Según Pulso (La Tercera), el correo institucional de Ricardo Massú —controlador de Tanner— fue intervenido durante cerca de un mes. En ese periodo, terceros enviaron 35 instrucciones a una ejecutiva de banca privada, de las cuales 26 se ejecutaron, defraudando algo más de US$9 millones. La firma informó que el hecho ocurrió en 2023 y que ahora se inició una querella en Chile, dado que parte de las maniobras se habrían realizado en el extranjero. En esencia, un Business Email Compromise (BEC) de alto impacto, que evadió controles humanos y bancarios mediante instrucciones plausibles y oportunas.
Qué pasó
• Vector: intervención del correo institucional de la víctima por un mes; emisores simularon instrucciones legítimas hacia su banca privada.
• Ejecución: 35 instrucciones cursadas; 26 se ejecutaron.
• Monto: “un poco más de US$9 millones” según el gerente general de Tanner.
• Jurisdicción: delitos fuera de Chile; acciones iniciadas en el exterior y ahora querella local.
• (Contexto adicional de prensa financiera: se han citado 29 transferencias internacionales por $14,9 mil millones CLP.)*
El ángulo correcto: esto es BEC (no un “hackeo” genérico)
Los atacantes no necesitan vulnerar el banco si logran tomar el control de la comunicación y el proceso de autorización del cliente. El BEC explota:
1. Identidad y correo (compromiso de cuenta, reglas de reenvío y suplantación).
2. Proceso humano (urgencia, autoridad, cambios de cuenta “por única vez”).
3. Controles bancarios (callbacks débiles, baja segregación de funciones o límites).
12 controles que habrían cambiado el final (priorizados y accionables)
1. MFA robusto y resistente a phishing para cuentas con poder de instrucción.
2. Políticas de “callback fuera de banda” obligatorias ante cualquier cambio de cuenta o beneficiario.
3. Doble aprobación y límites dinámicos de transferencia por importe, destino y novedad del beneficiario.
4. Bloqueo de reglas maliciosas en el buzón (alertas por creación de reglas, reenvío externo y borrado automático).
5. DMARC/DKIM/SPF y detección de lookalike domains para frenar suplantaciones.
6. Lista blanca de cuentas: pagos solo a cuentas previamente verificadas
7. Monitoreo de comportamiento: alertas por horario atípico, país inusual, y “cascadas” de instrucciones.
8. Entornos aislados para banca (navegadores endurecidos/VDI) y dispositivos dedicados para firmas.
9. Entrenamiento de ejecutivos/as en señales de BEC y protocolos de “detener–verificar–actuar”.
10. Registros y auditoría de caja de correo con revisión semanal.
11. Procedimiento de congelamiento inmediato y playbooks de reversa bancaria/MLAT.
12. Pruebas de mesa periódicas (red team de procesos) para romper la rutina y ajustar controles.
Para directorios, CFO/tesorerías y banca privada: 8 preguntas incómodas
1. ¿Toda instrucción financiera “extraordinaria” exige doble verificación fuera de banda?
2. ¿Quién puede cambiar cuentas/beneficiarios y con qué segregación de funciones?
3. ¿Tenemos listas blancas y límites por novedad de cuenta?
4. ¿Detectamos reglas de buzón anómalas y dominios lookalike?
5. ¿El callback lo hace un número verificado, no el de la propia orden?
6. ¿Existen SLA de contención y “botón rojo” con el banco para reversa inmediata?
7. ¿Ejecutamos pruebas de mesa trimestrales de BEC (no solo phishing genérico)?
8. ¿Medimos pérdidas evitadas por controles (KRI) y reportamos al directorio?
Lee la noticia completa acá: https://www.latercera.com/pulso/noticia/el-millonario-fraude-informatico-que-afecto-al-controlador-de-tanner-ricardo-massu/
