Mientras la banca privada peruana moderniza su sistema con novedades como la interoperabilidad, la ciberdelincuencia también perfecciona sus actividades delictivas. Es más, ya se han identificado ataques dirigidos a clientes de altos ahorros, por citar un ejemplo.
Frente a ello, Perú cuenta con una normativa de la Superintendencia de Banca y Seguros (SBS) relativamente joven que fija reglas mínimas sobre ciberseguridad para que las entidades financieras sostengan sus operaciones.
¿De qué se trata y qué otros mecanismos han implementado los diferentes actores del sistema financiero para evitar brechas de datos y clientes afectados? Gestión lo explica a detalle.
LEA TAMBIÉN: Sin sustento técnico: así avanzan 10 proyectos del Congreso contra el sistema financiero.
Estrategias
Hay dos tipos de modalidades que la ciberdelincuencia usa hoy contra el sistema financiero, según la Asociación de Bancos del Perú (Asbanc).
“Hay uno que se sustenta en la tecnología, como redes de robots y anonimato sumado a procesos automatizados como escaneo de puertos. El otro utiliza la ingeniería social y malware para obtener credenciales o códigos de validación para acceder a información personal”, explica Giovanni Pichling, gerente de Seguridad Estratégica del gremio bancario, a Gestión.
Precisamente por usar mecanismos automatizados, los ataques al sistema financiero son “pan de cada día”. “Se encuentran operando de forma permanente e ininterrumpida, por lo que podríamos decir que los sistemas son probados constantemente”, precisa Pichling.
Dentro de ambos frentes, hay operaciones de vulneración cada vez más refinadas. Una de ellas, indica el BBVA, es el llamado spear phishing, donde buscan obtener datos mediante correos electrónicos o mensajes de texto con enlaces fraudulentos.
“Está dirigido a ciertas personas de los segmentos más altos de la sociedad, como empresarios o ministros si tienen sus correos”, advierte Antonio Ávila, Head de Seguridad de la entidad financiera.
Ávila también precisa a Gestión que cualquier persona que recibe este tipo de correos corre peligro incluso sin brindar datos de contacto. “Desde que clickeas ya estás en riesgo, sobre todo si no tienes defensas como antivirus. A lo mejor ingresas, pero no pones tu usuario y contraseña bancaria, pero igual pueden infectar tu equipo con programas dañinos dentro de la página web”, señala.
Otro actor relevante del sistema financiero es la Cámara de Compensación Electrónica (CCE), entidad que brinda el ecosistema tecnológico para enviar dinero mediante transferencias interbancarias, ya sea diferidas o inmediatas.
Martín Santa María, gerente general de la cámara, revela que han implementado un sistema preventivo que usa la inteligencia artificial (IA). “Tenemos un conjunto de reglas preestablecidas para operaciones sospechosas, como hacer 15 transferencias cuando normalmente haces una o dos. Pero otro componente es una IA que, conforme avanzan las transacciones, sugiere ajustes. Es un sistema dinámico”, explica.
Otras herramientas implementadas por la banca están relacionadas con la predictibilidad de los mensajes al cliente. “Ayuda bastante acostumbrarlos a comunicaciones homogéneas. Es una labor importante para que cuando reciban un enlace extraño, sospechen”, comenta Ávila.
Según Pichling, de Asbanc, la banca también realiza pruebas de “ethical hacking”, es decir, buscan vulnerabilidades de su propio sistema para corregirlas a la brevedad. “Se aplican hasta a los proveedores de servicios. También se usa el cifrado de datos”, señala.
El vocero del gremio bancario también agrega que no se puede establecer una inversión promedio de las entidades para protegerse, ya que su alcance involucra más de un área. Sin embargo, sí se puede estimar el costo de fallar. Según el Informe mundial “Coste de la vulneración de datos 2023″ de IBM, una brecha de este tipo puede costar en promedio US$ 4.45 millones.
LEA TAMBIÉN: Los forwards cambiarios deberían aumentar para sobrevivir a El Niño, dice la banca.
La “054″
La SBS cuenta con una normativa específica para que las entidades financieras estén preparadas ante cualquier intento de vulneración a sus sistemas y clientes. Se trata del “Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad”, vigente desde el 2021.
De acuerdo con Ávila, del BBVA, coloquialmente se le conoce como “la 054″, por ser el número de la resolución que lo contiene. “Ahí están las medidas de seguridad mínimas que debemos disponer. La SBS ha hecho un gran trabajo, está alineado a estándares internacionales y es bastante moderna. No creo que quede desfasada”, afirma.
El vocero del banco dice que el reglamento de la SBS se basa en el “Cibersecurity Framework” del Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST, por sus siglas en inglés), referente en esta materia.
“La 054″ establece, dentro del Sistema de Gestión de Seguridad de la Información y Ciberseguridad (SGSI-C), 38 medidas mínimas en nueve frentes, entre ellos recursos humanos, adquisición de sistemas y criptografía.
Según indicó la SBS a Gestión su regulación exige también autenticación reforzada en productos más expuestos al fraude, como son las operaciones a través de un canal digital que impliquen pagos o transferencias a terceros, lo que alcanza modalidades de pago sin tarjeta como el Tap To Phone.
La entidad también recalcó que la normativa es “neutral” frente a nuevas tecnologías utilizadas por la banca y su actualización es periódica por esa razón. Una sinergia que Asbanc reconoce. “Sostienen varias reuniones con cada supervisado para verificar los avances en este campo”, resalta Pichling.
¿DORA en Perú?
EY ha resaltado que el reglamento del Digital Operational Resilience Act (DORA) de la Unión Europea podría servir de guía para el Perú, ¿qué podría rescatarse de la propuesta europea?
William Cifuentes, Socio de Ciberseguridad de Consultoría para la Industria Financiera de EY Colombia y Manuel Puertas, Gerente de Consultoría para la Industria Financiera de EY Perú, mencionan que este mecanismo busca mejorar la resiliencia operativa en el sector financiero ante las amenazas cibernéticas y otros riesgos. De esta propuesta es posible rescatar varios elementos clave, dice EY.
Por ejemplo, el DORA establece la necesidad de identificar y gestionar riesgos relacionados con la ciberseguridad, la continuidad del negocio y otros aspectos operativos críticos, así como la realización de pruebas de resiliencia que permiten evaluar la capacidad para resistir y recuperarse de eventos.
Propone normas específicas en ciberseguridad, incluyendo la implementación de medidas de seguridad, la notificación de incidentes cibernéticos y la gestión de riesgos cibernéticos.
Plantea un marco de gobierno y supervisión sobre los requisitos de resiliencia operativa y ciberseguridad; y establece requisitos para la notificación de incidentes de ciberseguridad a las autoridades y fomenta la colaboración sectorial.
Gastos
- US$ 1,76 millones pueden ahorrar organizaciones que usan la IA y automatización en seguridad para prevenir brechas de datos, según un informe de la materia elaborado por IBM.
- 51% de las 550 organizaciones que IBM consideró para su estudio buscan aumentar sus inversiones en seguridad con capacitaciones laborales y pruebas de respuesta ante ataques.
Disfruta tus descuentos del Club de Suscriptores cuantas veces quieras gracias a tu suscripción a Gestión. Más de 300 promociones esperan por ti, descúbrelas Aquí. Y si aún no eres suscriptor, adquiere tu plan AQUÍ.
Licenciado en Periodismo por la Pontificia Universidad Católica del Perú. Parte del equipo fundador del medio digital Sudaca. Experiencia en cobertura política, social y económica peruana.