INTERBANK: hackers y seguridad. Lecciones de una crisis.

Se sabe que el Interbank sufrió una crisis hace pocos días, y es oportuno evaluarla a la luz de los hechos y la experiencia vivida entre las partes. Aquí aportamos algunas claves y conclusiones.

1.- Rumor es desamor: El pasado 30 de octubre, era público que ese banco, uno de los más grandes del país, sufría la caída de sus sistemas y la falla temporal en sus sistemas de atención. El rumor crecía, circulando mediante redes sociales y quejas en las puertas de las agencias. Se decía que habían jaqueado los sistemas del banco y que los depósitos estaban en riesgo. El rumor es básicamente una información creíble, pero infundada. Si crees en tu banco, confías en que resolverá el problema, si no, entras en el trompo del rumor.

Después de algún tiempo en el Perú, volvió a asomar el síntoma del pánico financiero. Si oyes que se están llevando tu dinero, te angustias y presionas por información. El banco reaccionó informando sobre la indisponibilidad de sus canales de atención y pese al problema (hubo colas) las agencias siguieron funcionando. Hubo clientes que quedaron tranquilos y esperaron. Otros clamaban el retiro de sus fondos.

2.- Hay que llenar el vacío. Cuando existe una información de buena fuente que explica las cosas, el rumor se detiene, y con ello el daño reputacional. Lamentablemente, el banco no pudo explicar tan rápido y a todos, qué es lo que pasaba. Después se supo, por boca del CEO, Carlos Tori, que tuvieron que afrontar un problema operativo propio, y la intrusión de un hacker delincuente que capturó data de las cuentas de sus clientes y amenazaba con difundirla si no se le atendía en su millonaria demanda. Bien explicado, la gente hubiera entendido que el banco, al igual que los clientes, eran víctimas de un riesgo virtual.

En otras palabras, la crisis mediática necesita control. Y el control viene por los hechos (detener la amenaza, suspender los servicios) y por la verdad (explicar la situación). Al parecer, el ciberdelincuente aprovechó el momento de falla operativa del banco para divulgar que tenía el control de una data abundante de clientes. Por el rumor la gente supuso un ciberataque y presintió lo peor. Según el banco no hubo un ciberataque sino una falla operativa, mientras ocurría la extorsión.

3.- Tener bien claro el problema. Es muy usual que una entidad que sufre una crisis, se vea tensionada, confundida y abatida por las implicancias. Pero en todos los casos, siempre debe tener una certeza sobre cuál es el problema y, en consecuencia, qué es lo esencial. El problema fundamental no era la caída operativa, la extorsión del hacker, o la posible divulgación de datos. El problema real (para la gente) era la imposibilidad de acceder a sus cuentas o hacer transacciones, y que se afectara sus depósitos de dinero.

Lo esencial no era el pago millonario, el daño reputacional, o las implicancias legales para el banco, sino la pérdida de confianza de sus clientes. Si eso se tiene claro, el banco debía hacer todo, a cualquier costo, para evitar que sus clientes desconfíen de sus servicios. Con esta premisa, la empresa que sufre una crisis debe saber que debe invertir todo lo necesario y hacer el mayor esfuerzo para cuidar los intereses del cliente, todo el tiempo, y no sólo en medio del caos.

4.- La crisis es transversal. Todos los bancos del mundo han sido afectados por los ciberataques, o pueden serlo. Algunos con mejor suerte o capacidades, han sufrido el hackeo pero pudieron afrontarlo rápido y decir a sus clientes que tuvieron “una falla en sus sistemas”. El drama no se limita al sector financiero, sino a todas las entidades y empresas de las cuales los hackers delincuentes pueden obtener algún beneficio. Se sabe que la red oscura y específicamente en sitios como Breach Forums, se ofrecen la información de las entidades afectadas, al mejor postor. Queda claro que quienes compran la data son otros delincuentes interesados en saber quién es quién, dónde tiene sus cuentas, cuáles son sus propiedades, etcétera.

Por desgracia, a nuestros legisladores no les importa mucho crear la normativa necesaria para perseguir eficientemente esos delitos, ni proteger los datos personales de los ciudadanos. Según los expertos, ha habido algunos avances, pero no los suficientes para que la gente se sienta más segura y, en el peor de los casos, compensada por algún daño.

5.- Inclusión es más educación. Gracias a las denominadas billeteras digitales y el soporte de los teléfonos móviles (smatrphones), millones de ciudadanos han sido incorporados al servicio bancario, ya que el PLIN o el YAPE, constituyen una modalidad cómoda de mover dinero sin cargar efectivo o acudir al banco. Es buena la inclusión financiera, pero es mejor si viene acompañada con una educación que explique los límites y condiciones de uso de los servicios tecnológicos. Los depósitos bancarios deben ser cuidados por el propio interesado, que debe proteger sus claves o contraseñas, que debe conocer cómo usar sus tarjetas de crédito y que las cuentas disponen de seguros del propio banco y del sistema financiero, hasta ciertos límites. Así será viable que se evite el pánico, que finalmente es lo que más afecta al usuario y al propio banco.

Quedan pendientes las consecuencias. Hay investigaciones en curso, pero también incertidumbre sobre qué pasará con la información sensible de clientes que puede estar en manos de inescrupulosos. La crisis para ese banco y para la industria financiera continúa, pues hay que evitar también que la gente vuelva a guardar su plata bajo el colchón creyendo que es más confiable que los bancos.