Home Opinión Un juez podría afectar la forma en que usas la banca móvil

Un juez podría afectar la forma en que usas la banca móvil

Foto: © Boonchai Wedmakawand / Getty Images

Por Andrés Velázquez*

Prevención de fraudes ya no es el revisar un cheque, el identificar operaciones por montos, sino hacer uso de toda la información que permite validar a un usuario.

Una decisión por el Segundo Tribunal Colegiado en Materia Civil del Tercer Circuito en México podría ser clave para ver un cambio radical que afecte directamente los servicios de banca en línea y banca móvil. Sin embargo, lo que realmente denota es el problema que tenemos en cuanto a la educación en temas de tecnología para estos jueces, así como la falta de apoyo por especialistas en tecnología y ciberseguridad.

Recibí esta tesis que fue publicado en el Semanario Judicial de la Federación por varios abogados y especialistas en cuanto salió. La tesis dice y cito: “Cuando la dirección de protocolo de internet (IP) tiene un ligar de origen inusual y a pesar de ellos el banco autoriza la operación sin antes suspender el servicio de banca electrónica o rechazar la transacción precautoriamente, debe considerarse que el cliente no otorgó su consentimiento, aún cuando se hayan usado todos los factores de autenticación necesarios para aprobarla.”

Al igual que usted, lo volví a leer un par de veces quedando atónito de lo que refiere ese párrafo; pero decidí dar un tiempo para poder analizarlo y digerirlo, ya que esto puede generar una serie de acciones que pueden afectar tanto a las instituciones del sector financiero como para los usuarios como lo somos usted y yo.

Con esta decisión si usted se encuentra fuera de México o haciendo uso de una VPN, podría argumentar sin problema que la operación no es reconocida, generando una afectación al banco. No importa que el banco cuente con varios sistemas que permitan validar que efectivamente es usted como: el mismo dispositivo desde donde se han hecho operaciones anteriormente (en el caso de dispositivos móviles), el uso de una contraseña y un token que permiten autenticar; y en casos donde los bancos cuentan con la tecnología, el contar con una autenticación basada en comportamiento que permite pedir más datos al momento de autenticarse a la banca o realizar operaciones.

No se debe tomar la dirección IP como único elemento para decidir si se hizo o no la operación por parte del usuario. Es una serie de elementos que permiten identificar y validar al usuario.

¿Por qué llegamos a esta tesis? Porque muy probablemente el usuario afectado cayó en un caso de un RAT (Remote Access Trojan), un código malicioso que permite obtener credenciales y tokens del dispositivo móvil. Con eso le robaron todo e hicieron la operación desde Israel como dice la tesis. El usuario está haciendo lo correcto al decir que no fue, pero cayó en una estafa que permitió que le robaran las cosas.

Pero también lo está la entidad financiera al decir: tengo un acceso con todos los controles que tengo implementados y se cumplieron, en mis sistemas, no hay nada extraño fuera de que la operación es desde Israel. ¿Y si estaba de vacaciones?

Mientras tanto, en algún lugar del mundo, pero con relación en México (porque la transferencia fue SPEI a otra entidad bancaria) hay alguien o un grupo feliz porque no se les está buscando y porque lograron obtener un beneficio económico al afectar a un usuario de la banca, pero que muy probablemente no sea el único.

Lo que puede generar esta tesis es que los bancos podrían limitar el uso de la plataforma fuera de México, logrando afectar la gran ventaja del uso de la banca en línea o banca móvil. Lo que demuestra esta tesis es la falta de entendimiento de la tecnología y lo que aporta, así como los controles que deberían tener los bancos e instituciones financieras para poder identificar y autenticar de forma correcta a los usuarios y a las transacciones que realizan.

Con esto no digo que las instituciones financieras no tengan que hacer hacia adelante, al contrario, si bien muchas de las instituciones de gran tamaño invierten en ciberseguridad y en estos controles para poder identificar y autenticar, aún así hay por qué trabajar en temas de prevención de fraudes.

Prevención de fraudes ya no es el revisar un cheque, el identificar operaciones por montos, sino hacer uso de toda la información que permite validar a un usuario, incluso la velocidad en que teclea en una página, el famoso comportamiento digital.

Pero también, hay muchas organizaciones financieras más pequeñas que tendrán que madurar su ciberseguridad. Al final, todo el ecosistema debe entender que ante nuevos controles y funcionalidades siempre habrá algo que mejorar en ciberseguridad.

Para los que somos usuarios y también formamos parte de este ecosistema: más velocidad y facilidad de uso no necesariamente es más seguro. Entre más rapidez, menos tiempo de validación de que efectivamente es usted quien está solicitando la operación.

Esta tesis ayudará a que se busquen más controles que mejoren la autenticación, que a los usuarios nos afecte en el tiempo que tomamos en realizar las transacciones al realizar una serie de pasos adicionales.

Al final, traté de ver lo bueno, aunque todavía le veo más cosas malas que buenas. Todo depende cómo reaccione el sector. Al platicar en un comité de ciberseguridad de una de las organizaciones donde tengo el honor de pertenecer, no se tomó tan mal. Se están autenticando bien los usuarios, se están realizando actividades para identificar cuando la operación podría venir de patrones que no hacen sentido con el perfil del usuario.

Esta decisión generará mucho de qué hablar en el sector, y aunque es un tema legal, tiene una base de ciberseguridad, igual como cuando un director general de una organización toma una decisión no informada sobre el uso de una tecnología porque se le hace “cool” y no escucha los riesgos que podría tener para la organización de parte de los especialistas.

Es por ello por lo que las organizaciones tienen que entender la importancia de ciberseguridad; pero también los que se dedican a esta disciplina a que hay que trabajar en conjunto a la alta administración.

Capacitemos más a nuestro sistema legal.

Nota original: Forbes México


* Correo: contacto@andresvelazquez.com
Linked In: https://www.linkedin.com/in/andresvelazquez/
Las opiniones expresadas en este artículo son exclusiva responsabilidad de su autor y no reflejan necesariamente las opiniones de Ciberseguridad LATAM.