Los bancos argentinos están implementando nuevas estrategias de autenticación para reforzar sus defensas ante ataques de ciberseguridad ante unos riesgos digitales que no se habían presentado antes.
Las instituciones están adoptando autenticación biométrica y con múltiples factores en una apuesta por mantener sus plataformas seguras.
“La digitalización genera nuevos desafíos en los cuales trabajamos en conjunto con el negocio y a mucha velocidad,” Pedro Adamovic, gerente de CISO de Banco Galicia, le dijo a iupana.
“Para ello somos parte de las mesas ágiles, poniendo a disposición las buenas prácticas y automatizando los procesos de control, un nuevo paradigma de trabajo.”
Los cambios vienen por los aportes tecnológicos que generan una mezcla entre plataformas de nuevas y viejas tecnologías.
“Hoy creo que más que nuevos tipos de ataque, la amenaza real es que las infraestructuras que han creado durante décadas son tan complejas que no es sencillo digitalizarse,” said Javier Chistik, gerente de Territory Account para el Cono Sur de Forcepoint.
“Si los bancos se pudieran mover hacia la nube seguramente estarían más protegidos.”
No es solamente la tecnología de back-end. Un posible nuevo foco de preocupación para la seguridad son los flamantes miembros de la tendencia coffee-banking. In Argentina, Galicia, Santander Rio, Comafi y próximamente Macro, están entre las entidades que ya apuestan al modelo. Estos nuevos espacios híbridos, donde se pueden realizar consultas bancarias y utilizar cajeros automáticos también cuentan con espacio de cafetería y co-working, donde los clientes pueden pasar tiempo, conversar y utilizar las redes de WiFi, terreno fértil para hackers.
Justamente, este el punto que se señala como crítico, la seguridad de redes y datos debe estar absolutamente garantizada.
También te puede interesar: Renovación completa: La estrategia digital de Banco Galicia
Nuevos riesgos, mismo presupuesto
Mientras se amplía el panorama de riesgos, los presupuestos se mantienen iguales. En Argentina, y específicamente en la industria financiera, el 54% de los encuestados por ESET en 2018 consideró insuficiente su presupuesto en ciberseguridad. Otro 22% reconoció que el mismo se redujo y 25% admitió haberlo aumentado, el resto de los encuestados afirmó que no variaron su presupuesto versus el año pasado.
Por su parte, la compañía de ciberseguridad rusa Kaspersky Lab, en su reporte para la región para 2018, señaló que en el caso de Argentina los ataques de phishing crecieron un 60%, mientras que las amenazas de malware se incrementaron en un 62%.
El reporte destacó los efectos de “prilex”, un malware brasileño diseñado para el robo de datos de tarjetas de crédito, incluyendo aquellas con chip y número de pin, que afectó a los argentinos que veranean en el sur de Brasil, como es la costumbre.
Entre otros factores, la investigación indicó que los bancos argentinos aún mantienen tecnologías viejas por cuestiones de compatibilidad con el hardware más viejo que usan en los comercios, situación que aumenta la posibilidad de ataques. A la vez, añadió que el colectivo de hackers Lazarus que ya atacó varios bancos en la región, también podría vulnerar la seguridad de los bancos locales.
“Este tipo de ataques se encuentran del lado del cliente bancario, pero no se puede dejar de lado el factor interno, donde los bancos se tienen que proteger de intento de ataques de ransomware con graves consecuencias,” aclara Luis Lubeck, especialista en seguridad informática de ESET Latinoamérica.
Chistik señala la propuesta de ley en Chile que haría a los bancos responsables por las pérdidas de sus clientes en caso de ataques digitales a sus cuentas.
“Si esto avanza, sin dudas cambiará el paradigma y seguramente veremos a la banca forzando asegurar las terminales de sus clientes,” dijo.
Leer también: Tecnología emergente de ciberseguridad en banca latinoamericana
La banca contraataca
Los bancos argentinos están buscando nuevos modelos de autenticación para defenderse de las debilidades en el proceso de log-in.
“Como en el resto del mundo, en Argentina la mayoría de las soluciones autentican mediante factores múltiples, es decir, en base a algo que es, a algo que sabe y a algo que tiene en su poder. Es sumamente importante agregar múltiples factores de autenticaciones para hacer más difícil el trabajo de los cibercriminales,” aporta Lubeck.
Algunos bancos se han volcado hacia las medidas de autenticación biométricas, en un esfuerzo por mejorar la seguridad.
“Desarrollamos una aplicación que permite a las personas acceder al mobile banking con una selfie en segundos. Sin necesidad de ingresar el DNI, nombre de usuario, ni contraseñas,” cuenta Franco Di Masi, gerente de innovación del Banco Supervielle.
El usuario se registra con una foto, a partir de esto la tecnología IA identifica puntos en su cara que son únicos e irrepetibles. Sebastián Stranieri, CEO de la firma VU Security dice que los sistemas biométricos pueden ser usados como parte de un proceso más sólido de verificación para los clientes digitales.
“El simple uso de una selfie para abrir una cuenta de banco no es seguro en absoluto,” dijo. “Pero sí se convierte en un mecanismo seguro si ese esquema biométrico facial está acompañado de una serie de controles tales como ubicación, dispositivo, identidad ciudadana y contexto, que los ciudadanos proveen al banco, retailer, organismo de gobierno o empresa privada, los cuales constituyen en su conjunto un modelo de scoring de riesgo del ciudadano que está haciendo la transacción.”
Leer también: Bradesco, Itaú prueban selfies y biométrica conductual
El factor humano
Desde la industria financiera local insisten que la capacitación, tanto para el personal interno como para los clientes, es la clave.
“Tenemos una red de alertas permanentes, capacitación continua de los equipos y upgrade de tecnologías. Hay que tener en cuenta que gran parte de los ciberataques siguen el mismo patrón y se mitigan de la misma manera,” aclara a iupana Mauro Troccay, gerente de seguridad de la información de Banco Itaú.
Educar al cliente también es fundamental. “No existe el riesgo cero, pero sí podemos minimizarlo. ¿Cómo? Trabajar en el comportamiento humano, principal factor de vulnerabilidad,” aporta Chistik.
“Los bancos están entendiendo que tienen que generar conciencia de cómo utilizar las herramientas como home banking.”
