El miércoles 20 de octubre 2021, Ruth Arregui Solano, titular de la Superintendencia de Bancos (SB); compareció ante la Comisión del Desarrollo Económico de la Asamblea Nacional respecto al incidente presentado en los servicios electrónicos del Banco Pichincha.
En primera instancia, se destacó el tema de ciberseguridad, como el desarrollo de programas y estrategias institucionales para defender y anticipar amenazas cibernéticas con el fin de proteger y asegurar datos, sistemas y aplicaciones en el ciberespacio que son críticos para la operación de una entidad.
En otro ámbito, el desarrollo de la tecnología y a causa de la pandemia COVID-19, las entidades financieras generaron más servicios virtuales, se incrementó la transaccionalidad a nivel de operaciones y en consecuencia el aumento en los ciberataques principalmente a las instituciones financieras de América Latina.
En palabras de Arregui “En los últimos dos años las intrusiones interactivas se multiplicaron por cuatro, concretamente durante la pandemia, cuando se incrementaron los servicios digitales (…) entre el 2019 y el 2020 se incrementó en 33% las transacciones virtuales”.
Así, la máxima autoridad del organismo de control definió lo acontecido con el Banco Pichincha como un ataque de ciberseguridad, que ha constituido “un acto delictivo, imprevisto e irresistible, cometido por atacantes expertos y conocidos a nivel internacional”.
Línea de tiempo del ataque de ciberseguridad
El pasado 8 y 9 de octubre el Banco Pichincha informó a la SB de unas pruebas que estaba realizando en su data center alterno.
No obstante, el domingo 10 el banco notificó a la Superintendencia sobre un incidente, que “inicialmente eran intermitencias de los canales” enseguida se desplegó un equipo de supervisores in situ para efectuar inspecciones, auditorias e investigaciones por los hechos suscitados. Además, el ente de control recomendó comunicar lo sucedido a sus clientes.
Durante los días de la falla, la Superintendencia realizó un monitoreo constante de lo que sucedía, indicó Arregui. Las fallas todavía están en análisis.
Posterior se dispuso al Banco Pichincha:
- Efectuar una auditoría externa forense.
- Realizar una auditoría informática y financiera.
- Asumir afectaciones económicas y pecuniarias de usuarios financieros; así como la definición de su metodología o plan de acción.
También, se detalló las acciones que ha realizado la Superintendencia de Bancos para proteger datos de los ciudadanos frente a posibles filtraciones de datos personales o robos de información.
Por ejemplo, a través de los canales digitales de la SB se mantiene activas campañas de comunicación con el propósito de proteger los datos; como se detalla en el siguiente gráfico:
Supervisión Basada en Riesgos de carácter preventiva, integral y prospectiva
Arregui enfatizó en la aplicación de la metodología de Supervisión Basada en Riesgos, en el caso del Banco Pichincha se evalúa el Plan de Continuidad y Plan de Estabilización Tecnológica. En específico, se desarrolla supervisiones focalizadas en cuanto a la gestión del riesgo tecnológico (ciberseguridad) y un monitoreo continuo sobre riesgo de disponibilidad de canales electrónicos.
Finalmente, Arregui ratificó la misión de la Superintendencia de Bancos; proteger los ahorros de los depositantes, afiliados y pensionistas del sistema financiero nacional a través de su metodología de Supervisión Basada en Riesgos acorde con las mejores prácticas internacionales.
Quito, 21 de octubre 2021
