:quality(75)/cloudfront-us-east-1.images.arcpublishing.com/elcomercio/7JRHC4H5DJGUZG4WGX6LQI7Q4Y.jpg)
Con el objetivo de evitar suplantaciones, las entidades financieras, seguros y AFP reforzarán las medidas para verificar la identidad de sus usuarios.
En febrero de este año la Superintendencia de Banca, Seguros y AFP (SBS) emitió el Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad, el cual exige a las entidades supervisadas (empresas financieras, compañías de seguros y AFP) la implementación de procesos de autenticación para controlar los accesos a los servicios que se provean a través de canales digitales.
Para el enrolamiento (registro) de los usuarios se han establecido tres categorías (protocolos) de autenticación:
- Algo que solo el usuario conoce (contraseña, PIN, entre otros).
- Algo que solo el usuario posee (clave Token).
- Algo que el usuario es (huella digital, reconocimiento facial).
La norma establece que las compañías deben establecer por lo menos dos factores de autenticación de categorías diferentes.
:quality(75)/cloudfront-us-east-1.images.arcpublishing.com/elcomercio/GGMKMOFVIJC47CPKULPADMBHCM.jpg)
En adición, para los casos de transferencia de fondos se establece un protocolo de autenticación “reforzada” para operaciones por canal digital, pues también se deberá generar un código de autenticación mediante métodos criptográficos, a partir de los datos específicos de cada operación, el cual debe utilizarse por única vez. Y cuando la operación sea exitosa, se debe notificar los datos de la operación al usuario.
El reglamento de la SBS establece un plazo de adecuación para las compañías, por lo que la exigencia de todos los protocolos de autenticación empezará desde julio del 2022.
:quality(75)/cloudfront-us-east-1.images.arcpublishing.com/elcomercio/JJTGGIRPYNC4FMF5KWFAWHYLHM.jpg)
Al respecto, María del Pilar Sánchez, especialista del área de Protección de Datos Personales del estudio Rebaza, destacó la emisión de la normativa pues ayudará a reducir los casos de suplantaciones.
Refirió que varias compañías ya aplican los protocolos de autenticación señalados por la SBS, pero desde julio del próximo año esto será de uso obligatorio.
“Las compañías normalmente aplican las dos primeras categorías de autenticación (contraseña y token), pero se recomienda promover la tercera categoría, la autenticación vía huella digital o reconocimiento facial, pues proporciona un mayor nivel de seguridad”, indicó.
Asimismo, Freddy Alvarado, profesor del Diploma Internacional en Gestión de la Ciberseguridad y Privacidad de ESAN, sostuvo que el protocolo debe ser que la notificación vía mensaje de texto o correo al usuario se envíe antes de realizarse la transferencia y no después.
Compañías telefónicas
En las últimas semanas se han reportado casos de suplantaciones de chip de líneas de celulares de usuarios. Con esta información, los delincuentes han podido realizar transferencias de dinero.
Al respecto, Sánchez indicó que para evitar ello la renovación del chip solo debe ser presencial y con protocolos de verificación como la huella digital o verificación facial.
Por su parte Freddy Alvarado refirió que hace falta reforzar la normativa para el caso de las compañías de telefonía y también contar con protocolos de doble o triple verificación de identidad.
“La tecnología evoluciona a mayor velocidad que la regulación. Las entidades competentes tienen que desarrollar este tipo de regulación”, remarcó.
Al respecto, cabe recordar que Osiptel ha publicado un proyecto de norma para obligar a las empresas operadoras a que las contrataciones se efectúen en distribuidores y puntos de venta reportados previamente al Osiptel, con dirección específica para evitar la venta ambulatoria.
Además, las compañías deberán otorgar un código que identifique al distribuidor, al punto de venta y al personal que depende del distribuidor o del centro de atención que participa en la contratación del servicio. Dicho personal deberá validar su identidad mediante verificación biométrica o con el uso de una contraseña.
