Fuente: dinero.com
Autor: David López, vicepresidente para Latam de Cyxtera Technologies
Fecha: 22 de agosto de 2018
Link de consulta: https://www.dinero.com/empresas/articulo/cumplir-las-normas-de-ciberseguridad-de-colombia-por-savid-lopez/261225
Usted está descansando cómodamente en su hogar e ingresando a su cuenta bancaria desde su computador como lo hace frecuentemente para pagar facturas, transferir dinero a un ser querido o simplemente consultar su saldo. Sin embargo, esta vez la página de inicio de sesión del banco dice que hay una nueva medida de seguridad que requiere que usted descargue una aplicación móvil en su celular y que ingrese a su cuenta desde allí.
Todos conocemos las tretas del cibercrimen y si nuestro banco está haciendo más para proteger nuestras transacciones financieras, entonces esto es algo bueno ¿verdad? Entre más seguridad, mejor. Tal vez encuentre extraño que su banco no mencionó antes este nuevo procedimiento, pero lo hace de todas maneras. Piensa que por estar en la página de inicio de sesión del banco no podría haber ningún peligro.
Sigue las instrucciones, descarga la aplicación e intenta acceder a su cuenta desde el celular, incluso ingresando la contraseña de un solo uso que el banco acaba de enviar por mensaje de texto. Sigue todos los pasos, pero nada ocurre. Ante esto, intenta de nuevo en su teléfono y también en el computador, y cuando nada funciona, decide llamar al banco.
Ya es muy tarde. La “nueva medida de seguridad” no era de su banco; todo fue parte de un engaño que empleaba una mezcla de avanzada tecnología cibercriminal e ingeniería social para hacer que entregara no solo sus credenciales bancarias, sino también la contraseña usada como segundo factor de autenticación.
Para el momento en que descubra lo que acaba de ocurrir, es muy posible que el hacker ya haya enviado todos o casi todos sus fondos a una cuenta imposible de rastrear en el exterior. El hurto está completo.
Los ciber-robos en Colombia van en aumento
Por fortuna, este ataque dirigido a una importante institución financiera colombiana fue detectado y desmantelado antes de que ocasionara cualquier daño mayor gracias a que la institución contaba con la correcta estrategia de protección contra fraude. Sin embargo, no es un secreto que la mayoría de las instituciones financieras en Colombia confían en obsoletos sistemas de seguridad, que luego resultan ser el blanco perfecto para los hackers. Aún peor, muchas compañías colombianas ni siquiera cuentan con sistema de ciberseguridad.
Como resultado, el cibercrimen sigue causando estragos en todos los sectores de la economía de Colombia. Ataques dirigidos a instituciones financieras, estafas de suplantación de tarjetas SIM, vishing (ataque hecho mediante llamada telefónica), ataques de fraude enviados por WhatsApp, fraude de criptomonedas, ransomware, afectación de correos corporativos y muchos más, le han costado a empresas y agencias gubernamentales cerca de $190 mil millones de pesos ($65 millones de dólares) en 2017. Esto representa un alza de 28,3% en ciberataques año tras año según un reporte lanzado por el Centro Cibernético Policial, una sección de la Policía Nacional de Colombia dedicada a combatir el cibercrimen.
Pero esas pérdidas son tan solo un estimado de los ciberataques reportados. Otras cifras indican que las perdidas totales por fraude al año rondan los mil millones de dólares. Nadie sabe realmente; la gran diferencia de estos valores nace del hecho de que muchas compañías colombianas que son víctimas de un ciberataque no saben que les han robado sino hasta semanas o meses después de ocurrido.
Con la esperanza de frenar la creciente frecuencia y sofisticación de ciberataques, el gobierno de Colombia ha decretado una serie de regulaciones de ciberseguridad que las compañías deben cumplir si desean realizar negocios online de manera legal.
Las normas y regulaciones están detalladas en cuatro secciones diferentes de la ley: Circular 029, 042, 052 un anexo a la Circular Básica Jurídica, conocida como the Circular de Ciberseguridad SFC CE 007 de Junio de 2018. Las leyes de ciberseguridad fueron emitidas por la Superintendencia Financiera de Colombia. Cumplir con estas regulaciones debe ser una prioridad ya que, desde el 5 de junio de este año, los instituciones financieras y demás empresas online tienen como máximo un año y medio para adherirse a estos requerimientos.
¿Qué pueden hacer las empresas colombianas?
Existe una serie de acciones que las instituciones financieras y compañías de comercio electrónico de Colombia deben realizar si desean cumplir con un mínimo de normas. Estas van desde garantizar la protección de los inicios de sesión y la identificación del origen de los movimientos de dinero, hasta desplegar sistemas de seguridad que marquen ciertas transacciones que puedan ser riesgosas de manera que sea posible alertar sobre un cibercrimen en proceso.
Algunas de las nuevas normas incluyen:
- Realizar monitoreo permanente en los canales Web, Móvil, Foros, Redes Sociales que prevenga a las empresas contra amenazas digitales en internet.
- Tener mecanismos de doble factor de autenticación para transacciones monetarias y no monetarias.
- Implementar mecanismos de cifrado fuerte de extremo a extremo para el envío y recepción de información confidencial.
- Brindar las condiciones que les permitan a los usuarios elegir el método en el que realizarán sus operaciones monetarias en los canales online.
- Proteger las llaves de acceso a los sistemas de información y nunca compartirlas bajo ninguna circunstancia.
- Poner a disposición mecanismos que reduzcan la posibilidad de que las transacciones sean vulnerables a ser capturadas por terceros no autorizados.
- Mantener un registro de los hábitos transaccionales de cada usuario y disponer de sistemas que puedan distinguir entre actividades transaccionales legítimas de aquellas que se generen fuera de los hábitos transaccionales normales.
- Implementar controles para mitigar los riesgos que puedan afectar la seguridad de la información confidencial, ya sea que esté en reposo o en tránsito.
- Incluir en los contratos que sean concluidos con terceros la obligación de adoptar y cumplir con políticas relacionadas con el uso y manejo responsable de información sensible.
Cada vez se acerca más la fecha final para el nuevo conjunto de normas que regularán las finanzas y comercio online, por lo que su cumplimiento puede parecer desalentador. Sin embargo, con una adecuada estrategia de seguridad, una que proteja cada etapa de una transacción que pueda ser explotada por los hackers, no es tan complicada como se podría creer.
Existen compañías de seguridad antifraude que se especializan en detectar, detener y prevenir ataques en cada etapa del ciclo de vida del ciberfraude. Ya sea autenticando inicios de sesión, asegurando el canal transaccional, previniendo que los sistemas sean infectados con malware o que tenga lugar una fuga de datos, asociarse con la correcta firma de ciberseguridad puede ser la diferencia entre un negocio altamente seguro y confiable y uno en el que sus datos y fondos han sido robados.
Por: David López, vicepresidente para Latam de Cyxtera Technologies.