Los bancos nomás no reaccionan rápido a las amenazas de ciberseguridad

Print Friendly, PDF & Email

Los bancos recibieron una segunda oportunidad para implementar el uso de biométricos en el enrolamiento de sus nuevos usuarios o de quienes adquieran más productos financieros. Ahora podrán comenzar a operar con esta tecnología el 1 de enero del próximo año o el 31 de marzo de 2020, pero es muy factible que todas las instituciones opten por la segunda fecha.

“Resulta que, a la mera hora, no se va a poder hacer [el cambio tecnológico] y vamos a tener todavía casi año y medio para que esto llegue a buen fin”, señala Ignacio Sotelo Higuera, director general de la Asociación Mexicana de Ciberseguridad (Ameci).

Y además lanza una alerta: si ya se encontraron brechas de seguridad para entrar en los sistemas bancarios, como ocurrió con los ataques al Sistema de Pagos Electrónicos Interbancarios (SPEI) ocurridos en el mes de abril de este año, el crimen “no va a descansar” hasta volver a encontrar otro resquicio.

Y los números hablan por sí solos: los delitos cometidos en este sector continúan siendo un problema. Basta ver que, en la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef), se registraron 7,414 reclamaciones imputables a un posible robo de identidad durante el año pasado.

Además, en su Anuario Estadístico 2017, la institución añade que en los bancos se contabilizaron casi 80,000 reclamaciones, de las cuales 20% fueron por suplantación de identidad; 40%, por productos no reconocidos; y 37%, por retiros no reconocidos.

Una segunda oportunidad

Los intentos de aumentar los estándares de seguridad en la banca mexicana comenzaron con la publicación, por la Comisión Nacional Bancaria y de Valores (CNBV), de una Circular Única de Bancos, el 29 de agosto de 2017, a través del Diario Oficial de la Federación (DOF). La Circular contiene cambios para incorporar y regular el uso de datos biométricos, principalmente huella dactilar, con el fin de autentificar a los usuarios. De inicio, las yemas de los dedos de las personas tendrían que ser contrastadas en línea contra la base del Instituto Nacional Electoral (INE).

Pero la implementación fue complicada, así que las instituciones financieras negociaron la prórroga. Con ello, las que presenten antes del 14 de diciembre de 2018 (ante la CNBV) un plan de trabajo o cronograma que especifique las acciones que seguirán para adoptar esta tecnología podrán comenzar a operar con los biométricos a partir del 31 de marzo de 2020.

Los que no opten por esta vía o no obtengan el aval de la CNBV, que debe dictaminar en un plazo de 10 días, tendrán que comenzar a utilizar los biométricos a partir del 1 de enero de 2019.

Las propias autoridades consideran probable que todos los bancos elijan la fecha más lejana para implementar los controles. “Pareciera ser que sí, aunque la certeza se tendrá hasta diciembre”, dice Arcelia Olea Leyva, vicepresidenta de Normatividad de la CNBV. La funcionaria tiene una alta expectativa de que todos presentarán su plan, dado que todos los bancos han manifestado conformidad con los plazos señalados en la última resolución.

Los plazos son bien vistos por expertos como Sotelo Higuera: Lo que hay que esperar ahora es que “la implementación que se pretende realizar tenga la suficiente gestión administrativa y técnica [como] para que tener almacenados nuestros datos biométricos no se vaya a volver un problema y una fuga de información”.

¿Puño sin hierro?

La Ley de Instituciones de Crédito establece una multa para los bancos que incumplan con la norma, que puede estar tasada en dos escalas: entre 2,000 y 10,000 Unidades de Medida y Actualización (UMA, esto es de 160,000 a 806,000 pesos) y de 0.1% a 1.0% del capital pagado de la institución que incumpla. El monto depende de cuántas veces se cometa la infracción.

La instancia encargada de determinar el rango de la penalización es la CNBV. Sin embargo, la Comisión no aplicó multa a ningún banco por no haber implementado las tecnologías al 29 de agosto de este año, pues publicó la prórroga de manera inmediata, de modo que nadie cayera en incumplimiento.

Los que no presenten su cronograma el 14 de diciembre o lo presenten y les sea rechazado tampoco se harán acreedores a sanción alguna, pues el plan de implementación es un paso opcional; ni los que decidan no apegarse a la norma el 1 de enero de 2019, pues cuentan con la alternativa de utilizar el pasaporte más un segundo documento para verificar la identidad de sus clientes.

Pero también existe la posibilidad de que una institución decida no utilizar los biométricos. “Un banco podría optar y decir a su cuentahabiente: ‘Oye, cliente, yo no te voy a molestar; yo lo que quiero es evitar pedirte tu huella, cada vez que hagas transferencia de recursos o retires efectivo. Por lo tanto, yo pacto contigo que, si no reconoces las operaciones, yo te las voy a restituir en 48 horas’”, explica la funcionaria de la CNBV.

¿La CNBV está siendo condescendiente?

Lo que pasa es que las sanciones no dependen de la regulación que emite la Comisión, las sanciones por las distintas infracciones que puede marcar la ley, o a las disposiciones están establecidas en la Ley de Instituciones de Créditos. Quizá, en alguna otra oportunidad que haya de reformar la ley, habría que replantear si resultan suficientes los montos actualmente previstos para sancionar este tipo de conductas, sobre todo a la luz de que, cada vez, este tipo de operaciones irregulares son más comunes.

Es una sanción que no puede incrementar la Comisión. Tendría que implicar una modificación a la Ley de Instituciones de Crédito, es decir, a través del Congreso de la Unión, y, en su caso, sí considerarlo.

¿Debería haber sanciones más altas y rigurosas?

En este momento es difícil hacer una valoración de si es conveniente o suficiente el monto establecido. Creo que habría que esperar a ver cómo se da el cumplimiento o no de esta nueva norma. Ahora, la ley también prevé otras posibilidades para incrementar las multas, cuando, por ejemplo, se cause perjuicio a terceros o se produzca un daño mayor.

¿Quién incrementa las multas?

La Comisión.

Cadena de errores

Uno de los principales factores que complicaron la implementación del proceso fue el corto plazo que recibieron los bancos, además de que algunos se asesoraron mal, puntualiza Pedro Lara, responsable regional de Innovation Marketing y Desarrollo de Negocio de Gemalto.

En lo que respecta a los aspectos técnicos, los bancos han manifestado a la CNBV que el proceso requiere de mucho trabajo, que pasa por un ajuste de los sistemas, conexiones tecnológicas y elementos de seguridad que permitan la verificación de la huella digital con el INE, para lo cual tienen que ser compatibles con los sistemas de la institución electoral. Esto implica la apertura de áreas especializadas en identidad digital y el desarrollo de perfiles técnicos con especialización biométrica.

“Los retos más grandes en la implementación de las soluciones de identidad digital son el expertas que demanda la biometría en organizaciones complejas en su operación, como es la banca, y la inversión requerida”, enfatiza Adolfo Loera Marín, director general de Biometría Aplicada.

“Lo que nos comentaban [los bancos] es que, hablando de infraestructuras tecnológicas y cuestiones más técnicas que legales, les ha tomado mucho tiempo también por cuestiones de costos”, indica Olea. Pero deja claro que, en comparación con las pérdidas que genera el robo de identidad, al final del día la inversión representa un beneficio.

Precisamente por este factor, la prórroga dio la posibilidad de que varios bancos se unan para desarrollar una infraestructura que les permita crear una base de biométricos conjunta, que deberá ser verificada por la CNBV para que cumpla con los requisitos técnicos de confiabilidad necesarios para confirmar la identidad de las personas ante el INE o ante otra autoridad emisora de identificaciones oficiales.

Un primer reto de esta “bolsa compartida” es diseñar la solución tecnológica que soporte la cantidad de datos y, de manera óptima, el volumen de transacciones que realizará. “Las dimensiones de la misma [base] y la infraestructura que la gestione podría también ser un elemento de riesgo a considerar en caso de no soportar el volumen de operaciones (en tiempos de respuesta aceptables o en disponibilidad como tal en caso de no estar operando el servicio)”, advierte Humberto López Gallegos, director general de Ingressio, por lo que, a su juicio, debe haber un análisis de capacidades y crecimiento que permita mantener la eficiencia y disponibilidad del servicio en todo momento para los bancos.

Al hablar de tecnología, existen diferentes opciones que se pueden utilizar, pero eso dependerá de cuántos participantes van a estar en ese “consorcio”, y cómo y qué tan rápido pueden ponerse de acuerdo, lo que muchas veces puede ser el paso más complicado, comenta Lara, de Gemalto.

“Esto [la infraestructura conjunta] conlleva también todo un proyecto de gestión de esta base de datos central. ¿Quién la gestionará, cómo se manejará el gasto de todo lo que involucra en infraestructura, comunicaciones, licenciamiento, mantenimiento, help desk, actualizaciones y mejoras, procesos de rechazo / autorización, aportaciones y actualizaciones de datos biométricos, etc.?”, se pregunta López.

Desde su punto de vista, uno de los temas de discusión más importantes serán los elementos que determinarán la manera en que los bancos se distribuirán la inversión inicial. Y observa que muchos bancos, previo a esta iniciativa, ya invirtieron en biometría, en sus propios procesos, bases de datos y equipo de identificación, por lo que se tienen que contemplar las implicaciones de la inversión anterior con las nuevas demandas de calidad, estándares, certificaciones y tecnologías que la iniciativa requiere.

En lo que compete a las reglas para dar respuesta ante posibles fraudes y suplantación de iden¬tidad, López cuestiona: “¿Cómo y quién les dará curso cuando ocurran? ¿Qué implicaciones exis¬tirán para las personas, entidades y procesos en los que ocurran?”.

La garantía

En lo que llega el 1 de marzo de 2020, los usuarios conservarán el mismo nivel de protección con el que hoy cuenta cada uno de los bancos. “No va a mejorar, no va a empeorar”, describe Lara.

Para compensar al cliente, el DOF estipula que, tras la prórroga, en caso de una reclamación por robo de identidad, los bancos se deberán comprometer “a asumir los riesgos y, por lo tanto, los montos de dichas reclamaciones”.

Si alguien tiene una operación no reconocida o un crédito o una cuenta que no identifica, y hace una reclamación al banco, la institución está obligada a borrar el crédito o a regresar el dinero en un plazo de 20 días. Así ocurrirá mientras no cuente con su base de biométricos, ya sea el 1 de enero de 2019 o en marzo de 2020.

A pesar de que también hay medidas para resarcir a los usuarios que sean afectados por el crimen, la realidad es que la amenaza sigue latente. “Ante la evolución de los servicios bancarios en dispositivos móviles, las instituciones financieras tendrán que limitar la oferta de estos servicios y fortalecer durante este periodo [de prórroga] sus mecanismos de seguridad para prevenir los riesgos que actualmente existen, como robo y suplantación de identidad, así como fraude a los usuarios de la banca”, advierte Loera, de Biometría Aplicada.

Forbes