BCR establece medidas para combatir las estafas digitales

El Comité de Normas del Banco Central de Reserva (BCR) emitió las “Normas Técnicas Temporales sobre Medidas de Ciberseguridad e Identificación de los Clientes en Canales Digitales”, esto ante, lo que considera el BCR, una intensificación de ciberataques y fraudes financieros.

Estas normas son directrices para que los bancos, bancos cooperativos y sociedades de ahorro y crédito implementen medidas de ciberseguridad adecuadas para proteger los ahorros y depósitos de la población.

La normativa establece que las entidades financieras deberán implementar o actualizar las herramientas y mecanismos para monitorear redes y demás infraestructura tecnológica que permita detectar oportunamente eventos de seguridad o ciberseguridad, actividad o comportamientos inusuales, o movimientos laterales.

Estas además deberán incluir en lo posible, la inteligencia de amenazas para procurar mantenerse informado sobre amenazas e indicadores de compromiso de otras fuentes confiables.

Así también, las entidades deberán contar o mejorar procesos para la gestión de vulnerabilidades que consideren la identificación, evaluación, tratamiento y comunicación de las medidas de seguridad en la infraestructura tecnológica, mediante la ejecución de pruebas de penetración o intrusión y de escaneos de vulnerabilidades.

Deberán implementar el uso de autenticación de múltiples factores en cualquier cuenta a la que se acceda a través de Internet, incluidas entre estas las cuentas de usuarios de los clientes para acceder a las aplicaciones móviles, de tal forma que se agreguen dos o más capas adicionales de seguridad a cada plataforma en línea a la que se accede.

Todas las cuentas a las que se acceda a través de Internet que no sea de confianza deben considerar autenticación de múltiples factores, de igual forma utilizar autenticación de múltiples factores para cuentas privilegiadas, tales como las cuentas de administrador.

Las entidades deberán contar con herramientas robustas para filtrar correos electrónicos de phishing, spam, spear-phishing y otras amenazas basadas en el correo electrónico y deben considerar la idoneidad de estas herramientas de tal manera que sean consistentes con el tamaño de la entidad.

Las entidades deberán contar con programas de capacitación constantes sobre las amenazas de phishing para los empleados, haciendo énfasis para aquellos de atención al cliente. Asimismo, las entidades deberán realizar campañas de educación financiera en la que se dé a conocer a los clientes medidas de ciberseguridad que deben aplicar en los distintos canales digitales a los que acceden.

Las entidades deberán notificar a sus clientes los medios oficiales por los cuales deberán comunicar asuntos relativos a productos o servicios que ofrecen.