El manejo de medios digitales para realizar transacciones bancarias se ha incrementado en los últimos años en Ecuador, esto empujado por la facilidad de acceder y la diversificación de servicios como también las restricciones de aforo de sucursales por la pandemia de COVID-19.

En las últimas semanas se dio a conocer la vulneración de datos de clientes de una entidad financiera que tenía un proveedor de servicio de mercado de un programa de beneficios. La entidad recalcó tras una extensiva investigación que no se encontró evidencia de afectación o acceso a sistemas de la institución financiera.

Pero, ¿es posible llegar a vulnerar la seguridad informática de una institución financiera? Gustavo Orbe, vicepresidente de administración de Riesgos de Produbanco, explicó que en el país se cuenta con una normativa específica que le da los lineamientos sobre temas de seguridad.

Publicidad

“Esta seguridad se basa en controles establecidos en diferentes capas cuyo principal objetivo es salvaguardar la información y recursos de los clientes. En todos los bancos se ha mantenido un proceso de control de la confidencialidad, integridad y disponibilidad de la información de nuestros clientes”, especificó Orbe.

Justamente, en la Superintendencia de Bancos se establece que con el objetivo de gestionar la seguridad de la información “contra el uso, revelación y modificación no autorizados, así como daños y pérdidas, las entidades controladas deben tener como referencia la serie de estándares ISO/IEC 27000 o la que la sustituya” (artículo 15 del Capítulo V del Título IX del Libro I de las normas de control para las entidades de los sectores financieros público y privado).

Además se especifica que deben contar con al menos funciones y responsables de la seguridad de la información y conformar un comité de seguridad de la información que se encargue de evaluar y supervisar el sistema de gestión de seguridad de la información o un área independiente y especializada con personas con experiencia en gestión de seguridad de información que lidere la implementación y mejora del servicio.

Publicidad

En el artículo 17 referente a la seguridad de los canales electrónicos y para evitar eventos fraudulentos o no autorizados por los clientes, deberán cumplir como mínimo con la realización de al menos una vez al año de una prueba de vulnerabilidad, así con canales electrónicos con software antimalware que permanezca actualizado, emitir alarmas en línea que informe del estado de estos canales, “requerir mecanismos de autenticación fuerte para el registro y modificación de la información referente a su número de telefonía móvil y correo electrónico”, establecer mecanismos que determinen el perfil de riesgos de las transacciones de clientes, entre otros.

“Las entidades controladas deben enviar a sus clientes mensajes en línea a través de mensajería móvil, correo electrónico u otro mecanismo, notificando la ejecución de transacciones monetarias realizadas mediante cualquiera de los canales electrónicos disponibles, o por medio de tarjetas”, también se especificaba en el artículo mencionado.

Publicidad

Orbe indica que la mayoría de ataques que logran concretarse como fraude requieren la participación del cliente al dar información restringida, sin percatarse, a través de varias técnicas. Entre los ataques más comunes que se dan está la ingeniería social, phishing, vishing y SIM swapping.

En el primero especifica que busca ganarse la confianza del cliente apelando a su parte emocional a través de datos obtenidos por redes sociales y así conseguir información bancaria. En el phishing se suplantan correos electrónicos con la identidad de personas o entidades en los que les piden hacer clic en un link que se incluye en el correo y le solicitan información relacionada con las cuentas y datos personales.

El funcionario indica que el vishing se llama al cliente para asustarlo o pasarse como un funcionario bancario, para informarle de la obtención de un supuesto premio y así tener la información. En el caso del SIM swapping, es el robo de identidad utilizando el cambio de la tarjeta SIM del celular.

La Superintendencia de Bancos explica que en caso de presentarse una vulneración de los servicios o fraude electrónico se debe presentar la denuncia respectiva en la Fiscalía, así como un reclamo en el banco que se dio la situación. Las entidades evaluarán si el reclamo es válido para proceder con la reposición del dinero, pero si el cliente no está de acuerdo con la decisión de la institución, podrá presentar su denuncia ante el Defensor del Cliente de cada entidad financiera y también en la Superintendencia que realizará el control dentro del ámbito de sus competencias.

Publicidad

Otros tipos de estafas financieras

La Superintendencia de Bancos también alertó de que hay ciberdelincuentes que a través de WhatsApp contactan a personas ofreciéndoles un incentivo económico en una ‘entidad financiera’. El cliente expone sus datos y en algunos casos deposita una cantidad de dinero.

Esto se da porque son contactados por entidades no autorizadas y solicitan documentación como cédula, rol de pagos, planilla de servicio básico, entre otros. Tras esto se realiza un ‘análisis financiero’ para determinar si se brinda el crédito o no.

“Luego de que el usuario recibe la notificación de la aprobación del ‘crédito’ se le comunica que deberá realizar un depósito de cierta cantidad de dinero para que el proceso pueda ser legalizado. En este punto es donde emiten certificados a nombre de la Superintendencia de Bancos en los que se señala ‘que para que el valor del crédito sea desbloqueado’ se debe depositar una suma de dinero a un ‘supuesto asesor o responsable de la entidad’”, indica la institución.

Además se alerta de que en algunos de los casos se continúa insistiendo y ofreciendo productos crediticios por más de una ocasión. A través de la página de la Superintendencia consta la lista de 98 entidades financieras no autorizadas. Desde junio del 2020 hasta enero del 2021 se recibieron 208 reportes de acercamientos de este tipo de entidades.

Recomendaciones para evitar caer en estafas electrónicas

Las entidades financieras e instituciones de control realizan campañas informativas de los posibles riesgos que se enfrentan los usuarios, así como las maneras que se emplean para conseguir información sensible. Las puede encontrar en cada página de los bancos.

Entre las recomendaciones para que no exista vulnerabilidad de su cuenta electrónica están las siguientes:

  • No ingresar a enlaces de correos electrónicos sospechosos.
  • Verificar el correo remitente y cerciorarse de que no tenga faltas ortográficas o la dirección de correo tenga caracteres inusuales.
  • Chequear que el correo no incluya en su redacción amenazas de que algo ocurrirá o solicite que realice una acción inmediata.
  • En la barra de dirección verificar que el enlace comience con https://.
  • Ingresar a su cuenta electrónica desde dispositivos seguros, así como digitar las direcciones electrónicas de los servicios de su banco.
  • No brindar datos confidenciales en sitios web, correos electrónico o llamadas de desconocidos que le soliciten esta información.

“Los bancos no solicitan información sensible a través de ningún canal, una entidad financiera jamás va a pedir que se le confirmen usuarios, claves, números de cuentas o tarjetas, códigos de seguridad, etcétera”, señala Orbe. (I)

¿Cómo presentar un reclamo en la Superintendencia de Bancos?

Existen tres maneras de presentar la denuncia en la Superintendencia: presencial, WhatsApp o correo electrónico, donde se adjunta la documentación de respaldo con una copia de cédula, número de contacto y dirección de correo electrónico.

Si es presencial, la información se puede entregar en Quito (oficina matriz), Guayaquil, Cuenca y Portoviejo; si es por correo electrónico, atencionquito1@superbancos.gob.ec y atencionguayaquil2@superbancos.gob.ec. En tanto que el número de WhatsApp es el 098-486-3621.

También se pueden presentar reclamos (comunicaciones en las cuales los usuarios solicitan la revisión y reconsideración de algún acto o procedimiento realizado por una entidad financiera, en el que se presume algún tipo de incumplimiento a la norma).

Para esto se requiere un formulario gratuito que da la entidad y en el que se señalan la identificación del reclamante, entidad financiera, hechos y petición concreta. Lo puede encontrar en el siguiente enlace.

“La tramitación del reclamo puede durar un periodo entre cuatro y seis meses, en el que se requiere del continuo acompañamiento de la persona interesada”, especificó la Superintendencia.