El incremento de los fraudes electrónicos que afectan a los clientes bancarios —por estafas, uso de tarjetas y acceso a las cuentas— no debió de tomar por sorpresa ni a los usuarios ni a las entidades financieras, regulatorias y jurídicas en Costa Rica.
La tendencia era constatable a través de las estadísticas desde antes del 2020, cuando se certifica el doble salto cuantitativo y cualitativo en la digitalización y uso de servicios en línea. Al menos a nivel de denuncias, los casos casi se duplicaron entre enero y agosto de 2022 en relación a todo el año anterior.
En la cadena no hay un único eslabón débil pues, cuando no ha sido el usuario el que cayó en la trampa, las barreras de protección de algunos bancos no parecen haber detenido a los ciberdelincuentes. La falta de información generaliza las sospechas, pues el Organismo de Investigación Judicial (OIJ) no clasifica ni brinda información de las denuncias según las entidades bancarias del cliente afectado.
La Superintendencia de Entidades Financieras (Sugef) solicitó en dos ocasiones información a los bancos sobre los procesos de ciberseguridad implementados en lo referente a prevención, localización y reacción o seguimiento. Lo hizo el 28 de setiembre de 2018 y más recientemente el 21 de abril de 2022, el mes cuando fue público el ataque del grupo Conti contra el Ministerio de Hacienda a través de un sistema de secuestro y encriptación de información conocido como ransomware.
Los resultados del sondeo apuntan a que las capacidades de los bancos van desde lo más básico que se puede pedir (“existe conciencia” de la importancia de la ciberseguridad” y un mayor involucramiento y responsabilidad de la alta gerencia en la materia) hasta determinar que “la mayoría” cuenta con estructuras formales, gestión de la ciberseguridad está presupuestada e invierten en capacidades analíticas como un primer paso.
En general, de acuerdo a los resultados de la encuesta de Sugef, las entidades cuentan con políticas y procedimientos, plan de gestión de incidentes, plan de continuidad, personal dedicado y afirman estar preparadas ante los riesgos de ciberseguridad por teletrabajo.
La superintendente, Rocío Aguilar, sostiene que en Costa Rica las entidades financieras avanzaron en la gestión de los riesgos asociados a la seguridad de la información y la ciberseguridad. Deberán avanzar más.
“Se observa que se vienen tomando medidas y acciones por parte de las entidades financieras con respecto a la ciberseguridad y demás temas de seguridad”, dijo Aguilar. “Sin embargo, el ámbito tecnológico es muy dinámico, por lo que se siguen afrontando retos importantes en relación con el fortalecimiento de la postura de ciberseguridad de las organizaciones, para detectar, resistir o contener, y reaccionar ante los ciberataques”.
El reto también estaría en el tipo de tecnología de seguridad informática que adquieren y utilizan varias de las entidades. “Adquieren herramientas, no soluciones”, advirtió Luis Alonso Ramírez, miembro de la comisión de ciberseguridad del Colegio de Profesionales de Información y Computación (CPIC).
Los llamados crackers (también conocidos como hackers) mantienen una alta intensidad, habilitados por servicios de software malignos en la nube que permiten a una persona no especialista realizar ataques como el de Conti.
Un reciente reporte de la firma Fortinet muestra que en la primera mitad de 2022 la región de América Latina y el Caribe sufrió 137.000 millones de intentos de ciberataques, un aumento del 50% en comparación con el mismo período del año pasado. Específicamente Costa Rica sufrió 513 millones intentos de intrusión, un aumento del 104%.
Otras actividades delictivas se enfocan en los usuarios. Las estadísticas del OIJ muestran que desde el 2018 se contabilizan más de 9.000 denuncias clasificadas como estafas informáticas y estafa con tarjeta (uso vía Internet). Del 1.° de enero al 4 de agosto de 2022 los casos acumulados sumaron más de 3.000, casi el doble que en 2020 y 2021.
Madurez tecnológica
Las autoridades indican que la creciente sofisticación de los delitos informáticos y el incremento en el número de ataques obliga a las entidades financieras a fortalecer sus equipos en ciberseguridad y sus acciones de gestión de riesgos operativos, las normas de gestión de tecnología de información y las medidas para preservar la integridad, confidencialidad y disponibilidad de la información en las operaciones financieras.
Desde el 2020 se reforzaron las acciones y recursos, incluyendo las propiamente normativas (con requerimientos a nivel de gobernanza y gestión corporativa, de tecnologías de información y de riesgos) y la obligación de activar protocolos ante un incidente (reporte inmediato a la Superintendencia, mecanismos de respuesta establecidos en la regulación).
Se estableció, además, una nueva regulación específica para la gestión de la ciberseguridad y se recopiló información en mayo anterior para determinar el nivel de madurez de las entidades en protección de la información, dado que una inadecuada gestión del riesgo tecnológico repercute en la continuidad de las operaciones y su patrimonio, además de afectar a los clientes.
| Exigencias a la banca |
|---|
| De acuerdo a la Sugef existe un marco de regulación que exige a las entidades llevar a cabo una gestión robusta y prospectiva de sus riesgos, que incluyen: |
| Gobernanza corporativa: se cuenta con el Reglamento sobre Gobierno Corporativo (acuerdo Sugef 16-16) sobre infraestructura de gobernanza y de gestión de riesgos, funciones y responsabilidades. |
| Gestión de riesgos: se cuenta con el Reglamento sobre Administración Integral de Riesgos, (acuerdo Sugef 2-10) que dispone que las entidades deben contar con un proceso para identificar, medir, monitorear, controlar y mitigar los riesgos del negocio y en particular el riesgo operativo (incluye aspectos de tecnología y fraudes internos y externos). |
| Gestión de riesgos específicos: el Reglamento Sugef 2-10 incluye sección al riesgo operativo que exige planes de continuidad de negocio y protocolos ante una crisis por incidentes; se exige identificación de eventos de riesgo y reporte anual a la Sugef, así como auditoría externa anual. |
| Gestión de la tecnología de información: se cuenta con el Reglamento General de Gestión de la Tecnología de Información (acuerdo Sugef 14-17) que incluye normas en gobernanza, perfil de riesgo, marco de gestión y gestión de la seguridad, auditoría externa para determinar riesgos a atender, estrategia y actividades de seguimiento. |
| Fuente: Sugef |
La Sugef indicó que el mayor número de ataques que reciben las entidades son mediante comunicaciones no deseadas (spam) y falsas (phishing). “No obstante, a pesar de que la mayoría de las entidades señalaron que han sufrido los eventos anteriores, estos no se han materializado”, afirmó Aguilar.
Las entidades confirman que, como organizaciones financieras, se encuentran en el radar de los ciberdelincuentes desde el inicio de las operaciones en Internet, que hay incrementos significativos en los últimos años especialmente en amenazas como malware y phishing, y que diariamente se presentan manifestaciones de múltiples tipos de amenazas e intentos “que son controlados por las herramientas de defensa”.
“A pesar del incremento a nivel mundial de los intentos e incidentes asociados a ciberataques, a los cuales las organizaciones financieras están expuestas junto con otras industrias relevantes para el cibercrimen, en BAC no se han identificado ataques efectivos con consecuencias negativas en los servicios brindados”, afirmó Laura Moreno, vicepresidenta de relaciones corporativas de BAC.
El reto sigue siendo cómo incorporar nuevos canales y servicios, tecnologías y facilidades que no resten competitividad ni agilidad al usuario manteniendo la seguridad de sus cuentas y de su información. El asedio es constante.
Una entidad recibe más de 1,2 millones de intentos de ataques en promedio diario desde enero de 2020, lo que implica un incremento del 25%, que son repelidos con éxito, pero implican una degradación del servicio en línea.
El Financiero consultó a los bancos, basándose en los mismos ítemes de la solicitud de información que les envió la Sugef para determinar el grado de madurez tecnológica de las entidades financieras, y sumando otros adicionales. No respondieron los bancos Scotiabank, Cathay, Lafise y BCT.
Las entidades respondieron que se enfocan en asegurar que los clientes realicen operaciones bancarias y pagos por compras de forma segura, para lo cual implementan acciones que permitirían anticipar, detectar y monitorear actividades ilícitas o irregulares e intrusiones, apoyándose en sistemas automatizados.
En el papel, siguiendo los procesos, normativas vigentes y plataformas y políticas de las casas matrices en los casos de entidades internacionales, los bancos cuentan con herramientas, centros de operación de seguridad, certificaciones en normas o estándares internacionales, protocolos de respuesta ante incidentes y para atención de reclamos, así como planes de sensibilización internos (incluyendo auditorías) y hacia los clientes.
“Recordamos y recalcamos a nuestros clientes que nunca se les contactará telefónicamente, por correo o WhatsApp para solicitarle información sensible como usuario, clave o contraseña, correos electrónicos o códigos”, recalcó Rebeca López, jefe de la división de seguridad de la información del Banco Popular. “Además, de forma permanente le estamos recordando a nuestros clientes la importancia de sospechar de cualquier llamada que le hagan creer que la efectúa un supuesto personero bancario”.
De hecho las entidades participan en la campaña impulsada por la Cámara de Bancos e Instituciones Financieras, el Banco Central de Costa Rica, el Ministerio de Seguridad, el Ministerio Público y el OIJ para alertar y sensibilizar a los clientes bancarios para que eviten ser víctimas de los delincuentes.
Los bancos recalcan que sus sistemas tecnológicos son seguros. “Hasta el momento no hemos sido sujetos de ningún ciberataque”, destacó Erick Hernández, jefe de informática Grupo Financiero Desyfin.
Claramente deben mantener altos niveles de protección de las transacciones electrónicas y de los datos, probablemente con niveles mayores que a otras industrias, tanto por la alta sensibilidad que tendría cualquier incidente en sus operaciones e imagen como por la regulación existente.
“La generación de fraudes electrónicos no es una situación exclusiva de una entidad, todo el sector se ha visto impactado”, explicó Jaime Murillo Víquez, subgerente general de operaciones del Banco Nacional (BN).
Misión reforzar
El aumento de los fraudes informáticos contra los clientes bancarios también obligó a las entidades a reforzar todo el arsenal de medidas de carácter administrativo y tecnológico que tienen.
El asedio a los usuarios con información personal al detalle, fraudes donde las transferencias “no autorizadas” por los clientes que sobrepasan los límites de los montos establecidos por los mismos bancos y propietarios legítimos, evadiendo los sistemas instalados, o la creación de cuentas a nombre de las personas dejan dudas evidentes sobre la eficiencia de las estrategias, protocolos y soluciones de seguridad utilizados. Algunas entidades debieron correr para subsanar situaciones y crisis.
El BN empezó en mayo anterior un plan piloto donde los usuarios de su aplicación móvil utilizan en forma opcional la firma digital, a través del Gestor de Autenticación Digital (Gaudi) del Banco Central de Costa Rica (BCCR), para tener acceso y realizar transacciones por medio de esta app. Gaudi estará disponible en esta entidad tanto para el servicio de Banca en Línea como para el de Banca Móvil a partir de setiembre.
Gaudi es una app que puede utilizarse en computadoras personales (portátiles y de escritorio) y en teléfonos inteligentes. Las personas que cuentan con firma digital solo tienen que descargar la app y habilitarla; para quienes no tienen firma digital deben realizar el trámite de adquisición con un costo de (¢5.000), siete veces menor para usarla en el móvil puesto que en este caso no requieren tarjeta ni lector USB.
La medida ocurrió después que en el BN se incrementó en casi 50% las denuncias por traslados de dinero de las cuentas de los clientes utilizando Sinpe Móvil en el primer trimestre del 2022 y en comparación al mismo periodo del 2021.
El BN denunció que la situación está relacionada con las estrategias de los ciberdelincuentes de crear páginas falsas que suplantan la del Banco. La entidad había detectado cerca de 400 páginas falsas en los dos primeros meses del 2022, más que las 120 identificadas en todo el 2021.
Otras entidades también están probando la adopción de Gaudi para efectos de seguridad de los servicios en línea.
En el BCR los clientes jurídicos usan Gaudi en los servicios web y en diferentes procesos (afiliación o matrícula de cuentas, entre otros). Para clientes físicos estará disponible en el último trimestre de este 2022 inicialmente en transacciones que requieren ciertos niveles de seguridad (transferencias a terceros).
En el Banco Popular se proporcionará a finales de este 2022. Actualmente está en proceso de implementación de Gaudi para autenticación y firma de transacciones en móviles. Podría extenderse a transacciones de autorregistro de nuevos clientes y aplicación a solicitudes de préstamos.
Para la industria la tarea es ir más allá. Ramírez, de CPIC, explicó que el cumplimiento regulatorio es exigente en cuanto a establecer controles para prevenir los ataques a las entidades y los fraudes al cliente. Pero el problema sería que se compran herramientas de seguridad y lo que se necesita son soluciones o arquitecturas de prevención y detección cuando se agrede a las organizaciones. Se estaría dejando superficies “porosas y fisuras”.
Las entidades estarían avanzando en la implementación de sistemas para control de acceso a información, firewall para bases de datos que bloquean accesos no permitidos, revisan privilegios y notifican accesos no autorizados, metodologías de cero confianza para tener visibilidad completa y responder ante los intentos de los ciberdelincuentes y contratación y gestión de personal técnico y no técnico que puede exponer —voluntaria o involuntariamente— datos o accesos a información, pues no necesariamente los casos de fraudes se deben a mala praxis de los clientes o usuarios con sus claves o contraseñas.
“Los ciberdelincuentes siempre van a ir adelante”, advirtió Alonso. “La inversión en este tipo de tecnología tiene su costo para los bancos. El martillo que se está comprando es muy pequeño para el clavo que se quiere poner en la pared”.
¿Qué tienen los bancos?
De acuerdo a las respuestas de las entidades bancarias, estas son las herramientas, protocolos, normas y procedimientos, en general, implementados por bancos en Costa Rica en materia de seguridad informática y protección de datos:
Bancos públicos
| Medida | BCR | Banco Nacional | Banco Popular |
|---|---|---|---|
| Herramientas | Herramientas de prevención, monitoreo, detección, análisis y otras según estándares y normas internacionales. | Incorpora herramientas de defensa que permiten prevenir la materialización “efectiva” de las amenazas, incluyendo herramientas que operan a nivel de proveedores de servicios nacionales e internacionales para contención preventiva. | Mantiene estrategias y protocolos de gestión de intentos de ataques cibernéticos y herramientas (antivirus, antispam, firewall, monitoreo, alertas y control de acceso a base de datos) |
| Protocolos | Cuenta con protocolos, procesos, personal capacitado y herramientas. | Procedimiento en casos de fraude a clientes y reposición de dinero por transferencia no autorizada.icios digitarles (incluido Sinpe) a clientes verificados. | Cuenta con certificaciones ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27035, ISO/IEC 27032, ISO/IEC 27005, ISO/IEC3100, ISO/IEC 22301, buenas prácticas y normas de seguridad relacionadas (NIST, PCI DSS) y cumplimiento de leyes nacionales (N°. 8968 y 9048). |
| Centro de operación de seguridad | Opera 24/7 con personal asignado y certificado. | Se incluyen procesos operativos de atención de ciberseguridad los cuales tienen una operación continua, con un modelo de trabajo conjunto entre el personal del BN, proveedores especializados y nuevas tecnologías de inteligencia artificial y aprendizaje continuo. Las capacidades del personal y los procedimientos de operación se adaptan constantemente en el contexto del riesgo digital identificado. | Se cuenta con diversas soluciones, herramientas, servicios y personal para el monitoreo de la seguridad según las necesidades. |
| Protocolo de respuesta ante un ataque | Fortaleció estrategia de detección y prevención de incidentes de seguridad. | Cuenta con un marco estructurado de gobierno del riesgo digital y seguridad de la información que incluye marco de gestión de seguridad de la información, de incidentes y de continuidad. | Se dispone de protocolo para la atención de incidentes de seguridad según su naturaleza. |
| Protocolo de respuesta ante acceso a base de datos | Fortaleció estrategia de detección y prevención de incidentes de seguridad. | Cuenta con un marco estructurado de gobierno del riesgo digital y seguridad de la información que incluye marco de gestión de seguridad de la información, de incidentes y de continuidad. | Se dispone de protocolo para la atención de incidentes de seguridad según su naturaleza. |
| Plan de sensibilización interna | Capacitaciones, charlas, seminarios, certificaciones y otros a través de un programa anual elaborado en conjunto con universidad corporativa del BCR. | Desde hace cerca de dos décadas, se mantiene una campaña de comunicación con los clientes, colaboradores (incluye capacitación) y proveedores. Se aplican, además, mejoras a las campañas de comunicación y prevención a nivel delas plataformas. | Programa de concientización de seguridad de la información y ciberseguridad. |
| Plan de sensibilización de clientes | Campañas de prevención y capacitación a clientes y usuarios, acompañamiento en investigación (administrativa y judicial) en caso de eventos. | Desde hace cerca de dos décadas, se mantiene una campaña de comunicación con los clientes, colaboradores (incluye capacitación) y proveedores. Se aplican, además, mejoras a las campañas de comunicación y prevención a nivel delas plataformas. | Programa de concientización de seguridad de la información y ciberseguridad incluye campañas permanentes para clientes y participa en campaña de la Cámara de Bancos e Instituciones Financieras. |
| Acciones futuras | Acciones de mejora continua con sustento en el análisis de los estándares y las normas internacionales, experiencias propias y ajenas, nacionales e internacionales. | Realiza análisis continuo del riesgo digital y ciberseguridad para actualización del Plan Estratégico Integral de Seguridad de la Información. | Se cuenta con planes con estrategia y visión en materia de seguridad de la información y ciberseguridad. |
| Control de confirmación de identidad de cliente | Se combinan validaciones (documentos de identidad, firmas y presencia de cliente) y se ofrece serviciso digitales (incluido Sinpe) a clientes verificados. | Desde 1999 opera servicio de Internet Banking con controles en autenticación y autorización de transacciones según estándares vigentes en industria, ajustes según nuevas demandas, regulaciones, normas y necesidades. Actualmente se dispone de Se dispone de token celular, servicio de token llavero, firma digital, doble autenticación con código de seguridad enviado a correo electrónico o al número de celular mediante SMS y registro de dispositivo. | Proceso de enrolamiento presencial en las oficinas comerciales y se dispone de mecanismos de seguridad y notificaciones a usuarios. |
| Control, límites y procedimientos para transferencias de dinero | Acceso a sistemas con mecanismos de seguridad (registro de dispositivo, matrícula de cuentas, límite de transacciones, biometría y código de un único uso según segmento de cliente. En segmentos empresariales se utiliza asignación de roles, esquemas de autorización, horarios de acceso, factores adicionales de autenticación y prematrícula de cuentas destino, entre otras. | Mantiene controles y políticas de transferencias como la obligatoriedad de incluir cuentas de uso frecuente o favoritas (deben ser ingresadas usando token y código de seguridad de un solo uso) y montos máximos por día (configurable por el cliente). También se utilizan herramientas que asignan nivel de riesgo de cuentas, alertas en caso de ingresos fraudulentos y análisis de comportamiento transaccional. Para clientes corporativos se tienen establecidas políticas adicionales como la autorización de transacciones a usuarios específicos y permisos mancomunados, entre otras. | Cuenta con estrictas reglas de negocio que incluyen: notificaciones, límites de tiempo, montos a transferir y validación por códigos de seguridad y biometría. |
| Sistemas para verificar si transferencia sigue parámetros | Sistemas automatizados de prevención y monitoreo, plataformas de control y detección de intrusiones, personal de ciberseguridad y análisis de eventos para detectar en línea fraudes y alertar a los clientes. | Tiene sistemas de alertas internas o esquemas de monitoreo como correo de confirmación al cliente al iniciar sesión y registro de su dispositivo para realizar bloqueos en casos de ingresos de terceros. | Se dispone de soluciones de seguridad para proteger las transacciones, dispositivos e identidad de los clientes, entre otros. |
| Procedimiento en casos de fraude a clientes y eposición de dinero por transferencia no autorizada. | Cliente afectado interpone reclamo administrativo en el banco (contraloría de servicios, página web y centro de llamadas), investigación administrativa, denuncia judicial y reintegro del monto según el caso. La reposición se efectúa según la investigación administrativa y de las autoridades judiciales donde se establece si el cliente tiene responsabilidad o no en el fraude. | Cada caso es analizado y valorado en ámbitos técnicos y jurídicos; una vez se establece una actividad inusual se aplica el protocolo de atención, que incluye bloqueos y restricción de servicios, entre otros. Cuando se bloquea alguno de los fondos transferidos, producto del fraude, se aplica el protocolo para reintegro, la cual a nivel interno es una gestión expedita y a nivel externo depende de otras entidades. El reintegro o no de fondos se define como parte del proceso de valoración y análisis de cada caso. | El cliente plantea la denuncia administrativa y judicial. En lo administrativo se procede a investigar el caso y se brinda respuesta a la reclamación económica. En casos donde se determinan dineros a favor del cliente (cuentas del banco) se le restituye de manera expedita y si son de otros bancos se aplica la disposición del Ministerio Público donde es la Fiscalía a cargo del caso la que hace la solicitud al banco dónde se inmovilizaron los dineros. |
Bancos privados
| Medida | BAC | Promerica | Desyfin | Davivienda |
|---|---|---|---|---|
| Herramientas | Arquitectura basada en un modelo avanzado de defensa en profundidad que incluye sistemas antivirus, antispam, muralla de fuego o firewall, monitoreo de tráfico para detectar intentos de ataque, alertas, detección de intrusos y procedimientos para autorizar acceso a bases de datos o para que un colaborador solicite información, así como otras tecnologías de última generación para la detección de amenazas avanzadas. | Trabaja en una estrategia de ciberseguridad y cuenta con un estructura e inversión en gobernanza y gestión de la protección de los activos de información en sus procesos. Asigna responsabilidades y directrices formales en sus políticas internas, las cuales deben ser acatadas por personal interno y externo. | Cuenta con protocolo de seguridad y estrategia de ciberseguridad que incorpora soluciones de seguridad perimetral, así como seguridad para endpoint, seguridad para e-mail, doble factor de autenticación y controles internos de mínimo privilegio para equipos y sistemas. | Cuenta con un sistema de gestión de seguridad de información y ciberseguridad y herramientas que inlcuyen antivirus, antispam, firewall, monitoreo de tráfico, alertas, control de accesos a bases de datos, protección aplicaciones web, detección de fuga de información y control de dispositivos extraíbles (como USB). |
| Protocolos | Regulación local, de protección de datos de las personas y normas técnicas del sector (PCI DSS y PIN PCI) e internas (CSF del NIST), así como tecnologías y procesos estándar para los mercados donde participa. | Implementa normas como ISO/IEC 27000, Framework NIST, OWASP y COBIT, entre otras, y directrices que dictan las leyes aplicables, incluyendo Gestión de Continuidad de Negocios | No indicó cuáles utiliza. | Familia de normas ISO 27000 y el marco de gestión de la NIST (National Institute of Standards and Technology). |
| Centro de operación de seguridad | Cuenta con un SOC que opera de forma permanente, con altas capacidades para la detección y reacción, sistemas de correlación, notificación, clarificación e investigación de eventos, así como programa de actualización de personal. | Cuenta con SOC para el monitoreo de eventos de seguridad 24/7/365, que permite mejorar el análisis de correlación para la identificación y respuesta oportuna a incidentes. | No indicó. | Cuenta con un centro interno y con apoyo de centro externo que opera de manera permanente y con personal certificado. |
| Protocolo de respuesta ante un ataque | Protocolos confidenciales de respuesta ante posibles ataques cibernéticos alineados a las buenas prácticas de la industria tecnológica | Esquema de seguridad basado en el principio de defensa de profundidad por capas (que incluye herramientas de protección antimalware, firewall de última generación, sistemas contra fuga de información, inteligencia artificial con actuación en tiempo real, controles de accesos, principio del privilegio mínimo, autenticación robusta a colaboradores y clientes, entre otras). | No indicó. | Protocolo basado en lo que se establece en el marco de ciberseguridad definido por la NIST. |
| Protocolo de respuesta ante acceso a base de datos | Protocolos confidenciales de respuesta a partir de la detección y evaluación de eventos en los sistemas críticos. | Se cuenta con protocolos de identificación, protección contra amenazas avanzadas y día cero, pruebas de instrucción y una metodología de atención y respuesta de incidentes de seguridad de la información, basada en etapas y alineada a los estándares internacionales de seguridad. | No indicó. | El personal externo no tiene acceso a nuestras bases de datos y a nivel interno se toman las acciones en conjunto al área de talento humano. |
| Plan de sensibilización interna | Modelo de gestión de seguridad de la información que incluye actividades de capacitación y certificación anuales, emisión de información de sensibilización, concientización y simulación de phishing mensual a través de las diferentes plataformas de comunicación interna. | Programas de capacitación y concientización al personal. | Mantiene comunicación constante con clientes y usuarios para generar conciencia de buenas prácticas de seguridad y que se mantengan alertas ante cualquier sospecha de fraude electrónico. | Se tiene un plan de capacitación establecido que incluye desde la charla de inducción cuando ingresa personal nuevo, un e-learning anual de refrescamiento de conocimientos, envíos internos con actualización de temas, así como pruebas de escritorio para medir al personal. |
| Plan de sensibilización de clientes | Actividades para apoyar a los clientes en el fortalecimiento de sus capacidades para enfrentar las amenazas a la ciberseguridad, así como comunicación continua sobre buenas prácticas de protección para los clientes finales por medio de los sitios web, comunicados y redes sociales oficiales. | Programas de capacitación y concientización a los clientes. | Mantiene comunicación constante con clientes y usuarios para generar conciencia de buenas prácticas de seguridad y que se mantengan alertas ante cualquier sospecha de fraude electrónico. | Se cuenta con un programa de concientización llamado La Tía Segura, se envían reforzamientos por correos electrónicos, SMS y mensajes tipo push a los clientes que tienen el app instalado. |
| Acciones futuras | Se mantiene identificación de retos y oportunidades, evaluaciones y modelo de mejora continua en tecnología aplicada, identificación de tendencias tecnológicas relevantes para protección de los servicios y mejora de las capacidades del equipo. | Trabaja en una estrategia relacionada con este tema y cuenta con un estructura e inversión para dar gobierno y gestión a la protección de los activos de información en sus procesos. | No indicó. | Equipo de trabajo monitorea nuevas amenazas emergentes y se encarga de tomar las acciones de contención necesarias, evalúa controles existentes y propone nuevos controles en caso necesario. |
| Control de confirmación de identidad de cliente | Se cuenta con procesos y tecnologías para validar la identidad de los clientes actuales y nuevos. | Implementa procesos, procedimientos definidos y herramientas para mitigar o minimizar los fraudes. | No indicó. | Pregunta involucra respuestas en las que revelaríamos procesos sensibles del banco. |
| Control, límites y procedimientos para transferencias de dinero | Utiliza herramienta que permite conocer el perfil del cliente y validar desviaciones en transacciones sensibles a terceros para eventual bloqueo o solicitar otra autenticación. | Implementa procesos, procedimientos definidos y herramientas para mitigar o minimizar los fraudes. | No indicó. | Pregunta involucra respuestas en las que revelaríamos procesos sensibles del banco. |
| Sistemas para verificar si transferencia sigue parámetros | Utiliza herramienta que permite conocer el perfil del cliente y validar desviaciones en transacciones sensibles a terceros para eventual bloqueo o solicitar otra autenticación. | Implementa procesos, procedimientos definidos y herramientas para mitigar o minimizar los fraudes. | No indicó. | Pregunta involucra respuestas en las que revelaríamos procesos sensibles del banco. |
| Procedimiento en casos de fraude a clientes y eposición de dinero por transferencia no autorizada. | Las solicitudes de los clientes se atienden y analizan para identificar la causa y brindar respuesta al cliente afectado. | Respeta los procedimientos judiciales ante este tipo de eventos y se mantiene en total colaboración con las autoridades cuando es pertinente. | No indicó. | Pregunta involucra respuestas en las que revelaríamos procesos sensibles del banco. |