¿Qué están haciendo los bancos para proteger a sus usuarios?

Posted by TODO1 on Jul 15, 2019 11:49:48 AM

Uno de los principales frenos a la expansión de la banca digital en América Latina es la desconfianza de los usuarios en la capacidad de las instituciones financieras de ofrecer un servicio a prueba de fraude. De alguna forma, la preocupación se justifica.

El año pasado, el 92% de las entidades bancarias sondeadas en un estudio de la Organización de Estados Americanos (OEA) sobre seguridad bancaria dijeron haber identificado algún tipo de “evento digital de seguridad”, es decir ataques exitosos y ataques frustrados. Entre los atentados que reportaron estuvieron código malicioso o malware al igual que una práctica conocida como phishing, cuando se recibe un correo electrónico que suplanta la identidad de empresas de confianza para acceder a sus contraseñas e información de tarjetas de crédito.

Según el mismo estudio, el costo anual para los bancos en respuesta y recuperación de estos ataques fue en promedio de 809 millones de dólares. Casos recientes de ciberataques al Banco de Chile y el mexicano Banco Nacional de Comercio Exterior (Bancomext) han llevado a muchos a preguntar si los bancos están invirtiendo lo suficiente para defenderse de los cada vez más sofisticados cibercriminales.

Quiero contactar a un experto TODO1

Las armas con las que cuentan los bancos van desde el cifrado o encriptación hasta la biométrica de comportamiento, pasando por los típicos niveles de verificación de identidad, como enviar un código al teléfono móvil del usuario, responder preguntas de seguridad o usar un token.

El nivel de respuesta varía de banco a banco y cada entidad debe resolver el dilema de ofrecer un servicio seguro y, al mismo tiempo, intuitivo con un mínimo nivel de fricción en la interfaz de usuario.

Los autores de delitos cibernéticos “tienen una bolsa con diversos tipos de ataques y prueban cuál funciona mejor con cuál banco, y lo utilizan y lo siguen utilizando hasta que el banco emprenda una contramedida, que puede tomar de un par de días a un par de semanas”, dice Edmundo Fariñas, vicepresidente de seguridad de la información corporativa a nivel global de TODO1.

Dmitry Bestuzhev, director de investigación y equipo de análisis para América Latina de la empresa rusa de ciberseguridad Kaspersky Lab, señala en el informe de la OEA que “la seguridad de un banco no es una estrategia estática, sino algo que necesita evolucionar y adaptarse constantemente, basado en la inteligencia obtenida sobre tendencias, nuevas amenazas y las últimas tecnologías”.

Además del uso de herramientas estándares para proteger la información de sus clientes, como el cifrado, la verificación de identidad de múltiples niveles y un límite en el tiempo de las sesiones, los bancos de la región están empezando a usar otras tecnologías emergentes, como análisis de datos (29%), aprendizaje automático (24%), inteligencia artificial (11%) y computación cognitiva (6%). No obstante, un alto porcentaje, un 49%, sigue sin implementar tecnologías avanzadas de seguridad, indica el reporte.

Según el sondeo de la OEA, el 61% de los bancos de la región dedica menos del 1% de sus ganancias antes de intereses, impuestos, depreciación y amortización (EBITDA), un indicador de la rentabilidad de sus operaciones, del año previo a presupuesto de seguridad digital. Y varios estudios señalan que los principales obstáculos para la adopción de tecnologías avanzadas y procesos de seguridad en organizaciones de la región son, precisamente, el escaso presupuesto, la falta de organización de una cultura de seguridad y problemas de compatibilidad con los sistemas heredados.

Uno de los métodos comunes usados por los bancos es el cifrado de la información, el proceso que codifica información privada para evitar el acceso no autorizado durante el intercambio de datos entre la computadora del usuario y los servidores de los bancos. Una vez que se cierra la sesión, la clave maestra utilizada para esa sesión se vuelve inútil, ya que solo es válida para una ocasión.

Los bancos también usan el límite de tiempo por sesión para reducir el riesgo de transacciones fraudulentas. Si a alguien se le olvida cerrar la sesión o si esta permanece inactiva durante una determinada cantidad de minutos, debe volver a iniciarla para acceder a la información que busca.

Y, por supuesto, está la autenticación de la identidad, que, además de nombre de usuario y contraseña únicos, puede requerir una clave numérica o el uso de un autentificador que mostrará códigos de ingreso personalizados que cambian constantemente. De todos modos, las contraseñas y la verificación de identidad es el eslabón más débil en la cadena de seguridad en las entidades bancarias, según múltiples estudios.

Es por eso que una de las tecnologías que están surgiendo en materia de seguridad, no solo en la banca sino en otros sectores, es la “biométrica de comportamiento”, que parte de la idea de que la forma en la que usamos nuestras computadoras y aparatos móviles es tan única como una huella digital. Este sistema mide factores como el patrón que usamos al escribir en un teclado, la presión que aplicamos, los dedos que usamos para desplazamos por las pantallas y hasta el ángulo en el que normalmente sostenemos nuestros teléfonos inteligentes para crear un “perfil de comportamiento” que ayudará a detectar impostores.

Pero la verdad es que ninguna estrategia de seguridad es infalible sin una educación adecuada de los clientes sobre las amenazas que enfrentan. Eso incluye la importancia de mantener la confidencialidad de sus contraseñas, lo que implica crear combinaciones únicas y cambiarlas con regularidad. El uso de software antivirus, el no acceder a la cuenta del banco a través de redes de Wi-Fi públicas, la actualización constante de los navegadores y sistemas, tanto de escritorio como móviles, y el límite a dispositivos privados para la realización de las transacciones bancarias.

Y quizás lo más importante de todo es educar a los usuarios, y a los empleados de las entidades financieras, contra el phishing. La mayor cantidad de usuarios afectados en el estudio de la OEA, un 49,68%, fueron víctimas de fraude a través de phishing e ingeniería social de correo electrónico.

Topics: Seguridad

Subscribe Here!

Recent Posts