La limitada capacidad de respuesta del Banco Hipotecario de Uruguay frente al ataque de ransomware que sigue en marcha obliga a los directivos financieros a reforzar sus estrategias de ciberseguridad e, incluso, a superar lo exigido por los supervisores.
Este lunes 13 de octubre el grupo criminal Crypto24, que había amenazado con revelar información confidencial de los clientes del banco, empezó a difundir parte de los 700 GB de información robada. La información filtrada incluiría documentos de identidad de clientes, títulos de propiedad e historiales financieros, lo que representa un riesgo significativo para la privacidad y estabilidad patrimonial de los afectados.
El ciberataque al BHU, que comenzó el 30 de septiembre y se ha extendido por más de diez días, revela vacíos críticos y evidencia que las medidas reactivas no bastan. La industria necesita reforzar el monitoreo constante del cumplimiento de estándares de seguridad, tanto en bancos públicos como privados.
“Yo creo que primero hay una alarma a nivel de lo que es supervisión”, dice a iupana Agustina Pérez, especialista en derecho en tecnologías.
“Más allá de que haya solicitudes y antecedentes donde se pidió reforzar esta seguridad informática al banco, capaz que sí se tiene que hacer un seguimiento más continuo en toda la banca, tanto pública como privada, para ver si efectivamente se están cumpliendo con los requerimientos, con los estándares”, añade.
La especialista recuerda que en 2022 el Banco Central del Uruguay (BCU) sancionó al BHU por fallas en sus controles de seguridad de la información. A la luz del reciente ataque, advierte que el regulador debe adoptar un rol más proactivo.
Comunicar a los afectados
El BHU es una institución pública histórica en Uruguay, y su situación actual enciende alertas en toda la región. Mientras los grupos criminales avanzan con ataques cada vez más sofisticados, la banca sigue mostrando dificultades para contenerlos.
El 1 de octubre el banco pidió disculpas por los inconvenientes por un “incidente informático” y el 13 de octubre en un comunicado aseguró “que no hubo afectación financiera”. Entre esos días, el banco asegura que estuvo en coordinaciones con las autoridades correspondientes.
“El banco lo que hace es dar un comunicado en general, pero sería oportuno que en algún momento la regulación avance y se comunique específicamente a las víctimas que fueron afectadas, aquellos usuarios donde sí se está revelando su información”, opina Pérez.
¿Y si fue una negligencia del banco?
En los últimos meses distintas instituciones públicas de Uruguay han sido atacadas. Organismos vinculados a la educación, ingresos vehiculares y el registro nacional fueron focos de cibercriminales.
No obstante, el vigente ataque al banco es el de mayor repercusión. Para Pérez, el BCU podría revisar el cumplimiento de los estándares de ciberseguridad exigidos a los operadores financieros.
“Uno es la supervisión del Banco Central a nivel de la regulación financiera, vinculada con el tema de ciberseguridad y de seguridad informática. Los estándares que exige a los operadores locales”, comenta.
También podría intervenir la Unidad Reguladora de Protección de Datos Personales (URCDP), al evaluar el manejo de la información filtrada para proponer ajustes normativos. Incluso, si se presentan denuncias penales, se abriría una vía judicial bajo la ley de ciberdelitos vigente en Uruguay.
La lentitud y poca eficiencia del banco estatal ha sido cuestionada en distintos portales y por algunos especialistas. “No creo que por ser un banco público tenga menores niveles de infraestructura crítica o de exigencias, pero tiene que estar auditado a la paridad con las instituciones bancarias que también están operativas localmente”, sentencia la especialista.
