Autor: CATALINA MUÑOZ-KAPPES
Empleados de Banco Estado explotaron falla por ciberataque de 2020 para cometer masivo fraude
La entidad se querelló por fraude informático y lavado de activos. Asegura que no se vieron afectados los fondos y los datos de los clientes. “Aproximadamente el año 2021, nos juntamos con Francisco del Pino, donde este me propuso la forma como poder sacar dinero del Banco (Estado), a raíz de falta de dinero de ambos.
Producto del ciberataque (de 2020), existían varias cuentas que estaban vulnerables”. Asínarra Luis Aranda, quien hasta fines de julio trabajaba en Banco Estado, cómo se fraguó el supuesto fraude informático que resultó en pérdidas de $6.100 millones para la entidad bancaria.
Según la querella que Banco Estado presentó este lunes ante el Séptimo Juzgado de Garantía de Santiago —informada ayer temprano por el sitio Interferencia— por los delitos de fraude informático, lavado de activos y asociación ilícita para la comisión de lavado de activos, Del Pino, como trabajador de Banco Estado, tenía acceso al proceso de “inyector”. Este sistema permite subir instrucciones de operaciones, las que se realizan automáticamente. Se usan varios canales asociados a distintas áreas del banco.
Del Pino, quien hasta el 8 de julio de 2024 se desempeñaba como jefe de proyecto en la gerencia División de Operaciones y Sistemas y que contribuyó a crear el sistema inyector, se habría percatado de que había un canal que, aunque estaba en desuso, seguía activo. Según Aranda, el ciberataque de 2020 a Banco Estado dejó vulnerables las cuentas.
“Presentaban descuadraturas, entre esas, de la cuenta corriente, para lo cual el analista contable tomaba los saldos y los cuadraba sin un análisis mayor”. Entre octubre de 2021 y noviembre de 2022, Del Pino habría dado al inyector instrucciones para realizar abonos a dos cuentas: la de empresa S2S Chile S.A., que era proveedora de Banco Estado, y la de Leidy Ferrer, ambas relacionadas a Del Pino, por un total de $523 millones. Aranda, quien tenía el cargo de jefe del Departamento de Procesos Sistemas de la Subgerencia de Operaciones de Créditos, autorizó en este período traspasos contables para regularizar estos abonos sin respaldo. De los montos extraídos, Aranda dice haber recibido $80 millones en cuentas de otros bancos. El fraude no habría terminado ahí. El 9 de julio de este año, la subgerente de Gestión Proveedores informó a la Contraloría Interna de un descuadre en una cuenta por abonos realizados desde el canal en desuso que utilizaba Del Pino. Como parte de la investigación del banco, se le solicitó al propio Aranda que revisase esta información. Ahí el trabajador notó que había abonos por $5.600 millones a las cuentas que habían utilizado previamente con Del Pino, montos muy superiores a los extraídos por él mismo. Tras este descubrimiento, Aranda se autodenunció ante su empleador, según su confesión estampada en la querella de la entidad. Desde Banco Estado aseguraron que las cuentas, fondos y datos de las personas y empresas no se vieron afectados por los hechos delictivos. A la tercera Hubo dos señales previas de irregularidades que aparentemente el banco dejó pasar. En 2022, el gerente general de 525 Chile S.A., Paulo Vio, tomó contacto con su ejecutivo por abonos que habían aparecido en la cuenta de la empresa. Estos fueron revertidos por el banco en su momento. Vio reconoce que no informó a la entidad bancaria de los abonos posteriores. En julio de 2023, un analista notó un descuadre en una cuenta. Hizo consultas a diversas áreas, sin resultado. Los abonos continuaron. Ricardo Seguel, director académico del Magíster en Ciberseguridad UAI, explica que el 77% de las brechas de seguridad ocurre a causa de personas al interior de las empresas. A su juicio, hubo una falla en los controles del banco, porque los trabajadores por sí solos pudieron desviar fondos sin que hubiera una validación de estas operaciones. Banco Estado informó que denunció a la fiscalía sobre los hechos constitutivos de delito el 24 dejulio.
Desde la entidad indicaron a “El Mercurio” que están “implementando medidas estrictas para asegurar que un incidente de esta naturaleza no vuelva a repetirse”, que incluyen una auditoría realizada por terceros, el refuerzo de los procesos de monitoreo y supervisión y medidas adicionales de control para las transferencias de recursos. El Ministerio de Hacienda informó de los hechos a la Unidad de Análisis Financiero y pidió al CDE presentar una querella. Pese a haber notado irregularidades en julio de 2023, Banco Estado no descubrió el supuesto fraude hasta julio de 2024. Entre octubre de 2021 y julio de 2024, individuos extrajeron $6.100 millones: