El 24 de mayo de 2018 los empleados del Banco de Chile, una de las mayores entidades financieras de ese país, llegaron a sus sucursales y encontraron que miles de computadoras no encendían y el sistema informático se había caído. Un virus había inutilizado más de 9.000 computadoras distribuidas en toda la red de sucursales. Los equipos de tecnología respondieron como era previsible y concentraron todos sus recursos en restablecer el sistema. Era exactamente lo que los atacantes esperaban.
Mientras los técnicos trabajaban para reactivar las computadoras paralizadas, los atacantes ejecutaban en paralelo transferencias fraudulentas a través del sistema de transferencias interbancarias. El virus fue utilizado como distracción. Solo cuatro transferencias lograron concretarse antes de que el banco detectara las transacciones irregulares, pero esas cuatro bastaron para sustraer 10 millones de dólares.
El origen de la intromisión se rastreó hasta un terminal de PC en una sucursal de Valdivia, en el sur de Chile. Una operación ejecutada desde un punto de entrada periférico en una lejana sucursal, un simple eslabón en la cadena, el mismo que los supervisores, las entidades o marcos regulatorios tienden a no ver cuando están diseñados para supervisar o gestionar riesgos en casas matrices o sedes centrales de las grandes entidades financieras.
Ese mismo año en México, varias instituciones financieras fueron vulneradas en ataques escalonados a través del sistema de pagos interbancarios mexicano. La distinción crítica la estableció el propio Banco Central de México al determinar que el ataque no entró por la puerta principal del sistema de pagos, sino por el software que los bancos usaban para conectarse a él. Desde ahí, los atacantes enviaron órdenes de transferencia que el sistema aceptó sin sospechar, porque llegaban desde canales autorizados. Las pérdidas superaron los 500 millones de pesos, aunque las propias instituciones reconocieron una cifra indeterminada de daños económicos que preferían no revelar para evitar publicidad adversa.
El caso de México tiene implicaciones legales y técnicas interesantes, ya que cuando el vector del ataque es un proveedor externo, la pregunta de quién responde, ante quién y bajo qué régimen de responsabilidad, no tiene en la mayoría de los ordenamientos latinoamericanos una respuesta regulatoria clara. El banco contrata al proveedor, el proveedor conecta al banco con la infraestructura central, y el regulador supervisa al banco. El proveedor contratista opera en un espacio normativo de menor densidad regulatoria sin ser objeto de supervisión, aun cuando sus servicios produzcan pérdidas sistémicas.
Por su lado, Brasil tuvo el caso más dramático en términos de volumen y de simplicidad. En julio de 2025, un grupo de ciberdelincuentes sustrajo sumas equivalentes a 148 millones de dólares del sistema financiero brasileño en apenas dos horas y media, en el mayor ciberataque financiero de la historia del país. El punto de entrada fue la compra de las claves de acceso de João Nazareno Roque, de 48 años, empleado de una empresa contratista tecnológica autorizada por el Banco Central de Brasil para conectar bancos menores y fintechs con los sistemas centrales del sistema bancario nacional.
Roque recibió aproximadamente 2.700 dólares a cambio de sus claves y de una explicación sobre cómo funcionaban los accesos al sistema informático. Los delincuentes utilizaron credenciales legítimas, lo que dificultó que el sistema identificara los movimientos como sospechosos. El Banco Central de Brasil suspendió temporalmente el uso del sistema de pagos para varias instituciones, afectando a millones de usuarios.
Las puertas traseras eran la entrada principal: tres ataques desde afuera
Tres países, tres casos, tres vectores distintos: un virus introducido en una PC en Valdivia, un software contratado a un tercero en México, credenciales de un empleado vendidas por 2.700 dólares en São Paulo. En todos estos casos, reguladores y actores del mercado concentraban su atención en la entidad financiera como núcleo del riesgo. Sin embargo, el peligro no entró por donde se lo vigilaba, sino por la puerta trasera de quienes la conectaban, la operaban y la sostenían. Estos episodios evidencian que la gestión de riesgos no puede limitarse al perímetro de la entidad supervisada, sino que debe extenderse a toda la red de terceros y contratistas que hacen posible su funcionamiento.
Durante décadas, muchas instituciones financieras se convencieron de que podían externalizar la complejidad sin externalizar el riesgo, como si el mundo digital fuera una extensión elástica de sus organigramas. Pero la realidad, que siempre encuentra formas discretas de imponerse, es menos tranquilizadora: los sistemas no fallan en sus núcleos, fallan en sus periferias técnicas y humanas, en esos puntos donde la vigilancia se diluye y la responsabilidad se vuelve difusa hasta desaparecer.
Europa comprendió este problema y respondió con un cambio de paradigma regulatorio. El Reglamento de Resiliencia Operativa Digital (Digital Operational Resilience Act), conocido como DORA, entró en aplicación en enero de 2025 y cubre más de 20 categorías de entidades financieras con requisitos uniformes de gestión de riesgo tecnológico, incluyendo supervisión directa sobre los proveedores tecnológicos críticos.
La innovación de DORA reside en su lógica, ya que reconoce que el riesgo operacional digital es un riesgo de sistema y no de institución individual, y extiende el perímetro de supervisión y gestión de riesgos hacia los terceros contratistas que dan servicios y sostienen la infraestructura tecnológica. A comienzos de 2026, se estimaba que apenas el 50 % de las instituciones europeas cumplía plenamente el reglamento. Si ese es el nivel de cumplimiento en el mercado más regulado del mundo, cabe suponer que la situación en Latinoamérica, incluyendo a República Dominicana, sea aún más compleja.
Lo que los casos de Chile, México y Brasil demuestran es que el ataque moderno no necesita romper la bóveda o la caja fuerte. Le basta con comprometer a quien entrega unas llaves o con infiltrarse en una computadora de una sucursal lejana. Esa persona puede ser un contratista o un empleado de una empresa tecnológica que vendió sus claves por unos dólares. Los gobiernos, grupos financieros y reguladores que miden el riesgo únicamente en la entidad, y no en la red y contratistas que la sostienen, están quizás midiendo y mirando en el lugar equivocado.
Referencias:
El Dínamo, Los detalles del ciberataque al Banco de Chile: https://www.eldinamo.cl/pais/2018/06/09/los-detalles-del-ciberataque-que-termino-con-el-robo-de-10-millones-de-dolares-al-banco-de-chile/
BioBíoChile, El hackeo al Banco de Chile se originó en sucursal de Valdivia: https://www.biobiochile.cl/noticias/nacional/chile/2018/09/21/millonario-hackeo-al-banco-de-chile-se-origino-en-computador-de-sucursal-en-valdivia.shtml
Banco de México, Reporte de análisis forenses SPEI (versión pública, agosto 2018): https://www.banxico.org.mx/spei/d/%7B4A977A24-0889-3F24-A717-DF9DBBA118C1%7D.pdf
Animal Político, Fiscalía identifica responsables de ciberataques contra bancos mexicanos: https://www.animalpolitico.com/2019/03/fiscalia-responsables-ciberataques-bancos
World Compliance Association, Brasil sufre el mayor ciberataque financiero de su historia bancaria: https://www.worldcomplianceassociation.com/5095/noticia-brasil-sufre-el-mayor-ciberataque-financiero-de-su-historia-bancaria.html
Infobae, Así fue el mayor ciberataque contra el sistema financiero de Brasil: https://www.infobae.com/america/america-latina/2025/07/05/asi-fue-el-mayor-ciberataque-contra-el-sistema-financiero-de-brasil/
ESMA, Digital Operational Resilience Act (DORA): https://www.esma.europa.eu/esmas-activities/digital-finance-and-innovation/digital-operational-resilience-act-dora
Compartir esta nota
Sigue leyendo
{{#volanta}}{{volanta}}{{/volanta}}