BancoEstado informó ayer que presentó una querella por delito informático, lavado de activos y asociación ilícita. ¿La razón? La sustracción irregular de $6.100 millones desde la entidad, en la que estarían involucrados al menos dos ex trabajadores de la empresa y una compañía proveedora externa.
Los involucrados habrían aprovechado una vulnerabilidad en el sistema para llevar adelante su cometido de sacar dinero de la entidad en forma fraudulenta, lo que habría iniciado en 2021.
La entidad financiera, no obstante, aparentemente podría haber frenado esta acción antes. Esto, porque hubo dos señales que -según constata El Mercurio- aparentemente el banco dejó pasar.
Las señales
El fraude comenzó hace tres años. Entre octubre de ese año y noviembre de 2022, Francisco del Pino, ex jefe de proyecto en la gerencia División de Operaciones y Sistemas, habría ingresado al sistema "inyector" instrucciones para realizar abonos a dos cuentas: la de la empresa S2S Chile S.A., proveedora de la institución, y la de Leidy Ferrer.
Ambas estaban ligadas a él y el traspaso fue por $523 millones.
Luis Aranda, también ex trabajador del banco, autorizó en este periodo traspasos contables para regularizar estos abonos sin repaldo. Según su declaración, en 2021 se había reunido con del Pino, quien le propuso un modo para "poder sacar dinero del Banco, a raíz de la falta de dinero de ambos".
El otrora jefe del Departamento de Procesos Sistemas de la Subgerencia de Operaciones de Créditos señaló en su declaración haber recibido $80 millones. A mediados de julio de este año, no obstante, le habrían solicitado revisar un descuadre en una cuenta por abonos realizados desde el canal que utilizaba del Pino. Ahí notó que estos alcanzaban los $5.600 millones. Tras esto, decidió autodenunciarse.
Fue en medio de este proceso en el que saltaron algunas alarmas. En 2022, el gerente general de S2S Chile S.A, Paulo Vio, se contactó con su ejecutivo por transferencias que habían aparecido en la cuenta de la empresa. Según consigna El Mercurio, estos fueron revertidos por la entidad. Vio reconoce no haber informado a BancoEstado de los abonos posteriores.
Otra señal se manifestó en julio de 2023, cuando un analista notó un descuadre en una cuenta. El diario citado destaca que dicha persona hizo consultas a diversas áreas, sin resultado alguno. Con ello, los abonos continuaron.
Ricardo Seguel, director académico del Magíster en Ciberseguridad UAI, explica a El Mercurio que el 77% de las brechas de seguridad ocurre a causa de personas al interior de las empresas. A su juicio, hubo una falla en los controles del banco, porque los trabajadores por sí solos pudieron desviar fondos sin que hubiera una validación de estas organizaciones.
Desde BancoEstado, en tanto, indicaron que están "implementando medidas estrictas para asegurar que un incidente de esta naturaleza no vuelva a repetirse". Incluyen una auditoría realizada por terceros, el refuerzo de los procesos de monitoreo y supervisión y medidas adicionales de control para las transferencias de recursos.
El Ministerio de Hacienda informó de los hechos a la Unidad de Análisis Financiero y pidió al CDE presentar una querella.