el Banco Central tom\u00f3 cartas en el asunto<\/a>.<\/p>\n\n\n\nLos eventos de pishing bancario<\/strong> y otros fraudes a clientes desprevenidos terminan en muy pocos casos en juicios millonarios a los bancos por no haber establecido mejores pol\u00edticas de seguridad<\/strong>. Pero, por lo general, el cliente se siente culpable por haber sido ingenuo, y no protesta.<\/p>\n\n\n\nQu\u00e9 pasar\u00e1 en adelante con la ciberseguridad bancaria<\/h2>\n\n\n\n
Ante esta situaci\u00f3n, el Banco Central dio un fuerte vuelco en sus normas de ciberseguridad para las entidades financieras<\/strong>, con la publicaci\u00f3n este viernes 10 de marzo de la Comunicaci\u00f3n A 7724, que modifica las anteriores con en una visi\u00f3n centrada en minimizar incidentes.<\/p>\n\n\n\n“El BCRA actualiz\u00f3 los ‘Requisitos m\u00ednimos para la gesti\u00f3n y control de los riesgos de tecnolog\u00eda y seguridad de la informaci\u00f3n’, obligando a las entidades financieras a implementar control interno y la gesti\u00f3n de riesgos en tecnolog\u00eda y su mitigaci\u00f3n”, precisa Gabriela Abad<\/strong>, abogada de la Asociaci\u00f3n Usuarios y Consumidores Unidos (UCU).<\/p>\n\n\n\n“La norma establecen exigencias de dise\u00f1o de las operaciones y procesos que ofrezcan ciberrresiliencia ante incidentes<\/strong>“, explica en di\u00e1logo con iProUP Federico Tjor<\/strong>, abogado especialista en Derecho Inform\u00e1tico, e indica que “tambi\u00e9n se regula la gesti\u00f3n de ciberincidentes, buscando una preparaci\u00f3n y planes de respuesta, registros de ciberincidentes y su investigaci\u00f3n”, indica.<\/p>\n\n\n\nSin embargo, Tjor apunta que, “si bien los cambios resultan positivos<\/strong> para asegurar un umbral de seguridad aceptable para el funcionamiento de las entidades financieras, involucran casi en su totalidad, aspectos de funcionamiento interno de los bancos, con poca relevancia para la seguridad de los usuarios<\/strong> en sus operatorias virtuales”.<\/p>\n\n\n\nQu\u00e9 deber\u00e1n hacer los bancos para atender con robots<\/h2>\n\n\n\n
“La norma precisa el uso de la Inteligencia Artificial (IA) dentro de las entidades bancarias, y les exige identificar y documentar el objetivo del uso de algoritmos de este tipo, con exigencias puntuales a fin de evitar sesgos o discriminaci\u00f3n contra grupos de usuarios, como as\u00ed mismo la obligaci\u00f3n de informar su uso al cliente”, comenta Tjor.<\/p>\n\n\n\n
“El BCRA considera especialmente a la adopci\u00f3n por parte de las entidades de la Inteligencia Artificial en sus procesos<\/strong>, la utilizaci\u00f3n de tecnolog\u00eda nueva o emergente en el marco de los ciberincidentes”, aclara Abad.<\/p>\n\n\n\n“El recaudo que exige el BCRA en el uso de algoritmos de IA es la confiabilidad en su uso y la adopci\u00f3n de medidas para evitar la existencia de sesgos o discriminaci\u00f3n contra usuarios de servicios financieros”, agrega.<\/p>\n\n\n\n
“La norma tambi\u00e9n establece la comunicaci\u00f3n al cliente cuando el banco utilice servicios soportados por este tipo de tecnolog\u00eda”, sostiene Abad, y agrega: “es importante que el usuario sepa cuando lo atiende una persona de carne y hueso o un robot”.<\/p>\n\n\n\n
Qu\u00e9 ciberincidentes deber\u00e1n ser prevenidos por los bancos<\/h2>\n\n\n\n
“En esta extensa normativa, el BCRA pone foco en los distintos recaudos que deber\u00e1n llevar a cabo los bancos para asegurar la identificaci\u00f3n, evaluaci\u00f3n, seguimiento, control y prevenci\u00f3n de los llamados ciberincidentes<\/strong>“, remarca Abad.<\/p>\n\n\n\n“\u00bfQu\u00e9 son los ciberincidentes? El BCRA los define como aquellos incidentes de tecnolog\u00eda y seguridad que pone en peligro la ciberseguridad de un sistema de informaci\u00f3n o la informaci\u00f3n que el sistema procesa, almacena o transmite”, puntualiza.<\/p>\n\n\n\n
Para el Banco Central, tambi\u00e9n es un ciberincidente el que infringe las pol\u00edticas de seguridad, los procedimientos de seguridad o las pol\u00edticas de uso aceptable, sea o no producto de una actividad maliciosa”, a\u00f1ade.<\/p>\n\n\n\n
“Es de p\u00fablico conocimiento la ola de ataques de tipo “ingenier\u00eda social”, “phishing”, “vishing”<\/strong> y otros de similares caracter\u00edsticas, que se exponenciaron en la pandemia del COVID-19<\/strong>, como otros incidentes inform\u00e1ticos, que persisten hasta el d\u00eda de hoy”, recuerda.<\/p>\n\n\n\n“Ahora el BCRA insiste en exigir a las entidades programas de capacitaci\u00f3n y concientizaci\u00f3n en materia de seguridad de la informaci\u00f3n, que alcancen a los clientes y usuarios, contemplando los riesgos de tecnolog\u00eda, y los aspectos relacionados con la gesti\u00f3n de ciberincidentes”, resalta Abad.<\/p>\n\n\n\n
Cu\u00e1les son las claves de las nuevas normas de ciberseguridad<\/h2>\n\n\n\n
“La Comunicaci\u00f3n A 7724 establece una serie de pautas que obligan a las entidades financieras a llevar a cabo una planificaci\u00f3n estrat\u00e9gica en ciberseguridad”, remarca Abad, y enumera las obligaciones que impone el BCRA a los bancos:<\/p>\n\n\n\n
1. Doble autenticaci\u00f3n<\/h3>\n\n\n\n
Definir modelos de accesos para los usuarios que contemplen los factores de autenticaci\u00f3n, el comportamiento en el uso de servicios y distintas fuentes de informaci\u00f3n que permitan validar su identidad.<\/p>\n\n\n\n
2. Protecci\u00f3n de integridad.<\/h3>\n\n\n\n
Establecer medidas de protecci\u00f3n que aseguren la integridad y confidencialidad de los factores de autenticaci\u00f3n al cliente y que reduzcan el riesgo de ataques, con la utilizaci\u00f3n de m\u00e9todos que prueben la posesi\u00f3n y el control sobre el dispositivo por parte del usuario.<\/p>\n\n\n\n
3. Datos biom\u00e9tricos<\/h3>\n\n\n\n
Se deber\u00e1n evaluar y mitigar los riesgos sobre las propias limitaciones del m\u00e9todo, la tasa de falsos positivos, las posibles vulnerabilidades en los dispositivos y sistemas utilizados para la captura y validaci\u00f3n de las credenciales y el impacto en la privacidad de los usuarios.<\/p>\n\n\n\n
4. Eventos de seguridad<\/h3>\n\n\n\n\n- Establecer un proceso para el registro y el an\u00e1lisis de la informaci\u00f3n vinculada con eventos de seguridad de los sistemas, las redes y la infraestructura tecnol\u00f3gica.<\/li>\n\n\n\n
- Revisar los perfiles de comportamiento de los usuarios que permitan identificar sus actividades habituales, como tambi\u00e9n identificar patrones de actividad sospechosa o inusual de los usuarios”.<\/li>\n<\/ul>\n\n\n\n
5. Gesti\u00f3n de ciberincidentes:<\/h3>\n\n\n\n\n- Realizar un registro del seguimiento de las actividades hasta la identificaci\u00f3n de la causa ra\u00edz de los ciberincidentes, a fin de asegurar su resoluci\u00f3n y evitar su recurrencia.<\/li>\n\n\n\n
- Aun cuando el origen no se encuentre bajo control del banco, tambi\u00e9n deber\u00e1n tomar acciones para gestionar su seguimiento.<\/li>\n\n\n\n
- Analizar la informaci\u00f3n asentada para prevenir nuevos ciberincidentes o para la investigaci\u00f3n de las causas ra\u00edz del ciberincidente registrado.<\/li>\n\n\n\n
- <\/li>\n<\/ul>\n\n\n\n
6. Cajeros y homebanking<\/h3>\n\n\n\n
El Banco central define como Canales Electr\u00f3nicos a cajeros autom\u00e1ticos, terminales de autoservicio, banca m\u00f3vil, banca telef\u00f3nica, banda por internet y plataforma de pagos m\u00f3viles. E impone a las entidades contar con equipos de trabajo especializado en la gesti\u00f3n de incidentes de seguridad de todos sus Canales Electr\u00f3nicos.<\/p>\n\n\n\n
No obstante, “hubiera sido esperable que se aprovechase la oportunidad para regular la obligaci\u00f3n de informar a los usuarios, y no solo al BCRA, en el caso de existir ciberincidencias, robo de datos o informaci\u00f3n”.<\/p>\n\n\n\n
La Comunicaci\u00f3n “A” 7724 entrar\u00e1 en vigor en 180 d\u00edas<\/strong>, con el fin de permitir una revisi\u00f3n de los procesos para ajustarse a este nuevo abordaje regulatorio, seg\u00fan inform\u00f3 el Banco Central.<\/p>\n\n\n\nCu\u00e1les son los principales fraudes que afectan a los clientes bancarios<\/h2>\n\n\n\n
“Las nuevas modalidades en las operatorias bancarias, a trav\u00e9s de retiros de dinero en cajeros autom\u00e1ticos, pagos por transferencia o mediante homebanking, o a trav\u00e9s de posnet con tarjetas de cr\u00e9dito y de debito, demostraron la debilidad del sistema, por ejemplo, de las siguientes maneras”, enumer\u00f3 Flavio Lowenrosen, experto en derecho de consumo:<\/p>\n\n\n\n
\n- Simulaci\u00f3n en redes sociales: delincuentes se hacen pasar por personal de entidades bancarias, d\u00e1ndole instrucciones a particulares, con el fin que realicen transferencia o soliciten cr\u00e9ditos.<\/li>\n\n\n\n
- Clonaci\u00f3n tarjetas de debito o de cr\u00e9dito.<\/li>\n\n\n\n
- Extracci\u00f3n de dinero por parte de terceros ajenos de la cuentas.<\/li>\n<\/ul>\n\n\n\n
“En esos casos, los sistemas no han detectado que se utilizan tarjetas distintas, o se opera desde cuentas no oficiale<\/strong>s, por ejemplo”, remarca Lowenrosen.<\/p>\n\n\n\nQu\u00e9 responsabilidad tienen los bancos frente a los fraudes a clientes<\/h2>\n\n\n\n
“La organizaci\u00f3n bancaria no puede advertir que terceros simulan ser ella y aconsejan a los usuarios a realizar determinadas actividades (dar datos, remitir emails, efectuar transferencias) que redundan en contra de sus derechos e intereses patrimoniales”, explica Lowenrosen.<\/p>\n\n\n\n
“Como las entidades no toman la medidas necesarias para evitar estafas a los usuarios, deben asumir la responsabilidad <\/strong>ante situaciones de debilidad organizativa o de falibilidad”, subraya Lowenrosen.<\/p>\n\n\n\n“De todos modos, y aunque la omisi\u00f3n no libera en forma manifiesta al banco, los usuarios deben actuar con prudencia, consultando ante cualquier duda o eventualidad a la entidad financiera, y dejando constancia de ello”, advierte.<\/p>\n","protected":false},"excerpt":{"rendered":"
In this article, you can find the keys to the new cybersecurity standards<\/p>\n","protected":false},"author":2,"featured_media":7845,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_seopress_robots_primary_cat":"none","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[214,203],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.n5now.com\/en\/wp-json\/wp\/v2\/posts\/7836"}],"collection":[{"href":"https:\/\/blog.n5now.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.n5now.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.n5now.com\/en\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.n5now.com\/en\/wp-json\/wp\/v2\/comments?post=7836"}],"version-history":[{"count":4,"href":"https:\/\/blog.n5now.com\/en\/wp-json\/wp\/v2\/posts\/7836\/revisions"}],"predecessor-version":[{"id":7850,"href":"https:\/\/blog.n5now.com\/en\/wp-json\/wp\/v2\/posts\/7836\/revisions\/7850"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.n5now.com\/en\/wp-json\/wp\/v2\/media\/7845"}],"wp:attachment":[{"href":"https:\/\/blog.n5now.com\/en\/wp-json\/wp\/v2\/media?parent=7836"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.n5now.com\/en\/wp-json\/wp\/v2\/categories?post=7836"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.n5now.com\/en\/wp-json\/wp\/v2\/tags?post=7836"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}