco Central viene diciendo que está monitoreando la compra de viviendas por inversionistas, la Encuesta Financiera de Hogares de esta semana muestra eso.
¿Están monitoreando?
-Tiene que ver con los ejercicios que hacemos respecto de los niveles de provisiones, es la forma que tenemos de preocuparnos del tema. Pero sí, lo estamos viendo.
Lo dejaría hasta donde lo puso el Central, los niveles de endeudamiento, el porcentaje que las personas destinan al pago de deuda está en niveles razonables, las prácticas que tienen las instituciones respecto del loan to value, es adecuada, no hay puntos de atención.
En esa encuesta, el grupo de hogares con menores ingresos aumentó el ahorro, disminuyó la deuda, y se mantiene la proporción de hogares en la banca, pero la SBIF dice que hay 270 mil desbancarizados.
-Hay que tener cuidado con las estadísticas. Lo que dijimos en el informe es que en el período en que se aplicó la legislación sobre TMC, se observa la salida de 275 mil RUT del sistema. Pero la causalidad no es necesariamente atribuible a la TMC, siempre dije que correlación no es lo mismo que causalidad. En esos años hubo crecimientos de la economía muy bajos, el empleo se precarizó, correlación y causalidad no son lo mismo. En el informe del Central señala que la informalidad del crédito no aumenta.
La ABIF en base a microdatos dice que sí ha aumentado la informalidad.
-Creo que son cosas en que hay que hacer el doble clic y mirar con más atención.
¿En qué consiste la portabilidad de créditos que busca impulsar?
-Prefiero no adelantar más. Diría que tiene que ver con la preocupación y el compromiso que personalmente asumí de hacerme cargo con inclusión financiera. Con eso vamos a hacer anuncios más adelante.