¿Cómo beneficiarse y verificar que le están ofreciendo una tarjeta segura?

222La Superintendencia de Bancos e Instituciones Financieras de Chile (SBIF) lanzó la actualización de sus regulaciones para seguridad de banca electrónica, en la Circular 40. Con la publicación de este documento ahora todas las entidades que emitan algún tipo de tarjeta de crédito en el país, bancos o retailers, pasan a ser supervisadas directamente por la SBIF.

“Las actualizaciones realizadas en la Circular 40, permitirán hacer un mayor seguimiento a las transacciones financieras y además así impactar positivamente en la seguridad, ya que todo estará mucho más regulado” Afirma, David López, Director de Ventas para Latinoamérica de Easy Solutions, líder global en Protección Total contra el Fraude.

Antiguamente y a diferencia de los bancos, cualquier entidad no bancaria o retailer que emitiera una tarjeta de crédito podía minimizar el escrutinio de la SBIF si cumplían con ciertas condiciones tales como pagar las transacciones en 3 días o menos, o si la suma total de sus transacciones equivalía a menos de 1 millón de unidades de fomento (una unidad de cuenta en Chile que limita los efectos nocivos de la inflación). En términos de regulaciones de seguridad, estas entidades debían someterse a una auditoria externa que evaluara la gestión de la organización y sus mecanismos de control del riesgo, siendo supervisada y firmada por un auditor externo. Más adelante, la entidad emisora tenía que presentar ante la SBIF un reporte detallado sobre como la entidad planeaba solucionar o mejorar cualquier fallo de seguridad descubierto en la auditoria, incluyendo los procedimientos detallados, la implementación estimada y la relación de los recursos que la entidad planeaba enfocar en las deficiencias. Este era la situación incluso a pesar de haber tres veces más tarjetas de retailers que de bancos en circulación en Chile.

Ahora todo esto ha cambiado, ya que en esencia, la Circular 40 elimina los intermediarios. Muchas de las tareas que antes eran responsabilidad de las firmas de auditoría pasarán a ser el deber de la SBIF, quien supervisará todas las entidades emisoras de tarjetas, entre ellas los retailers. De esta forma, a los ojos de los reguladores financieros chilenos, cualquier organización que emita algún tipo de tarjeta de crédito será regulada como un banco, y a su vez, estas entidades deberán proteger sus clientes, dinero y transacciones como lo haría un banco tradicional, incluyendo la gestión adecuada del riesgo y sus consiguientes protocolos de seguridad para la protección de la información de sus clientes. Estas regulaciones entraron en efecto el 22 de Julio de 2014.

A partir de ahora las entidades emisoras deberán cumplir con cinco pasos clave:

1. Autenticación del Tarjetahabiente Legítimo y de los Empleados de la Compañía: Los retailers que ofrezcan tarjetas de crédito deben autenticar que el tarjetahabiente es quien dice ser cuando presente la tarjeta para realizar un pago, ya sea en transacciones con tarjeta física o en transacciones sin tarjeta presente

2. Detección de Transacciones Irregulares: Los negocios que ofrezcan tarjetas de crédito a sus clientes deben mantener una estricta vigilancia sobre las transacciones realizadas con esas tarjetas.

3. Métodos para la Prevención del Robo de Credenciales y Contraseñas: se necesita una doble autenticación más allá de la contraseña.

4. Detección de Patrones Relacionados con el Lavado de Dinero: el lavado de dinero está en aumento en Chile, así que esto va de la mano con la Ley Anti lavado de dinero de 1995.

5. Pruebas Frecuentes de Penetración y Vulnerabilidades: Todas las entidades emisoras de tarjetas también deben evaluar su infraestructura física y tecnológica para mitigar cualquier riesgo potencial que pueda convertirse en una violación de datos.

¿Cuáles son las principales formas en que los hackers pueden atacar cuentas y plataformas bancarias móviles y online?

  • Ingeniería social – El uso del engaño o la suplantación de identidad para obtener información sensitiva; por ejemplo, hacerse pasar por empleado de un banco para convencer a un usuario de revelar sus credenciales.
  • Phishing – Un ataque online que involucra la ingeniería social y en el cual un atacante se hace pasar por el banco u otra entidad oficial mediante un sitio web falso. Este sitio es usado para robar la información del usuario y poder acceder a su cuenta.
  • Pharming – Un ataque que inserta un código malicioso en el servidor o en el archivo Hosts de un sitio web para redirigir los usuarios a sitios falsos que suplantan bancos u otras entidades y obtener sus credenciales.
  • Malware – Cualquier tipo de software con propósito malicioso usado para recolectar información sensitiva o interrumpir las operaciones normales de un equipo.  Algunas variaciones de este software son los virus y troyanos, los cuales son descargados por los usuarios sin saberlo.
  • Ataques Man-in-the-Middle – Una situación donde un hacker intercepta los mensajes entre 2 partes; por ejemplo cuando un banco envía mensajes de texto al usuario para confirmar una transacción. El hacker captura los mensajes evitando que llegue a su destino y suplanta las partes involucradas para robar información sensitiva.
  • Ataques Man-in-the-Browser – Un tipo de malware que manipula en secreto el navegador de un usuario para no mostrar cierta información. Por ejemplo, un hacker puede robar dinero de la cuenta de una víctima utilizando este tipo de malware y sin embargo el navegador de la víctima no mostraría ningún movimiento extraño en el balance de cuenta.