A partir de este 1 de agosto los bancos deberán eliminar el uso de las tarjetas de coordenadas como método de autentificación, toda vez que al ser impreso supone un riesgo, según lo establece una norma de la Comisión para el Mercado Financiero, CMF.

El director de Ciberseguridad de PwC Chile, Claudio Ordoñez, sostuvo que “las instituciones financieras estarán obligadas a implementar nuevos mecanismos de autentificación para sus clientes a la hora de realizar, por ejemplo, transferencias electrónicas, cambios de contraseña o la modificación de datos personales”.

Ordoñez afirmó, además, que la normativa establece el uso de la Autenticación Reforzada de Cliente (ARC), donde se utilizan al menos dos factores independientes y de distintas categorías.

Sostuvo que estas medidas se deberán aplicar tanto en el banco en línea como también en las aplicaciones móviles.

“Este cambio es una oportunidad para que las instituciones bancarias avancen hacia mecanismos de autentificación más robustos y actualizados. Al mismo tiempo, hacemos un llamado a las personas a reforzar sus propias medidas de seguridad y estar alerta ante posibles fraudes, porque la protección de la información financiera es una responsabilidad compartida”, afirmó Claudio Ordoñez.

Indicó que “la mayoría de los bancos ya cuentan con una aplicación móvil (Pass) que permite usar mejores formas de autentificación, como son biometría utilizando el rostro o la huella digital. Sin embargo, si bien se mejora la seguridad y la aplicabilidad para los usuarios al usar biometría, ahora el peso de la seguridad pasa a cómo se construye y usa la aplicación”.

En este contexto, el director de Ciberseguridad de PwC Chile sostuvo que por el lado de los bancos se debe reforzar el concepto de seguridad del producto (product security) en todo su ciclo, dado que son los responsables de la aplicación:

• Seguridad y Privacidad por Diseño (Security-Privacy-by-Desing): los requerimientos, tanto funcionales como técnicos, de ciberseguridad y privacidad se consideran desde la concepción de la aplicación. Y forman parte cuando se construye la aplicación.
• Desarrollo seguro: Utilizar programas y códigos de forma segura, no utilizar librerías libres o de origen dudoso y programar con buenas prácticas conocidas.
• Pruebas de seguridad: Probar el código en todas sus etapas de desarrollo de forma que se verifiquen que los requerimientos de ciberseguridad hayan sido construidos e integrados en la aplicación.
• Mantención: Una vez en operación, la aplicación debe mantenerse actualizada, tanto en sus códigos, como en su infraestructura del servicio. Incluso si se debe hacer una mejora funcional a la aplicación debe volver a iniciarse el ciclo desde el primer punto.

Desde el punto de vista del usuario, deberán también cuidar el uso de la aplicación Pass

• Descargar la aplicación siempre desde las tiendas autorizadas de las marcas móviles. Google Play Store para Android, o App Store para Apple. Nunca descargar de un enlace desconocido dentro de un correo, un SMS o un mensaje.
• Usar una clave diferente para la aplicación de claves y otra para la aplicación del banco. Habilitar la autentificación biométrica para ambos casos.
• Nunca entregar la clave de la aplicación, ya sea por un mensaje externo o un llamado (phishing).
• Mantener actualizado el celular, esto por solicitud del propio sistema del teléfono, nunca por solicitud de un correo o un SMS.
• Actualizar la aplicación cuando sea avisado por un mensaje dentro de la misma aplicación, nuevamente nunca hacerlo por alguna petición externa.
• Cualquier solicitud muy urgente o apremiante que llegue por medios externos (llamada, correo, SMS) para hacer algo con la aplicación, tomarlo con desconfianza, puede ser un phishing, finalizó.