La Superintendencia de Bancos e Instituciones Financieras de Chile (SBIF) lanzó la actualización de sus regulaciones para seguridad de banca electrónica, en la Circular 40. Con la publicación de este documento ahora todas las entidades que emitan algún tipo de tarjeta de crédito en el país, bancos o retailers, pasan a ser supervisadas directamente por la SBIF.
“Las actualizaciones realizadas en la Circular 40, permitirán hacer un mayor seguimiento a las transacciones financieras y además así impactar positivamente en la seguridad, ya que todo estará mucho más regulado” Afirma, David López, Director de Ventas para Latinoamérica de Easy Solutions, líder global en Protección Total contra el Fraude®.
Antiguamente y a diferencia de los bancos, cualquier entidad no bancaria o retailer que emitiera una tarjeta de crédito podía minimizar el escrutinio de la SBIF si cumplían con ciertas condiciones tales como pagar las transacciones en 3 días o menos, o si la suma total de sus transacciones equivalía a menos de 1 millón de unidades de fomento (una unidad de cuenta en Chile que limita los efectos nocivos de la inflación). En términos de regulaciones de seguridad, estas entidades debían someterse a una auditoria externa que evaluara la gestión de la organización y sus mecanismos de control del riesgo, siendo supervisada y firmada por un auditor externo. Más adelante, la entidad emisora tenía que presentar ante la SBIF un reporte detallado sobre como la entidad planeaba solucionar o mejorar cualquier fallo de seguridad descubierto en la auditoria, incluyendo los procedimientos detallados, la implementación estimada y la relación de los recursos que la entidad planeaba enfocar en las deficiencias. Este era la situación incluso a pesar de haber tres veces más tarjetas de retailers que de bancos en circulación en Chile.
Ahora todo esto ha cambiado, ya que en esencia, la Circular 40 elimina los intermediarios. Muchas de las tareas que antes eran responsabilidad de las firmas de auditoría pasarán a ser el deber de la SBIF, quien supervisará todas las entidades emisoras de tarjetas, entre ellas los retailers. De esta forma, a los ojos de los reguladores financieros chilenos, cualquier organización que emita algún tipo de tarjeta de crédito será regulada como un banco, y a su vez, estas entidades deberán proteger sus clientes, dinero y transacciones como lo haría un banco tradicional, incluyendo la gestión adecuada del riesgo y sus consiguientes protocolos de seguridad para la protección de la información de sus clientes. Estas regulaciones entraron en efecto el 22 de Julio de 2014.
A partir de ahora las entidades emisoras deberán cumplir con cinco pasos clave:
1. Autenticación del Tarjetahabiente Legítimo y de los Empleados de la Compañía: Los retailers que ofrezcan tarjetas de crédito deben autenticar que el tarjetahabiente es quien dice ser cuando presente la tarjeta para realizar un pago, ya sea en transacciones con tarjeta física o en transacciones sin tarjeta presente
2. Detección de Transacciones Irregulares: Los negocios que ofrezcan tarjetas de crédito a sus clientes deben mantener una estricta vigilancia sobre las transacciones realizadas con esas tarjetas.
3. Métodos para la Prevención del Robo de Credenciales y Contraseñas: se necesita una doble autenticación más allá de la contraseña.
4. Detección de Patrones Relacionados con el Lavado de Dinero: el lavado de dinero está en aumento en Chile, así que esto va de la mano con la Ley Anti lavado de dinero de 1995.
5. Pruebas Frecuentes de Penetración y Vulnerabilidades: Todas las entidades emisoras de tarjetas también deben evaluar su infraestructura física y tecnológica para mitigar cualquier riesgo potencial que pueda convertirse en una violación de datos.
¿Cuáles son las principales formas en que los hackers pueden atacar cuentas y plataformas bancarias móviles y online?
Ingeniería social – El uso del engaño o la suplantación de identidad para obtener información sensitiva; por ejemplo, hacerse pasar por empleado de un banco para convencer a un usuario de revelar sus credenciales.
Phishing – Un ataque online que involucra la ingeniería social y en el cual un atacante se hace pasar por el banco u otra entidad oficial mediante un sitio web falso. Este sitio es usado para robar la información del usuario y poder acceder a su cuenta.
Pharming – Un ataque que inserta un código malicioso en el servidor o en el archivo Hosts de un sitio web para redirigir los usuarios a sitios falsos que suplantan bancos u otras entidades y obtener sus credenciales.
Malware – Cualquier tipo de software con propósito malicioso usado para recolectar información sensitiva o interrumpir las operaciones normales de un equipo. Algunas variaciones de este software son los virus y troyanos, los cuales son descargados por los usuarios sin saberlo.
Ataques Man-in-the-Middle – Una situación donde un hacker intercepta los mensajes entre 2 partes; por ejemplo cuando un banco envía mensajes de texto al usuario para confirmar una transacción. El hacker captura los mensajes evitando que llegue a su destino y suplanta las partes involucradas para robar información sensitiva.
Ataques Man-in-the-Browser – Un tipo de malware que manipula en secreto el navegador de un usuario para no mostrar cierta información. Por ejemplo, un hacker puede robar dinero de la cuenta de una víctima utilizando este tipo de malware y sin embargo el navegador de la víctima no mostraría ningún movimiento extraño en el balance de cuenta.
¿Cómo pueden las entidades financieras evitar ser víctimas de fraude?
Implementar una estrategia de protección integral de múltiples-capas. La mejor forma de protección contra los diferentes tipos de amenazas es la implementación de una plataforma con diferentes niveles de soluciones contra fraude para que las amenazas que no sean detenidas por una capa o en una instancia sean detectadas por otra.
Monitoreando su portal transaccional – Los bancos deben vigilar cada conexión a su portal online y buscar comportamientos sospechosos. Así mismo, deben estar al tanto de la creación de sitios web con nombres de dominio similares al suyo ya que probablemente serán utilizados en ataques de phishing.
Distribuyendo soluciones de navegación segura a sus usuarios– Los bancos deben brindar a sus usuarios programas que protejan sus dispositivos contra los diferentes tipos de malware.
Detección de anomalías transaccionales – Los bancos deben monitorear el comportamiento transaccional de sus usuarios para investigar cualquier movimiento que no concuerde con los patrones habituales de los usuarios.
Autenticación multifactorial fuerte – Los bancos deben proveer diferentes métodos para que sus usuarios validen su identidad en los portales online. Estos métodos deben ser mucho más fuertes que un simple nombre de usuario y una contraseña; por ejemplo, los tokens, la autenticación de dispositivos o información adicional que sólo el usuario conozca.
Pruebas de penetración y vulnerabilidad – Los bancos necesitan evaluar regularmente la infraestructura de sus redes para detectar vulnerabilidades que los hackers puedan explotar para cometer fraudes y asegurarse de solucionarlas tan pronto como sea posible.
¿Cómo pueden los usuarios evitar ser víctimas de fraude?
Cambiar frecuentemente sus contraseñas de banca online o móvil y asegurarse que estas sean lo suficientemente largas o complejas.
Evitar la reutilización de las mismas contraseñas en varios sitios web y adoptar el uso de un administrador de contraseñas para organizarlas apropiadamente.
Nunca perder de vista su tarjeta de débito o crédito.
Nunca revelar contraseñas o información de sus cuentas a extraños.
Aprovechar cualquier medida de seguridad adicional que su banco ofrezca.
Ingresar la dirección web de su banco usted mismo y nunca a través de enlaces, ya que estos lo pueden re-direccionar a sitios fraudulentos de phishing donde le pueden robar sus credenciales.
Revise atentamente el extracto mensual de su tarjeta de crédito en busca de cargos no autorizados o que no pueda explicar. Si han realizado un cargo a su tarjeta por algo que usted no compró, notifique de inmediato a su compañía de crédito para reportar el incidente.
Asegúrese que su sistema operativo, su navegador y su software de seguridad estén actualizados tanto en su computador como en su dispositivo móvil. Muchos ataques se aprovechan de las vulnerabilidades presentes en versiones anteriores de los programas, las cuales muy probablemente hayan sido reparadas en la más reciente versión. Recuerde que no recibirá los beneficios de un programa de protección si no lo ha actualizado.
Realice sus compras sólo en sitios web reconocidos que tengan los sistemas de pago habituales, especialmente cuando se trate de aplicaciones, ya que en muchas tiendas de aplicaciones de terceros abunda el malware disfrazado de aplicaciones legítimas.
Verifique que las direcciones de los sitios web comiencen con “https://” y que haya un pequeño candado en la parte superior; esto le indica que la pagina es segura para realizar transacciones. Así mismo, es mejor quedarse con las páginas cuyos dominios terminen en los bien conocidos “.com” o “.net”.
Cuando de un clic hacia un sitio web, lea cuidadosamente el nombre del dominio o la dirección web de este en la parte superior de su navegador. Tenga cuidado con aquellos sitios web que presenten pequeños cambios en su nombre (p.ej. “Nordstram” en vez de “Nordstrom”).
Realizar sus compras online en cafés internet o computadores de uso público. Solamente utilice sus propios dispositivos y redes, incluso es mucho mejor si puede dedicar un computador exclusivamente para este propósito. En redes públicas, sus comunicaciones y transacciones tienen una mayor probabilidad de ser rastreadas, así que debe abstenerse de transmitir información sensitiva por medio de estas redes.
Aceptar peticiones de amistad de extraños en redes sociales. En algunos casos, estos extraños lo que quieren es recopilar información de su perfil para luego poder lanzar ataques de phishing más convincentes.