El drama del pishing bancario despertó al BCRA: nuevas normas de ciberseguridad

Dolores Olveira

13 de marzo de 2023, 7:43 a.m.·6 min de lectura

A vuelta de respuesta a un mail o tras postear un Twitter quejándose de la entidad en la que tienen una cuenta, muchos vieron vaciarse sus cajas de ahorro. Los bancos se lavan las manos hasta que les cae un juicio. Pero ahora el Banco Central tomó cartas en el asunto.

Los eventos de pishing bancario y otros fraudes a clientes desprevenidos terminan en muy pocos casos en juicios millonarios a los bancos por no haber establecido mejores políticas de seguridad. Pero, por lo general, el cliente se siente culpable por haber sido ingenuo, y no protesta.

Qué pasará en adelante con la ciberseguridad bancaria

Ante esta situación, el Banco Central dio un fuerte vuelco en sus normas de ciberseguridad para las entidades financieras, con la publicación este viernes 10 de marzo de la Comunicación A 7724, que modifica las anteriores con en una visión centrada en minimizar incidentes.

"El BCRA actualizó los 'Requisitos mínimos para la gestión y control de los riesgos de tecnología y seguridad de la información', obligando a las entidades financieras a implementar control interno y la gestión de riesgos en tecnología y su mitigación", precisa Gabriela Abad, abogada de la Asociación Usuarios y Consumidores Unidos (UCU).

"La norma establecen exigencias de diseño de las operaciones y procesos que ofrezcan ciberrresiliencia ante incidentes", explica en diálogo con iProUP Federico Tjor, abogado especialista en Derecho Informático, e indica que "también se regula la gestión de ciberincidentes, buscando una preparación y planes de respuesta, registros de ciberincidentes y su investigación", indica.

Sin embargo, Tjor apunta que, "si bien los cambios resultan positivos para asegurar un umbral de seguridad aceptable para el funcionamiento de las entidades financieras, involucran casi en su totalidad, aspectos de funcionamiento interno de los bancos, con poca relevancia para la seguridad de los usuarios en sus operatorias virtuales".

El Banco Central exigirá a los bancos nuevas medidas de protección apuntaladas por inteligencia artificial

Qué deberán hacer los bancos para atender con robots

"La norma precisa el uso de la Inteligencia Artificial (IA) dentro de las entidades bancarias, y les exige identificar y documentar el objetivo del uso de algoritmos de este tipo, con exigencias puntuales a fin de evitar sesgos o discriminación contra grupos de usuarios, como así mismo la obligación de informar su uso al cliente", comenta Tjor.

"El BCRA considera especialmente a la adopción por parte de las entidades de la Inteligencia Artificial en sus procesos, la utilización de tecnología nueva o emergente en el marco de los ciberincidentes", aclara Abad.

"El recaudo que exige el BCRA en el uso de algoritmos de IA es la confiabilidad en su uso y la adopción de medidas para evitar la existencia de sesgos o discriminación contra usuarios de servicios financieros", agrega.

"La norma también establece la comunicación al cliente cuando el banco utilice servicios soportados por este tipo de tecnología", sostiene Abad, y agrega: "es importante que el usuario sepa cuando lo atiende una persona de carne y hueso o un robot".

Qué ciberincidentes deberán ser prevenidos por los bancos

"En esta extensa normativa, el BCRA pone foco en los distintos recaudos que deberán llevar a cabo los bancos para asegurar la identificación, evaluación, seguimiento, control y prevención de los llamados ciberincidentes", remarca Abad.

"¿Qué son los ciberincidentes? El BCRA los define como aquellos incidentes de tecnología y seguridad que pone en peligro la ciberseguridad de un sistema de información o la información que el sistema procesa, almacena o transmite", puntualiza.

El Central hizo foco en los recaudos que deberán llevar a cabo los bancos para prevenir los llamados ciberincidentes

Para el Banco Central, también es un ciberincidente el que infringe las políticas de seguridad, los procedimientos de seguridad o las políticas de uso aceptable, sea o no producto de una actividad maliciosa", añade.

"Es de público conocimiento la ola de ataques de tipo "ingeniería social", "phishing", "vishing" y otros de similares características, que se exponenciaron en la pandemia del COVID-19, como otros incidentes informáticos, que persisten hasta el día de hoy", recuerda.

"Ahora el BCRA insiste en exigir a las entidades programas de capacitación y concientización en materia de seguridad de la información, que alcancen a los clientes y usuarios, contemplando los riesgos de tecnología, y los aspectos relacionados con la gestión de ciberincidentes", resalta Abad.

Cuáles son las claves de las nuevas normas de ciberseguridad

"La Comunicación A 7724 establece una serie de pautas que obligan a las entidades financieras a llevar a cabo una planificación estratégica en ciberseguridad", remarca Abad, y enumera las obligaciones que impone el BCRA a los bancos:

1. Doble autenticación

Definir modelos de accesos para los usuarios que contemplen los factores de autenticación, el comportamiento en el uso de servicios y distintas fuentes de información que permitan validar su identidad.

2. Protección de integridad.

Establecer medidas de protección que aseguren la integridad y confidencialidad de los factores de autenticación al cliente y que reduzcan el riesgo de ataques, con la utilización de métodos que prueben la posesión y el control sobre el dispositivo por parte del usuario.

3. Datos biométricos

Se deberán evaluar y mitigar los riesgos sobre las propias limitaciones del método, la tasa de falsos positivos, las posibles vulnerabilidades en los dispositivos y sistemas utilizados para la captura y validación de las credenciales y el impacto en la privacidad de los usuarios.

4. Eventos de seguridad

Establecer un proceso para el registro y el análisis de la información vinculada con eventos de seguridad de los sistemas, las redes y la infraestructura tecnológica.
Revisar los perfiles de comportamiento de los usuarios que permitan identificar sus actividades habituales, como también identificar patrones de actividad sospechosa o inusual de los usuarios".

5. Gestión de ciberincidentes:

Realizar un registro del seguimiento de las actividades hasta la identificación de la causa raíz de los ciberincidentes, a fin de asegurar su resolución y evitar su recurrencia.
Aun cuando el origen no se encuentre bajo control del banco, también deberán tomar acciones para gestionar su seguimiento.
Analizar la información asentada para prevenir nuevos ciberincidentes o para la investigación de las causas raíz del ciberincidente registrado.

6. Cajeros y homebanking

El Banco central define como Canales Electrónicos a cajeros automáticos, terminales de autoservicio, banca móvil, banca telefónica, banda por internet y plataforma de pagos móviles. E impone a las entidades contar con equipos de trabajo especializado en la gestión de incidentes de seguridad de todos sus Canales Electrónicos.

No obstante, "hubiera sido esperable que se aprovechase la oportunidad para regular la obligación de informar a los usuarios, y no solo al BCRA, en el caso de existir ciberincidencias, robo de datos o información".

La Comunicación "A" 7724 entrará en vigor en 180 días, con el fin de permitir una revisión de los procesos para ajustarse a este nuevo abordaje regulatorio, según informó el Banco Central.

LA NACION
Caso Loan: Laudelina Peña se retiró del Juzgado Federal entre piedrazos e incidentes
La mujer, señalada por alterar las evidencias en la causa que investiga la desaparición de su sobrino de cinco años, salió de la sede judicial en medio de una fuerte manifestación de familiares y vecinos
EFE Latam
El Orgullo sale a la calle de nuevo en Madrid para clamar por ‘Educación, derechos y paz’
Madrid, 6 jul (EFE).- Bajo lema ‘Educación, derechos y paz: Orgullo que transforma’, la manifestación estatal del Orgullo LGBTBI+ vuelve a tomar este sábado, un año más, las calles de Madrid en el que supone el acto central de la programación del Orgullo madrileño.
France 24
De economía, hasta el sistema sanitario: los desafíos para Stramer, primer ministro de Reino Unido
Tras obtener una victoria histórica en las elecciones legislativas, el primer ministro de Reino Unido, Keir Stramer, prometió "reconstruir el país ladrillo a ladrillo". Para ello deberá reanimar el Sistema Nacional de Salud, que ha venido sufriendo recortes presupuestales desembocando en una deficiente atención a sus usuarios. Además, deberá revitalizar la economía, haciendo frente a la inflación.Leer más sobre FRANCE 24 Español
France 24
Alonso Zamora: ‘Se espera que Starmer atienda la migración de una manera más humanista’
En su primer día en el cargo, Keir Starmer, el nuevo primer ministro de Reino Unido derogó el acuerdo de Ruanda que planteaba enviar devuelta a los migrantes irregulares, según reveló el diario The Telegraph. En France 24 hablamos con Alonso Zamora, internacionalista y experto en estudios africanos, sobre las consecuencias de deshacerse de esta normativa y los cambios que podría tener la política migratoria británica bajo este nuevo Gobierno laborista.Leer más sobre FRANCE 24 Español
EFE Latam
Quién es José Fajardo: el héroe de Panamá, la amenaza para Colombia
Glendale (EE.UU.), 5 jul (EFE).- El panameño José Fajardo es el inesperado delantero de moda en la Copa América de Estados Unidos y la principal amenaza que deberá enfrentar Colombia en los cuartos de final, este sábado, en Glendale (Arizona).
EFE Latam
Un senador demócrata busca reunir a legisladores para forzar a Biden a hacerse a un lado
Washington, 5 jul (EFE).- El senador demócrata de Virginia (EE.UU.) Mark R. Warner está intentando reunir un grupo de senadores de su partido para pedirle al presidente, Joe Biden, que abandone la candidatura presidencial, informó el periódico The Washington Post.
PR Newswire
CGTN: la "gran familia" de la SCO se expande, marcando el comienzo de una nueva etapa de cooperación
La ceremonia inaugural de la Ruta de Transporte Internacional Transcaspiana se celebró el miércoles en Kazajistán, en la que debutaron camiones chinos que utilizarán una ruta de transporte por carretera para llegar hasta el mar Caspio.
LA NACION
Copa América 2024: el tierno pedido de un niño a Lionel Messi segundos antes de entrar a la cancha
En la previa del partido contra Ecuador, el capitán conversó mano a mano con un mini fan y el encuentro se volvió viral; la selección se impuso en la tanda de penales y pasó a semifinales
LA NACION
Copa América: los mejores memes del partido entre Argentina y Ecuador
La selección argentina buscó un lugar entre los cuatro mejores del certamen continental; qué dijeron las redes sociales en la previa del encuentro
AFP
Bielsa alerta contra la deriva del fútbol: "Cada vez es menos atractivo"
Al frente del ofensivo Uruguay en la Copa América, Marcelo Bielsa advirtió este viernes de los riesgos que enfrenta el fútbol actual si no frena su apetito por el resultadismo, la polémica y los beneficios económicos.El exseleccionador de Argentina y Chile, amante del fútbol ofensivo y metódico hasta la obsesión, expuso sus ideas a partir de una pregunta sobre los errores arbitrales en la Copa América.
LA NACION
Qué ver en Netflix Argentina: el ranking de las mejores películas para disfrutar este fin de semana del 6 y 7 de julio
Este fin de semana, el catálogo de la plataforma streaming ofrece una variedad de películas imperdibles que prometen mantenerte entretenido; algunos estrenos esperados y los clásicos de siempre
AFP
Biden esquiva problema de la edad y defiende su candidatura en una entrevista
Joe Biden se obstinó este viernes en defender su candidatura a las elecciones en una entrevista en la que sorteó las preguntas sobre su agilidad mental.Biden respondió con evasivas a las insistentes preguntas del periodista George Stephanopoulos sobre sus aptitudes cognitivas.
LA NACION
Rating: cuánto rindió el partido de Argentina contra Ecuador por la Copa América
El seleccionado defensor del título disputó un duro encuentro contra el equipo ecuatoriano; cómo fue el rating de TyC Sports, Telefe y TV Pública
LA NACION
La reacción de los hinchas argentinos al ver a la familia de Lionel Messi entrando al estadio
Anto Roccuzzo llegó con sus tres hijos y los padres de su esposo dos horas antes de que comience el partido en el que el equipo de Lionel Scaloni se enfrentó con Ecuador; las imágenes del ingreso
LA NACION
El baile que protagonizó Rodrigo De Paul junto a su hija en pleno campo de juego
El mediocampista de la selección argentina tuvo un tierno gesto con su hija Francesca, quien lo miraba desde uno de los palcos del NRG Stadium de Houston
Tomatazos
Batman: Serie del Asilo de Arkham ambientada en el universo de Matt Reeves ha sido cancelada
El anuncio inicial de la serie se remonta a 2020, con la intención de expandir el universo establecido por la película
LA NACION
Anto Roccuzzo se robó todas las miradas por su look súper canchero para ir a alentar a la selección argentina
La esposa de Lionel Messi sorprendió con su outfit para ir a apoyar al equipo nacional liderado por su marido; como en cada partido, estuvo presente en el estadio junto a sus tres hijos y sus suegros
LA NACION
Rolando Barbano fue capturado in fraganti con una mujer que no era Marina Calabró
A poco más de dos meses de su separación de la politóloga, las cámaras captaron al periodista especialista en policiales muy bien acompañado en la noche porteña
AP
Cristiano consuela a Pepe, tras eliminación de ambos veteranos en la Euro
HAMBURGO, Alemania (AP) — Ahora las lágrimas no fueron de Cristiano Ronaldo.De hecho, el astro se dedicó a consolar a un compañero que lloraba la dolorosa eliminación de Portugal en la Eurocopa –tal vez el último torneo de selecciones en el que participó Cristiano.
EFE Latam
Byron Castillo regresa al Barcelona de Guayaquil cedido durante un año por Pachuca
Quito, 5 jul (EFE).- El Barcelona ecuatoriano anunció este viernes el regreso a sus filas de Byron Castillo, protagonista del litigio que Chile y después también Perú siguieron contra Ecuador por sospechas de irregularidades en la tramitación de la documentación del futbolista, con el objetivo de alcanzar ocupar el lugar de la Tri en el Mundial de Catar 2022.

S&P 500

Dow Jones

Nasdaq

Russell 2000

Petróleo

Oro

Plata

dólar/euro

Bono a 10 años

dólar/libra

yen/dólar

Bitcoin USD

CMC Crypto 200

FTSE 100

Nikkei 225