Un sistema informático con bajos niveles de seguridad puede ser el peor problema del sector financiero.
En la actualidad las entidades financieras están apostando por el uso de sistemas tecnológicos que permitan ampliar su cobertura de servicios, sin embargo esto también los expone a ser víctimas de los hackers cuando no logran establecerse con las suficientes medidas que permitan la protección de la institución y sus clientes.
Según el especialista en informática financiera Erick Barrios, en la región centroamericana, el índice de clonación de tarjetas de crédito y débito es muy alta. En esta entrevista, realizada durante la reciente VIII Conferencia Centroamericana y del Caribe de Microfinanzas, explica cuáles son los elementos que deben tomar en cuenta las financieras para adquirir servicios de seguridad informática.
¿En qué consiste la seguridad informática financiera?
Crece de la necesidad de proteger los activos más críticos de la organización, que son sus datos. Hoy en día los datos de las organizaciones generalmente están expuestos debido a que hay tres pilares importantes que se está manejando en las organizaciones: uno es la calidad que obliga a las organizaciones a mudarse; dos: entregar servicios a sus clientes, (y tres,) servicios de terceros donde necesitan empezar a hacer las publicaciones de sus servicios a sus clientes, donde necesitan actualizaciones, digamos banco en línea, transferencias bancarias, entre otros servicios.
¿Qué tan atractivo es para los ciberhackers el sector financiero?
El 98 por ciento de los ataque se dan a nivel de phishing (suplantación de identidad), van dirigido a todo sector financiero ;el phishing puede ser una suplantación del sitio web o puede ser que se le mande un correo al cliente donde se le está engañando. Ahí los clientes meten sus datos, sus tarjetas, coordenadas y le roban la información, vienen ellos y vacían las cuentas. El sector financiero es el target más importante para los hackers porque es donde está el dinero, es donde pueden golpear más duro a la organización financiera.
¿Qué tan frecuente es la clonación de tarjetas en la región centroamericana?
Es muy alto, las clonaciones de tarjetas generalmente lo están haciendo personas que tienen equipos, que tienen máquinas. El índice es alto, generalmente nosotros en Panamá cada unos cuatro o cinco meses estamos detectando personas que tienen equipos en sus apartamentos que están haciendo clonaciones de tarjetas de créditos ¿cómo lo hacen? Colocan en los ATM unos dispositivos que pueden escanear los números de las tarjetas de créditos o las tarjetas claves que son las tarjetas de débito y hacen compras en los centros comerciales; es una de las formas en que se están viendo más afectados los clientes.
¿Cuáles son los principales problemas de seguridad informática con los que se enfrenta el sector financiero en la región?
Uno de los problemas que se están gestionando generalmente en nuestra región y en Centroamérica es que los chicos, en este caso los hackers, nos han visualizado como una gacela débil, donde están tratando de atacar nuestras vulnerabilidades. ¿Cómo generalmente se aprovechan de estas vulnerabilidades? En nuestro sector financiero generalmente las compañías tienen las habilidades de parchar los aplicativos, adquirir soluciones que permita mitigar esos riesgos de seguridad, los hacker son empresas importantes en donde empiezan hacer phishing de lo que es la marca, la comprometen, empiezan a robar información de los vicepresidentes, obtienen el password (contraseña) de los vicepresidentes para poder monitorear correos, sus redes sociales la tratan de explotar… este tipo de información que ya han sustraído los hackers se venden en el mercado negro.
¿De qué otros modos operan?
Los hackers generalmente han vaciado cuentas a unos clientes, por darte un ejemplo puntual: en Panamá los bancos utilizan lo que le llaman tarjetas de coordenadas donde los hackers le mandan un correo al cliente, ha sido una suplantación del banco diciendo “señor Erick Barrios nosotros somos el banco XYZ, por favor necesitamos que renueve su contraseña coloque su nombre de usuario, su contraseña, su tarjeta de coordenadas” y los clientes vienen y cargan todas esa información y le dan aceptar y simplemente página se refresca y nos manda al portal original del banco pero el hacker ya tiene esa información y generalmente vacían su cuenta. Ya tiene el hacker el usuario, todos los códigos de tarjetas de coordenadas lo que hacen es que roban todo el dinero y lo mandan a otra cuenta hacia afuera.
¿Quién asume las pérdidas cuando los clientes son víctimas de los hackers?
Generalmente hay una disputa legal bajo ese concepto porque las entidades bancarias generalmente en su portal web colocan certificados de seguridad digital donde los clientes deben estar pendiente, hay un problema muy grande en cuanto a los usuarios de la banca o los clientes de las microfinancieras, no son tecnológicos y es donde las microfinancieras o entidades bancarias tienen que hacer una campaña de concientización hacia los métodos de seguridad de información de los que están aceptando.
Como cliente, ¿qué aspectos debo tomar en cuenta para no ser víctima de los hackers?
Los bancos no mandan correos pidiendo el cambio de contraseña, los bancos no piden que le manden una tarjeta de coordenadas, esto es un problema que le llamamos a nivel tecnológico “capa 8”, es un problema de nivel de usuario que generalmente el banco tendrá que montar una campaña de concientización porque no llaman telefónicamente para pedir contraseña, no envían correos pidiendo información de nada.
¿Se ofrece suficiente seguridad en este tema?
Las personas dedicada a seguridad de información en nuestro mercado es muy poca en la región, se carece de empresas que den ese servicio de manera eficiente, pero si se investiga bien pueden lograr contratar los servicios de una empresa que pueda tratar esta temática de manera puntual.
¿Es costosa la adquisición de este tipo de servicios en la actualidad?
Es un porcentaje bastante minúsculo. Las microfinancieras no son operaciones pequeñas, ellas tienen la misma importancia que tiene un banco porque manejan dinero, si no hacen la protección de su información eso le puede traer algún tipo de consecuencias legales. Pero las microfinancieras se están volcando a obtener este tipo de servicios y eso da a creer que se está creando una conciencia de la seguridad de la información.
¿Hay interés de los bancos en la adquisición de estos servicios?
En realidad la banca está muy centrada en proteger toda su organización tanto con la adquisición de equipamiento de seguridad para la parte de detección, está invirtiendo en la parte de prevención donde pueden identificar los comportamientos irregulares tanto de usuarios externos, llámese usuarios de la banca, llámese usuario interno, para poder tener un patrón de comportamiento de usuarios. Además está invirtiendo en la parte de respuesta; nada hacen los bancos invirtiendo en la parte de prevención en la parte de detención si no tienen cómo responder entonces generalmente los bancos en la región están adquiriendo estos servicios tanto en la región como manera global para poder mitigar los riesgos de la información que están asociados a estos elementos, tanto como hackers los incidentes de seguridad generalmente un gran porcentaje vienen de la parte interna de las organizaciones: fuga de información, robo de información, empleados descontentos con la organización, se roban los datos y los venden.
¿Y las microfinancieras están dispuestas a invertir en herramientas tecnológicas?
Están bastante motivados, no solo es una marea solamente en Nicaragua. Toda la región sabe que el tema de la seguridad es importante, se buscan muchas referencias, apoyo de otras cooperativas, en otras financieras. Entonces el tema de la seguridad de la información y los activos críticos no es opcional, es algo que se debe hacer ,y si no se hace pueden desaparecer los negocios. Las estadísticas indican que una vez que revientan en una organización con un ataque, la vida útil de esa compañía son 12 meses estoy seguro que ninguna compañía querrá perder por un tema de seguridad de la información.
¿Cómo se puede evitar la resistencia al cambio?
Generalmente hay que cambiar la mentalidad desde arriba, desde el presidente de la compañía o vicepresidente de la organización, que entiendan que la seguridad de la información no es un gasto adicional para su negocio sino que es algo importante lo cual lo va ayudar a cubrir su reputación como organización, va poder cubrir a sus clientes, darle una capa de seguridad adicional. Lo más importante es que no van a estar expuestos al hackeo y cosas como estas.
¿Cómo lograr que clientes no tecnológicos también sean parte de este sistema?
Deben hacer campañas de concientización sobre sus clientes, sentarlos y explicar que la microfinanciera está sufriendo transformación digital y los necesita llevar de la mano para transacciones se dan más rápidos, más seguras, y no tenga la necesidad de estar cargando el efectivo.
¿Cuáles son los principales retos de Nicaragua en el uso de las tecnologías en comparación con otros países de la región?
En este momento la postura de toda la región centroamericana es casi la misma en cuanto a seguridad, sin embargo en países como Panamá, Guatemala, El Salvador y Costa Rica ya las entidades financieras están optando por proteger sus aplicativos web, que es la cara para que no sea vulnerado por los chicos malos (hackers).
