• Modificar
    página:
  • A-
  • A+
Leer

Autenticación reforzada: mayor seguridad para operaciones que puedan generar perjuicio al usuario

A partir del 1 de julio, entró en vigencia el subcapítulo de autenticación del Reglamento para la gestión de la seguridad de la información y la ciberseguridad, aprobado por la SBS en febrero de 2021.

Situación actual

Los canales digitales han cobrado mayor relevancia en los últimos años, sobre todo en tiempos de pandemia, dado que permiten realizar transacciones y/o consultas sin necesidad de acercarse físicamente a las instalaciones de las entidades. Durante el 2020, más de dos tercios de los peruanos incrementaron el uso de aplicaciones digitales para realizar transacciones bancarias; y en 2021 y lo que va del 2022, ello ha seguido una tendencia creciente y más acelerada.

Número de operaciones según canal (bancos y financieras)

Fuente: Asociación de Bancos del Perú (Asbanc)

No obstante, esta situación conlleva a que los usuarios estén más expuestos a riesgos operacionales, entre los que se encuentran los fraudes y aquellos asociados a seguridad de la información. De acuerdo con la información recibida mediante la Central de Pérdidas por Riesgo Operacional (CPRO)[1], base de datos que registra las principales pérdidas asumidas por las entidades participantes, las pérdidas de las entidades del sistema financiero por fraudes externos están migrando hacia los canales no presenciales. En particular, en el 2020 se observó un incremento, respecto al año previo, en el monto de pérdidas registradas por suplantación, y por compras y transferencias fraudulentas en canales no presenciales.

Monto de pérdidas por fraude externo – banca minorista (Millones de S/)

Fuente: Central de Pérdida por Riesgo Operacional (CPRO)

Adicionalmente, a partir del año 2020, la proporción de operaciones no reconocidas con tarjeta de crédito, efectuadas en canales no presenciales, representaron más de dos tercios del total de este tipo de operaciones, alcanzando el 76% de operaciones no reconocidas con tarjetas de crédito en el año 2021. Cabe señalar que la relación entre el monto total de operaciones no reconocidas con tarjeta de crédito y el monto total de operaciones realizadas con dicho medio de pago por canales no presenciales, en el 2020 y 2021, representó el 0.4%.

Evolución de operaciones no reconocidas con TC por canales presenciales vs no presenciales

 

Fuente: Reporte de operaciones no reconocidas

Finalmente, el 17% del total de reclamos recibidos en 2021, por parte de las empresas del sistema financiero, están relacionados a operaciones no reconocidas por los usuarios, los que también han reportado un incremento relativo con respecto a la totalidad de reclamos en los últimos años.

En este contexto, y con el objetivo de reducir y mitigar estos riesgos, la Superintendencia de Banca, Seguros y AFP (SBS), mediante Resolución N° 504-2021 de febrero de 2021, aprobó el Reglamento para la gestión de la seguridad de la información y la ciberseguridad, cuyo subcapítulo sobre autenticación concluyó su plazo para adecuaciones el 30 de junio de 2022 y entró en vigencia el pasado 1 de julio.

Es preciso indicar que este subcapítulo es exigible a las entidades supervisadas que pertenecen al régimen general[2], así como a aquellas del régimen simplificado que provean operaciones en canales digitales que podrían generar perjuicio para los usuarios. Cabe señalar que, los canales digitales que se encuentran en alcance de este Reglamento son, principalmente, los aplicativos móviles, la banca por internet, las billeteras digitales, los cajeros automáticos (ATM) y los terminales de punto de venta (POS); así como las operaciones de comercio electrónico que utilicen instrumentos de pago provistos por las entidades.

Requisitos exigibles en el Reglamento

Considerando que el enrolamiento es un requisito para que un usuario pueda autenticarse en algún canal digital, en el artículo 18 del Reglamento se incluyeron requerimientos mínimos que aplican a este proceso. En particular, se requiere la verificación de la identidad del usuario y que se implementen las medidas necesarias para reducir la posibilidad de suplantación de identidad, lo que comprende el uso de dos factores de autenticación independientes de categorías diferentes. También, se exige a las entidades supervisadas que gestionen el ciclo de vida de las credenciales, asegurando su confidencialidad e integridad a lo largo de todo el ciclo.

Respecto a la autenticación per se, el Reglamento exige que las entidades supervisadas evalúen y tomen medidas, respecto al o los factores que serán requeridos para autenticar a los usuarios; ello con el propósito de controlar el acceso a los servicios provistos a través de canales digitales. Asimismo, previo a implementar los procesos de autenticación, se debe definir una línea base de controles de seguridad de la información que permita prevenir las amenazas a las que se encuentre expuesto el proceso de autenticación. Entre estos controles, se incluye el número de intentos fallidos de autenticación, la prevención de ataques de interceptación y la manipulación de mensajes.

En este sentido, de acuerdo con la evaluación descrita en el párrafo previo, se deben determinar las operaciones que requieren autenticación reforzada, debido a que pueden originar operaciones fraudulentas u otro abuso del servicio en perjuicio del cliente; entre estas operaciones se encuentran los pagos, las transferencias de fondos a terceros y la contratación de un producto o servicio a través de canales digitales. Ante estos casos, el artículo 19 del Reglamento exige que se utilice una combinación de factores de autenticación que correspondan, por lo menos, a dos categorías distintas y que sean independientes uno del otro. Para reutilizar un factor de autenticación, al realizar una operación que requiere autenticación reforzada, luego del ingreso al canal digital, la entidad debe asegurarse de contar con la línea base de controles de seguridad descrita previamente.

De la misma manera, el Reglamento requiere que cuando una operación sea exitosa, se notifique al usuario los datos de esta operación. Con esta notificación, el usuario dispone de información sobre las operaciones efectuadas y puede tomar conocimiento oportuno de aquellas efectuadas de forma fraudulenta, a fin de repudiarlas ante la entidad supervisada y que se tomen acciones para evitar la ocurrencia de nuevas operaciones fraudulentas. Cabe señalar que se pueden emplear mecanismos de notificación alternativos al correo electrónico o mensajes de texto (SMS), siempre que se logre similar propósito al requerido por la normativa para proteger al usuario.

Proceso de autenticación