La declaración del estado de emergencia nacional, como consecuencia de  la pandemia del Covid-19, generó la implementación medidas extraordinarias por el  gobierno, las empresas y los usuarios; cuya consecuencia inmediata la aceleración del proceso de transformación digital de las empresas supervisadas y mejoras en la inclusión financiera. Hoy en día, un mayor número de usuarios prefiere utilizar medios de pago digitales para realizar sus operaciones; y, un gran número de nuevos usuarios se incorporaron al sistema financiero, para acceder con facilidad al apoyo otorgado por el Gobierno.

Dentro de este contexto, estos cambios en el entorno cultural y de los negocios están asociados a una mayor exposición a los riesgos derivados de fallas en la ciberseguridad, y a una mayor actividad y sofisticación de posibles atacantes. Esta situación afecta a todos los países, sus sistemas financieros y sus usuarios; incluso, puede llegar a comprometer la estabilidad financiera. 

En este sentido,  las entidades financieras están expuestas a los ataques de ransomware, hacking, robo de información e interrupción de los servicios; así como a los ataques cibernéticos dirigidos a los proveedores de servicios; y fraudes a las cuentas de sus clientes. Las amenazas y vulnerabilidades aumentan ante el aumento de la actividad en las operaciones virtuales por parte de los usuarios, la expansión de las redes y los canales de distribución de servicios financieros digitales. Los usuarios también son vulnerables  a fraudes como el phishing y la suplantación de identidad, considerando que muchos no han desarrollado las competencias necesarias en materia financiera y en el uso adecuado de la tecnología.

De acuerdo con una encuesta sobre el uso de servicios financieros del año 2019[1], el 70% de los usuarios del sistema financiero manifestó su preocupación por haber sido víctima de algún tipo de fraude; el 25% señaló que había perdido en alguna ocasión su tarjeta de crédito; el 69% no actualizó su aplicación antivirus; el 78% no cambió la contraseña de sus cuentas; y solo el 35% admitió que revisaba con frecuencia sus estados de cuenta.

Un 7% de los encuestados no reconoció transacciones de su tarjeta de crédito; y el 5% había experimentado la pérdida de dinero por el hackeo de su cuenta o algún otro tipo de fraude electrónico.

Supervisión y regulación

La Superintendencia de Banca, Seguros y AFP (SBS) revisa y actualiza periódicamente su marco regulatorio y de supervisión en torno a la seguridad de la información y ciberseguridad.

El Reglamento para la gestión de seguridad de la información y ciberseguridad (Resolución N° 504-2021) exige a las entidades supervisadas  que implementen  una adecuada organización interna y tecnología requeridas para gestionar la ciberseguridad, lo que incluye el monitoreo, evaluación y respuesta ante posibles incidentes.

Esta regulación se caracteriza por ser proporcional a los riesgos que enfrenta cada entidad financiera. En ese sentido, se han establecido tres niveles de gestión de la ciberseguridad -régimen simplificado, régimen general y régimen reforzado-, cuya aplicación guarda correspondencia con el tamaño, naturaleza y complejidad de las  operaciones realizadas por las diferentes empresas que conforman el sistema financiero.

La SBS, dentro del marco de su competencia realiza procesos de supervisión in situ y extra situ respecto a la gestión de la ciberseguridad y las amenazas que enfrentan las entidades financieras,  esto incluye la evaluación de la organización, políticas, asignación de recursos y prácticas de gestión, las herramientas para su prevención, detección y respuesta; los sistemas internos para el reporte oportuno de los incidentes de ciberseguridad; y los reportes de incidentes a diversas entidades especializadas en la detección y respuesta oportuna de este tipo de situaciones.

En materia de regulación, también se debe destacar que en el año  2019 se implementó  un nuevo marco normativo de tarjetas de crédito y débito,  que reforzó la protección de los usuarios de este producto financiero, estableciendo así la obligación  de los emisores  de implementar mejoras inmediatas en los mecanismos de seguridad para efectuar transacciones.

Ante el continuo cambio y desarrollo de estos riesgos, la SBS requiere desarrollar capacidades en este campo, así como mejorar la infraestructura financiera. Para este efecto, se cuenta con el apoyo de diversos  organismos internacionales con los que se está evaluando incorporar mejoras a los mecanismos de reporte e intercambio de información, y en la evaluación del entorno de seguridad de los medios móviles.

Importancia de la cooperación y educación financiera

La cooperación del sector público y privado, así como la cooperación internacional es importante para mejorar la capacidad que tenemos como sector para prevenir, detectar y responder ante los posibles riesgos y eventualidades frente a este nuevo entorno.

Por ello, la SBS mantiene una activa relación con autoridades locales y reguladores en las que se comparte información sobre buenas prácticas. Asimismo, se ha instalado una mesa de trabajo sectorial con varios bancos y la Asociación de Bancos del Perú (Asbanc), a la que se irán sumando nuevos participantes del sistema financiero y otros sectores regulados, así como relacionados.

La educación es otro  de los objetivos  de la SBS. Por ello, es importante seguir promoviendo la educación financiera y la educación financiera digital. Se están  desarrollando e implementando campañas de información y alertas dirigidas a que la ciudadanía tome conciencia de los riesgos a que están expuestos, para que adopten buenas prácticas que contribuyan a la seguridad de sus operaciones; y, consecuentemente en reducción de la incidencia  de posibles fraudes.