El phishing es uno de los tipos de fraude electrónico más extendidos en el mundo.


El Comité de Normas del Banco Central de Reserva (BCR) publicó el lunes por la tarde directrices temporales para mejorar la ciberseguridad del sistema financiero ante la proliferación de casos de fraudes por medios electrónicos.

Entre las medidas figura la protección de la data de los usuarios y de la aplicación de mejores protocolos de sus sistemas de banca en línea y móvil para proteger a sus usuarios.

En las últimas semanas varios usuarios en redes sociales han denunciado casos de “phishing” mediante el envío de correos que emulan pertenecer a una entidad bancaria con el objetivo de robar números de cuentas y claves de acceso.

El BCR sostiene que “el contexto actual de la pandemia por covid-19” aceleró la transformación digital y se masificó el uso de canales digitales para la gestión de servicios financieros.

El Comité de Normas dice junto con esta adopción se han incrementado los casos de vulneraciones por lo que es propicio implementar medidas para prevenir fraudes financieros.

Las normas, de carácter transitorio, buscan reforzar las medidas de ciberseguridad en los sistemas informáticos de las entidades financieras mediante los cuales se recopila, procesa, transmite y se almacena la información de los productos y servicios financieros que las entidades financieras ofrecen a sus clientes, así como también la implementación de medidas para la correcta identificación de los clientes.

 

Medidas.


En el Artículo 8 de la norma establece que entidades deberán contar con herramientas robustas para filtrar correos electrónicos de phishing, spam, spear-phishing y otras amenazas basadas en el correo electrónico y deben considerar la idoneidad de estas herramientas de tal manera que sean consistentes con el tamaño de la entidad.

Además de tener programas de capacitación constantes sobre las amenazas de phishing para los empleados, haciendo énfasis para aquellos de atención al cliente.

El Artículo 23 establece que las entidades deberán inhabilitar inmediatamente el acceso a los servicios ofrecidos por canales digitales cuando el cliente presuma que se puede ver afectada o se ha visto afectada la seguridad de los productos financieros contratados con la entidad.
El contexto actual de la pandemia aceleró la transformación digital y se masificó el uso de canales digitales para el desarrollo de servicios financieros”. BCR

Uno de los nuevos mandatos es la obligatoriedad para el uso de “claves dinámicas” de un único uso, generadas por dispositivos electrónicos o cualquier otro medio, las cuales deben cumplir como mínimo con las características siguientes:

Contar con mecanismos que impidan su duplicación o alteración; una vez generada la clave dinámica, ésta tendrá la vigencia siguiente: Hasta un minuto, en el caso de que sean generados por Tokens; hasta el cierre de sesión, para canales digitales; y hasta dos horas, para todos los servicios de cajeros automáticos.

 

Obligatorias.


La norma, que incluye 37 artículos, destaca en el número 35 que “los incumplimientos a las disposiciones, serán sancionados de conformidad con lo previsto en la Ley de Supervisión y Regulación del Sistema Financiero”.

Estas son de obligatorio cumplimiento para los bancos constituidos en El Salvador; sucursales de bancos extranjeros; sociedades de ahorro y crédito; bancos cooperativos; y federaciones conformadas por bancos cooperativos y también por sociedades de ahorro y crédito regulados por la Ley de Bancos Cooperativos y Sociedades de Ahorro y Crédito.

 

Nuevas medidas para evitar los ilícitos



  1. Bloqueos


El artículo 31 establece que las entidades financieras deberán establecer procesos y mecanismos automáticos para bloquear preventivamente el acceso a intrusos.

 

  1. Compensaciones


El artículo 32 destaca que las entidades serán las responsables de reintegrar, compensar o revertir montos comprometidos sin que esto incurra en comisiones o recargos.

 

  1. Monitoreo


Las entidades deberán implementar o actualizar las herramientas y mecanismos para monitorear redes y demás infraestructura para detectar actividades o comportamientos inusuales.

 

  1. Autenticación


La normativa exige que el factor para inicio de sesión debe exigir uno adicional para para la autenticación de categoría 3.