Ataques cibernéticos

Economía y Empresas > sistema financiero

Ataques cibernéticos: BCU y privados plantean fortalecer prevención de fraudes en el sistema financiero

El Banco Central y los prvados detectaron un crecimiento de los fraudes en el sistema financiero
Tiempo de lectura: -'
03 de marzo de 2023 a las 05:00

Con el objetivo de fortalecer la prevención de fraudes a cuentas a través de ataques cibernéticos, el Banco Central (BCU), en conjunto con integrantes del sistema financiero y sistemas de pagos, presentaron una propuesta con herramientas que faciliten acciones oportunas y efectivas para la recuperación de los fondos malversados.

Ese grupo de trabajo se conformó a partir de antecedentes de las diversas denuncias de usuarios financieros por desconocimiento de operaciones realizadas en sus cuentas sin su autorización.  Surgió a partir de intercambios realizados entre el BCU y las entidades financieras en los que se verificó un incremento significativo de fraudes sobre cuentas, bajo distintas modalidades. Ese grupo contó con la participación de representantes del BCU, la Asociación de Bancos Privados (ABPU), el Banco República (BROU), las instituciones emisoras de dinero electrónico (Prex, Midinero y OCA Blue) y Urutec.

El documento final marca que una de las acciones definidas fue el fortalecimiento de la educación financiera. Para las entidades propone establecer un plan de capacitación y educación financiera que contenga usos del instrumento, derechos y obligaciones, regulación y riesgos.

Otra acción es establecer una mejora continua en materia de detección y monitoreo de fraudes. El texto indica que este tema se abordará desde dos ópticas: la prevención y la acción. Entre las posibles prácticas a considerar en el caso de las entidades financieras está la eliminación de uso de enlaces –en los que se puede hacer clic- en correos electrónicos o SMS enviados a clientes minoristas.

Ataques cibernéticos

También el retraso de al menos 12 horas antes de la activación de un nuevo soft token en un dispositivo móvil y otras medidas adicionales, como un período de espera (no inmediato) antes de la implementación de solicitudes de cambios clave en la cuenta, así como de los datos de contacto clave de un cliente.

 Además plantea que cuando un cliente realice una operación que se sale de su patrón de conducta recibirá una notificación. Otra medida es conformar un monitor de fraude. El texto expresa que superados ciertos umbrales de riesgo, los sistemas de evalución (SW) podrán impedir que la transacción se efectúe. Cada institución indicará los niveles de riesgo que está dispuesta a tolerar y en qué casos se deberá valorar si corresponde rechazar la transacción.

Otro elemento propuesto fue el monitoreo de cuentas. El equipo de trabajo expuso que se ha observado en la práctica la apertura de cuentas básicas –sueldo- que luego son utilizadas como cuentas “mula” dejando de percibir haberes. Por ese motivo es necesario realizar un mayor monitoreo del uso de esas cuentas y tomar las acciones que correspondan. Y a los efectos de ese control de las cuentas corresponderá desarrollar un monitoreo proactivo, en vez de reactivo (a través de, por ejemplo, un adecuado conocimiento del cliente en particular en los casos de onboarding digital en lo que refiere a mecanismos más robustos para la validación de identidad).

En otro punto señala otras prácticas de autenticación en función de lo observado internacionalmente. En ese caso propone autorizar transacciones directamente a través del ingreso a una aplicación móvil (directamente desde allí), pero obligando que la autenticación del cliente en esa aplicación para tal fin sea a través de, por ejemplo, un factor biométrico de modo de que el actor malicioso no pueda identificarse en la aplicación del propio dispositivo del usuario realizando las credenciales ya robadas.

Otro mecanismo a considerar es sobre los inicios de sesión en un nuevo dispositivo. Sobre este aspecto plantea que si la institución detecta que su cliente se está conectando desde un dispositivo no utilizado previamente, advierta al usuario o lo prevenga. Allí la institución le requerirá que el cliente certifique o valide que es él quien está iniciando esa sesión, y no un actor malicioso en su propio dispositivo luego de haberle robado sus credenciales.

 

 

 

Comentarios

Registrate gratis y seguí navegando.

¿Ya estás registrado? iniciá sesión aquí.

Pasá de informarte a formar tu opinión.

Suscribite desde US$ 345 / mes

Elegí tu plan

Estás por alcanzar el límite de notas.

Suscribite ahora a

Te quedan 3 notas gratuitas.

Accedé ilimitado desde US$ 345 / mes

Esta es tu última nota gratuita.

Se parte de desde US$ 345 / mes

Alcanzaste el límite de notas gratuitas.

Elegí tu plan y accedé sin límites.

Ver planes

Contenido exclusivo de

Sé parte, pasá de informarte a formar tu opinión.

Si ya sos suscriptor Member, iniciá sesión acá

Cargando...