¿Conoce las medidas digitales para la autenticación de clientes en el sistema financiero?

Dentro de las “Normas Técnicas Temporales sobre Medidas de Ciberseguridad e Identificación de los Clientes en Canales Digitales”, el Banco Central de Reserva (BCR) establece las diferentes medidas de autenticación de clientes que las entidades bancarias y financieras deben establecer en sus canales digítales de servicios.

Y es que, las entidades financieras deben utilizar múltiples factores de autenticación para verificar la identidad de sus clientes para realizar operaciones por medio de canales digitales. Según la normativa se regulan 4 medios, los bancos deberán implementar como mínimo 3 de estos en sus servicios.

El factor de autenticación categoría 1 se compone de la información obtenida del contrato del cliente y del uso de productos, servicios u operaciones efectuadas por estos mediante los diversos canales. Esta información será utilizada mediante la aplicación de preguntas al cliente a través del canal de Banca Telefónica.

El factor de autenticación categoría 2 se compone de contraseñas que solo el cliente conoce e ingresa mediante un mecanismo o dispositivo de acceso, el cual debe cumplir, al menos, con las características siguientes:

a) Su longitud mínima y conformación debe ser de acuerdo a lo siguiente: cuatro caracteres, para los servicios ofrecidos a través de cajeros automáticos, puntos de ventas, Banca Telefónica y servicio de IVR; ocho caracteres, para canales digitales y deberá incluir una combinación de caracteres alfabéticos en mayúsculas, minúsculas y numéricos: y cuando el cliente modifique su contraseña, la entidad debe validar que esta no se repita, con al menos, doce de las últimas contraseñas que utilizó.

b) Su vencimiento no será superior a sesenta días para todos los canales electrónicos; no obstante, las entidades están en la obligación de ofrecer a sus clientes sin cargo alguno la posibilidad de realizar el cambio de las contraseñas cuando estos lo requieran.

c) En el caso de las contraseñas asignadas por la entidad para el acceso a canales digitales, se debe requerir en forma automática que el cliente la modifique inmediatamente después de iniciar la primera sesión;

d) La entidad debe requerir que la primera sesión se efectúe como máximo veinticuatro horas después de haber generado la contraseña por parte de la entidad; en caso contrario, ésta debe ser inhabilitada automáticamente; y

e) En ningún caso se podrá utilizar como contraseña, la información siguiente: Un documento de identificación del cliente; El nombre de la entidad; Más de tres caracteres iguales consecutivos numéricos o alfabéticos; y Fecha de nacimiento, nombres, apellidos y número telefónico, registrado por el cliente en la entidad.

El factor de autenticación categoría 3 se compone de claves dinámicas de un único uso, generadas por dispositivos electrónicos o cualquier otro medio, las cuales deben cumplir como mínimo con las características siguientes:

a) Contar con mecanismos que impidan su duplicación o alteración;

b) Una vez generada la clave dinámica, ésta tendrá la vigencia siguiente: i. Hasta un minuto, en el caso de que sean generados por Tokens; ii. Hasta el cierre de sesión, para canales digitales; y iii. Hasta dos horas, para todos los servicios de cajeros automáticos.

c) No ser conocida antes de su generación ni durante su uso, por los funcionarios, empleados, representantes o por terceros de la entidad; y

d) Se podrán utilizar tablas aleatorias de contraseñas como factor de autenticación de esta categoría, siempre y cuando cumplan con las características listadas en este factor de autenticación.

Por último, el factor de autenticación categoría 4 se compone de información del cliente derivada de sus características biométricas.

Los sistemas de canales digitales de las entidades deberán requerir a sus clientes un factor para inicio de sesión y deberán exigir un segundo factor más para la autenticación de categoría 3 a que hace referencia el artículo 18 de las presentes Normas.

Estos factores son aplicados de acuerdo con el esquema siguiente: