A vuelta de respuesta a un mail o tras postear un Twitter quejándose de la entidad en la que tienen una cuenta, muchos vieron vaciarse sus cajas de ahorro. Los bancos se lavan las manos hasta que les cae un juicio. Pero ahora el Banco Central tomó cartas en el asunto.
Los eventos de pishing bancario y otros fraudes a clientes desprevenidos terminan en muy pocos casos en juicios millonarios a los bancos por no haber establecido mejores políticas de seguridad. Pero, por lo general, el cliente se siente culpable por haber sido ingenuo, y no protesta.
Qué pasará en adelante con la ciberseguridad bancaria
Ante esta situación, el Banco Central dio un fuerte vuelco en sus normas de ciberseguridad para las entidades financieras, con la publicación este viernes 10 de marzo de la Comunicación A 7724, que modifica las anteriores con en una visión centrada en minimizar incidentes.
"El BCRA actualizó los 'Requisitos mínimos para la gestión y control de los riesgos de tecnología y seguridad de la información', obligando a las entidades financieras a implementar control interno y la gestión de riesgos en tecnología y su mitigación", precisa Gabriela Abad, abogada de la Asociación Usuarios y Consumidores Unidos (UCU).
"La norma establecen exigencias de diseño de las operaciones y procesos que ofrezcan ciberrresiliencia ante incidentes", explica en diálogo con iProUP Federico Tjor, abogado especialista en Derecho Informático, e indica que "también se regula la gestión de ciberincidentes, buscando una preparación y planes de respuesta, registros de ciberincidentes y su investigación", indica.
Sin embargo, Tjor apunta que, "si bien los cambios resultan positivos para asegurar un umbral de seguridad aceptable para el funcionamiento de las entidades financieras, involucran casi en su totalidad, aspectos de funcionamiento interno de los bancos, con poca relevancia para la seguridad de los usuarios en sus operatorias virtuales".
El Banco Central exigirá a los bancos nuevas medidas de protección apuntaladas por inteligencia artificial
Qué deberán hacer los bancos para atender con robots
"La norma precisa el uso de la Inteligencia Artificial (IA) dentro de las entidades bancarias, y les exige identificar y documentar el objetivo del uso de algoritmos de este tipo, con exigencias puntuales a fin de evitar sesgos o discriminación contra grupos de usuarios, como así mismo la obligación de informar su uso al cliente", comenta Tjor.
"El BCRA considera especialmente a la adopción por parte de las entidades de la Inteligencia Artificial en sus procesos, la utilización de tecnología nueva o emergente en el marco de los ciberincidentes", aclara Abad.
"El recaudo que exige el BCRA en el uso de algoritmos de IA es la confiabilidad en su uso y la adopción de medidas para evitar la existencia de sesgos o discriminación contra usuarios de servicios financieros", agrega.
"La norma también establece la comunicación al cliente cuando el banco utilice servicios soportados por este tipo de tecnología", sostiene Abad, y agrega: "es importante que el usuario sepa cuando lo atiende una persona de carne y hueso o un robot".
Qué ciberincidentes deberán ser prevenidos por los bancos
"En esta extensa normativa, el BCRA pone foco en los distintos recaudos que deberán llevar a cabo los bancos para asegurar la identificación, evaluación, seguimiento, control y prevención de los llamados ciberincidentes", remarca Abad.
"¿Qué son los ciberincidentes? El BCRA los define como aquellos incidentes de tecnología y seguridad que pone en peligro la ciberseguridad de un sistema de información o la información que el sistema procesa, almacena o transmite", puntualiza.
El Central hizo foco en los recaudos que deberán llevar a cabo los bancos para prevenir los llamados ciberincidentes
Para el Banco Central, también es un ciberincidente el que infringe las políticas de seguridad, los procedimientos de seguridad o las políticas de uso aceptable, sea o no producto de una actividad maliciosa", añade.
"Es de público conocimiento la ola de ataques de tipo "ingeniería social", "phishing", "vishing" y otros de similares características, que se exponenciaron en la pandemia del COVID-19, como otros incidentes informáticos, que persisten hasta el día de hoy", recuerda.
"Ahora el BCRA insiste en exigir a las entidades programas de capacitación y concientización en materia de seguridad de la información, que alcancen a los clientes y usuarios, contemplando los riesgos de tecnología, y los aspectos relacionados con la gestión de ciberincidentes", resalta Abad.
Cuáles son las claves de las nuevas normas de ciberseguridad
"La Comunicación A 7724 establece una serie de pautas que obligan a las entidades financieras a llevar a cabo una planificación estratégica en ciberseguridad", remarca Abad, y enumera las obligaciones que impone el BCRA a los bancos:
1. Doble autenticación
Definir modelos de accesos para los usuarios que contemplen los factores de autenticación, el comportamiento en el uso de servicios y distintas fuentes de información que permitan validar su identidad.
2. Protección de integridad.
Establecer medidas de protección que aseguren la integridad y confidencialidad de los factores de autenticación al cliente y que reduzcan el riesgo de ataques, con la utilización de métodos que prueben la posesión y el control sobre el dispositivo por parte del usuario.
3. Datos biométricos
Se deberán evaluar y mitigar los riesgos sobre las propias limitaciones del método, la tasa de falsos positivos, las posibles vulnerabilidades en los dispositivos y sistemas utilizados para la captura y validación de las credenciales y el impacto en la privacidad de los usuarios.
4. Eventos de seguridad
- Establecer un proceso para el registro y el análisis de la información vinculada con eventos de seguridad de los sistemas, las redes y la infraestructura tecnológica.
- Revisar los perfiles de comportamiento de los usuarios que permitan identificar sus actividades habituales, como también identificar patrones de actividad sospechosa o inusual de los usuarios".
5. Gestión de ciberincidentes:
- Realizar un registro del seguimiento de las actividades hasta la identificación de la causa raíz de los ciberincidentes, a fin de asegurar su resolución y evitar su recurrencia.
- Aun cuando el origen no se encuentre bajo control del banco, también deberán tomar acciones para gestionar su seguimiento.
- Analizar la información asentada para prevenir nuevos ciberincidentes o para la investigación de las causas raíz del ciberincidente registrado.
6. Cajeros y homebanking
El Banco central define como Canales Electrónicos a cajeros automáticos, terminales de autoservicio, banca móvil, banca telefónica, banda por internet y plataforma de pagos móviles. E impone a las entidades contar con equipos de trabajo especializado en la gestión de incidentes de seguridad de todos sus Canales Electrónicos.
No obstante, "hubiera sido esperable que se aprovechase la oportunidad para regular la obligación de informar a los usuarios, y no solo al BCRA, en el caso de existir ciberincidencias, robo de datos o información".
La Comunicación "A" 7724 entrará en vigor en 180 días, con el fin de permitir una revisión de los procesos para ajustarse a este nuevo abordaje regulatorio, según informó el Banco Central.
Cuáles son los principales fraudes que afectan a los clientes bancarios
"Las nuevas modalidades en las operatorias bancarias, a través de retiros de dinero en cajeros automáticos, pagos por transferencia o mediante homebanking, o a través de posnet con tarjetas de crédito y de debito, demostraron la debilidad del sistema, por ejemplo, de las siguientes maneras", enumeró Flavio Lowenrosen, experto en derecho de consumo:
- Simulación en redes sociales: delincuentes se hacen pasar por personal de entidades bancarias, dándole instrucciones a particulares, con el fin que realicen transferencia o soliciten créditos.
- Clonación tarjetas de debito o de crédito.
- Extracción de dinero por parte de terceros ajenos de la cuentas.
"En esos casos, los sistemas no han detectado que se utilizan tarjetas distintas, o se opera desde cuentas no oficiales, por ejemplo", remarca Lowenrosen.
Qué responsabilidad tienen los bancos frente a los fraudes a clientes
"La organización bancaria no puede advertir que terceros simulan ser ella y aconsejan a los usuarios a realizar determinadas actividades (dar datos, remitir emails, efectuar transferencias) que redundan en contra de sus derechos e intereses patrimoniales", explica Lowenrosen.
"Como las entidades no toman la medidas necesarias para evitar estafas a los usuarios, deben asumir la responsabilidad ante situaciones de debilidad organizativa o de falibilidad", subraya Lowenrosen.
"De todos modos, y aunque la omisión no libera en forma manifiesta al banco, los usuarios deben actuar con prudencia, consultando ante cualquier duda o eventualidad a la entidad financiera, y dejando constancia de ello", advierte.