La regulación del phishing en el sistema financiero peruano

Fuente:www.tomenota.pe

I. Introducción

En el Perú el phishing o suplantación de identidad se ha consolidado en los últimos años como la modalidad preferida por los cibercriminales; estos delincuentes aprovechan la creciente necesidad de la población de realizar operaciones y transacciones bancarias digitales. Uno de los factores clave que incrementa esta vulnerabilidad es la falta de correctas medidas de seguridad tomadas por los bancos en transacciones no reconocidas por grandes sumas de dinero, que facilitan este tipo de estafas exponiendo a los usuarios a un riesgo constante.

Las medidas implementadas por la Superintendencia de Banca, Seguros y AFP (SBS) publicada el 28 de junio de 2024 bajo la resolución SBS N° 02286-2024, ¿son suficientes para garantizar el principio de idoneidad en la protección del consumidor?

Esta normativa modifica el Reglamento de Tarjetas de Crédito y Débito, el Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad, el Reglamento de Gestión de Conducta de Mercado del Sistema Financiero y el Reglamento de Reclamos y Requerimientos, con el fin de mejorar la protección ante riesgos de ciberseguridad; bajo esta premisa en el presente artículo analizaremos las medidas propuestas por la reciente resolución, así como sus alcances para combatir el phishing.
II. Phishing: Conceptos clave y su impacto en la sociedad peruana

2.1. Definición de phishing

El phishing es una técnica de fraude en línea en la que los ciberdelincuentes intentan engañar a las personas para que revelen información confidencial, como contraseñas, números de tarjetas de crédito, información bancaria u otros datos personales. En estos ataques los delincuentes suplantan la identidad de una organización de confianza y envían mensajes que parecen auténticos, solicitando a las víctimas que hagan clic en un enlace o proporcionen sus datos personales entrando a sitios fraudulentos que imitan el diseño y la apariencia de las páginas oficiales para engañar al usuario, con la finalidad de robar números de tarjetas decrédito, números de cuentas bancarias, credenciales de inicio de sesión u otros datos personales o información sensible. (Kosinski, 2024)

2.2. Consecuencias y efectos en la confianza del consumidor

El phishing tiene un impacto profundo y duradero en la seguridad del consumidor, especialmente en el ámbito financiero y de comercio, como la pérdida de su confianza en las instituciones bancarias y financieras, al sentirse vulnerables y desprotegidos, ese sentimiento de inseguridad lleva a una menor adopción de servicios bancarios y comerciales en línea. Los consumidores que han sido víctimas de phishing tienden a reducir su uso de herramientas tecnológicas por temor a ser nuevamente estafados (Defensoría del Pueblo, 2023). Esta reticencia puede frenar el crecimiento de la economía digital, limitando las oportunidades de expansión para las empresas y el acceso a servicios eficientes para los usuarios.

III. Normativa aplicable y las modificaciones de la Resolución SBS N° 02286- 2024

3.1. Objetivos de la Resolución SBS N° 02286-2024

La modificación al Reglamento de Tarjetas de Crédito y Débito, al Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad, al Reglamento de Gestión de Conducta de Mercado del Sistema Financiero y al Reglamento de Reclamos y Requerimientos, surge como una necesidad frente a la evolución en el funcionamiento de los productos y servicios ofrecidos por las empresas del sistema financiero a los usuarios, la creciente complejidad de estos servicios, unida al impacto de las nuevas tecnologías. Se vuelve indispensable precisar la responsabilidad de las empresas en los procedimientos de validación de identidad de los usuarios y la obtención de su consentimiento al momento de realizar operaciones, en casos de estas no fueran reconocidas y en aquellas que fueron procesadas sin autenticación reforzada; junto a las obligaciones de las empresas para el cumplimiento de disposiciones de carácter imperativo.

En línea con estas consideraciones, resulta fundamental que los mecanismos de validación de identidad y obtención del consentimiento del usuario se implementen desde el momento de la contratación de productos y servicios, y continúen siendo aplicados a lo largo de su ejecución; lo anterior no solo contribuiría a la seguridad de las transacciones, sino también permitirá a las empresas contar con información precisa y actualizada sobre nuevos usuarios.

3.2. La regulación en el sistema financiero peruano

Ante casos de phishing en el Perú no hay una regulación específica para el término “phishing”, sino solo como parte de los delitos informáticos (artículos 8 y 9 de la Ley N.° 30096). Muchos ataques de phishing se procesan bajo esta normativa, al tratarse de actos de fraude que involucran el acceso indebido a sistemas o la manipulación de datos para obtener beneficios ilegítimos, siendo un contraste frente a otras legislaciones como el de la Unión Europea con el Reglamento General de Protección de Datos (GDPR), ya que es una normativa que impone a empresas y organizaciones la obligación de salvaguardar la información y privacidad de sus ciudadanos en las transacciones realizadas dentro de los países miembros, además de establecer regulaciones sobre la transferencia de datos personales fuera de su territorio, siendo considerado un estándar de protección de datos más sólido a nivel global, ya que amplía los derechos de acceso de las personas a su información y establece restricciones para el manejo de datos personales por parte de las empresas.

Para las transacciones no reconocidas de manera general, la empresa responde administrativamente; según el artículo 19 del Código de Protección y Defensa al Consumidor, el proveedor responde por la idoneidad y calidad de los productos y servicios ofrecidos asegurándose de tomar las medidas de seguridad necesarias; sin embargo; según el artículo 23 del Reglamento de Tarjetas de Crédito y Débito, ante el rechazo por parte del titular sobre operaciones no reconocidas o inusuales, la entidad bancaria es responsable de realizar la evaluación correspondiente y de demostrar que las operaciones fueron autenticadas y registradas. (Resolución S.B.S. N° 5570-2019). Se desprende que el usuario no es responsable de pérdida alguna cuando comunicó previamente sobre el extravío de la tarjeta o suplantación de identidad. El problema venía cuando los canales de atención no funcionaban correctamente y los usuarios afectados no podían comunicar sobre la sustracción de la tarjeta o información, ya que, no había una regulación clara para la aplicación de medidas de seguridad ante operaciones inusuales, así como en micro pagos que no requieren la clave secreta o una segunda verificación del usuario.

Ahora bien, una vez que ocurre una operación no reconocida, corresponde a las entidades financieras demostrar la validez de estas. Dicha demostración se realizará en atención a las medidas de seguridad para operaciones con tarjeta no presente (CNP) que explicaremos a detalle más adelante, siendo crédito o débito, credenciales de pago del titular de la tarjeta, los números de la tarjeta, el código CVC/CVV y la fecha de caducidad de la tarjeta. Eso quiere decir que, siempre que el banco demuestre el cumplimiento de los requisitos de validez de las operaciones, lo toma como responsabilidad del usuario, es decir, se liberará de toda acusación en su contra.

Es necesario precisar la diferencia entre operaciones no reconocidas y operaciones inusuales, siendo las no reconocidas aquellas realizadas con tarjeta de crédito o débito y/o con su información que los usuarios declaran no haber realizado y/o aprobado (Ley N.º 26702).
Las operaciones inusuales son aquellas que se escapan del parámetro de la habitualidad del usuario. La determinación de este se basa en el comportamiento del usuario, que al verificarse que cumple cierto patrón, se determina que es un comportamiento normal. (Julia Silvestre, 2021).
Bajo esta premisa, las operaciones inusuales se refieren a aquellas que no coinciden con el comportamiento habitual del consumidor ni con su historial de transacciones. Por ello, cuando se detectan este tipo de operaciones, la entidad bancaria debe implementar las acciones necesarias para proteger los intereses del consumidor.

Cabe indicar que, el Reglamento establece circunstancias expresas en las que el usuario se libera de responsabilidad, contrario a lo que se podría pensar sobre la normativa, esta considera siempre al usuario responsable de las operaciones no reconocidas, salvo prueba de lo contrario. Dicho de otro modo, podría afirmarse que se asume que el consumidor que presenta un reclamo por fraude bancario está actuando de mala fe, incluso si afirma que no la autorizó.
3.3. Principales disposiciones de la Resolución

Acorde a lo dispuesto en la Resolución SBS N° 02286-2024, la modificación del Reglamento de Tarjetas de Crédito y Débito. “Incorpora los numerales 23, 24 y 25 en el artículo 2, el numeral 7 en el artículo 16, un último párrafo en el artículo 18 y el numeral 10 en el segundo párrafo del artículo 23 (…)”.

Dicho lo anterior, la referida resolución actualiza e incorpora nuevas definiciones clave, se destacan dos categorías esenciales de operaciones: las operaciones con tarjeta presente y con tarjeta no presente.

Las operaciones con tarjeta presente hacen referencia a aquellas en las que el instrumento de pago (tarjeta) interactúa físicamente con el dispositivo de captura de información. Este tipo de transacción es característico de las compras presenciales, donde la tarjeta es utilizada en el proceso de pago.

Operaciones con tarjeta no presente, en contraste, son operaciones en las que el instrumento de pago no interactúa directamente con el dispositivo de captura de información; sino se validan los datos de la tarjeta de manera remota. Este tipo de transacciones son compras en línea, pago de servicios.

En el caso de las medidas de seguridad respecto a los usuarios incorpora el inciso 7 al artículo 16 que las entidades financieras deben adoptar, estableciendo nuevos requisitos mínimos para las operaciones con tarjeta presente, no presente y billeteras digitales, siendo obligatorio el cumplimiento de la autenticación reforzada. Estas deben estar conforme al artículo 19 del Reglamento de Ciberseguridad, además de las recomendaciones técnicas de los estándares EMV emitidos por EMVCo, según el tipo de operación del que se trate. Para mayor claridad sobre los términos que toma en cuenta el presente reglamento hablaremos sobre el artículo 2 inciso j) sobre los factores de autenticación del usuario que son aquellos empleados para verificar la identidad del usuario.

Estas categorías pueden ser; algo que solo conozca el usuario, algo que solo el usuario posee y algo que solo el usuario es, que incluye las características biométricas.

El artículo 19 del Reglamento de Ciberseguridad previa a esta resolución regulaba casos excepcionales donde exige la autenticación reforzada en las operaciones por canales digitales que impliquen pagos o transferencia de ahorros a terceros, modificación en los productos de seguro ahorro/inversión contratados, la contratación de un producto o servicio, siendo estos requisitos de autenticación:

• La utilización y/o combinación de factores de autenticación, que correspondan a dos categorías distintas, respecto al artículo 2, y que sean independientes uno del otro.
• Generar un código de autenticación mediante métodos criptográficos, a partir de los datos específicos de cada operación, el cual debe utilizarse por única vez.
• Cuando la operación sea exitosa, notificar los datos de la operación al usuario.

El nuevo inciso 7 del artículo 16, precisa las medidas de seguridad para las operaciones con tarjeta presente, operaciones con tarjeta no presente, billeteras virtuales.

En las operaciones con tarjeta presente se requieren dos factores, donde el primero es el chip de la tarjeta o su representación digital. El segundo factor puede ser una clave secreta (PIN) u otro que establezca la Superintendencia.

Las operaciones con tarjeta no presente requieren la utilización de dos factores de autenticación, el primer factor corresponde a los datos contenidos en la representación física o digital de la tarjeta. El segundo factor puede ser un código de verificación dinámico asociado a la tarjeta u otro elemento verificable en línea, que debe ser proporcionado por el usuario, conforme al estándar EMV 3DS (1), salvo en aquellos casos de exención establecidos en el artículo 20 del Reglamento de Ciberseguridad.

Siendo operaciones con billeteras móviles de terceros basadas en tokenización de tarjetas, la afiliación de la tarjeta para el uso de dicho servicio, conforme al numeral 7.2, así como las operaciones subsecuentes, deberán ser autenticadas mediante el proceso de tokenización de la tarjeta, complementado con un segundo factor de autenticación de naturaleza distinta.

El control establecido en el inciso b) del artículo 19 del Reglamento de Ciberseguridad, frente a los ataques de hombre en el medio, se cumple mediante la implementación de los estándares EMV 3DS y EMV Tokenization, aplicados a los numerales 7.2 y 7.3 del presente artículo, según corresponda. (2).

En el numeral 5 del inciso 7 se dispone que, en los casos en que no se pueda validar el segundo factor por limitaciones fuera del control del banco, se deberán establecer reglas de aceptación o rechazo en función al nivel de riesgo de fraude, según el sistema de monitoreo de transacciones descrito en el artículo 17 del mismo cuerpo normativo.

El artículo 17, precisa sobre la implementación de los procesos de autenticación, conforme a la definición establecida, que debe implementar la empresa para controlar el acceso al servicio que provee a sus usuarios por canales digitales, Previo a ello, debe llevar a cabo una evaluación formal y adoptar las medidas correspondientes (SBS N. º 504-2021):

a) El o los factores de autenticación que serán requeridos.

b) Estándares criptográficos vigentes, basados en software o en hardware, y sus prestaciones de confidencialidad o integridad esperadas.

c) Plazos y condiciones en las que será obligatorio requerir al usuario volver a autenticarse, lo que incluye y no se limita a casos por periodo de inactividad o sesiones de uso prolongado de sistemas.

d) Línea base de controles de seguridad de la información requerida para prevenir las amenazas a que esté expuesto el proceso de autenticación, lo que incluye, y no se restringe, al número límite de intentos fallidos de autenticación, la prevención de ataques de interceptación y manipulación de mensajes.

e) Lineamientos para la retención de registros de auditoría para la detección de amenazas conocidas y eventos de seguridad de la información.

Agrega el inciso 10 al artículo 23 del Reglamento de Tarjetas de Crédito y Débito, en el caso de las operaciones no reconocidas la empresa es responsable de las pérdidas por las operaciones realizadas en los casos de que no se emplee un segundo factor de autenticación.

Modifica el inciso 1 del artículo 15 del Reglamento de Tarjetas de Crédito y Débito, sobre las medidas de seguridad incorporadas en las tarjetas de crédito, las normas de seguridad incorporadas en el chip de las tarjetas físicas deben emplearse para comprobar la autenticidad de la tarjeta y verificar la identidad del usuario, cumpliendo con los estándares mínimos establecidos en el artículo 16° del presente Reglamento.

IV. Notas

(1) EMV 3DS es un protocolo de seguridad destinado a proteger las transacciones en línea realizadas con tarjetas de crédito y débito, su objetivo principal es añadir una capa adicional de protección mediante la autenticación del titular de la tarjeta durante el proceso de pago.

(2) Se refiere al inciso b) del artículo 19 del Reglamento para la Gestión de la Seguridad de la Información y Ciberseguridad, señara que, al generar un código de autenticación mediante métodos criptográficos, a partir de los datos específicos de cada operación, solo debe utilizarse por única vez.

V. Conclusiones

5.1. El phishing y otras formas de fraude son desafíos que impactan tanto a los usuarios como a las empresas, generando un clima de inseguridad y desconfianza en el sistema. Además de las medidas establecidas por la resolución, es fundamental que las empresas se enfoquen en educar y sensibilizar a sus usuarios sobre las diversas modalidades de estafa más frecuentes, ayudándoles a identificar y prevenir estos riesgos.

5.2. La Resolución SBS Nº 02286-2024 reafirma a través de estas modificaciones que han adaptado las normas pertinentes conforme a lo dispuesto en el Reglamento de Ciberseguridad, no solo se refuerza la seguridad en las transacciones, sino que también se asegura que las entidades financieras asuman un compromiso claro con la protección de sus clientes ante los riesgos digitales, actualizando sus mecanismos de seguridad utilizados para los canales digitales.

5.3. Las modificaciones buscan reforzar la seguridad en el sistema financiero peruano mediante medidas más estrictas de confirmación de identidad y autenticación, especialmente en transacciones digitales, estableciendo requisitos mínimos de validación para mejorar la protección del consumidor ante posibles fraudes promueven un entorno financiero más seguro y confiable adaptado la seguridad en la era digital.

5.4. Asimismo, las medidas planteadas por la reciente resolución si son efectivas para combatir el phishing y las diversas modalidades de fraude cibernético, no de manera directa como tal, si bien refuerzan la seguridad en las transacciones mediante la autenticación reforzada y un monitoreo basado en riesgos, estas disposiciones son reactivas y mitigan el impacto del ataque hacia la patrimonialidad del usuario, como las compras no reconocidas y fraudes financieros.

VI. Referencias

Congreso de la República del Perú. 2010. Código de Protección y Defensa del Consumidor (Ley N° 29571).
https://spijweb.minjus.gob.pe/wp-content/uploads/2018/09/CODIGO-CONSUMIDOR.pdf

Defensoría del Pueblo. 2024. La ciberdelincuencia en el Perú: Estrategias y retos del estado.
https://www.defensoria.gob.pe/wp-content/uploads/2023/05/INFORME-DEF-001-2023-DP-ADHPD-Ciberdelincuencia.pdf
Kosinski, Mateo. 2024. ¿Qué es el phishing? International Business Machines. https://www.ibm.com/es-es/topics/phishing
Ministerio de Justicia y Derechos Humanos. 2024. Ley de Delitos Informáticos. https://www2.congreso.gob.pe/sicr/cendocbib/con5_uibd.nsf/C5F98BB564E5CCCF05258316006064AB/$FILE/6_Ley_30096.pdf
Silvestre Bermúdez, Julia Katty. 2021. Análisis de la protección al consumidor financiero en el sistema bancario peruano: responsabilidad de la entidad financiera en operaciones no reconocidas. Pontificia Universidad Católica del Perú. http://hdl.handle.net/20.500.12404/18454
Superintendencia de Banca, Seguros y AFP (SBS). 2024. Modifican Reglamento de Tarjetas de Crédito, Débito y Otros. https://busquedas.elperuano.pe/dispositivo/NL/2301327-1
Superintendencia de Banca, Seguros y AFP (SBS). 2021. Reglamento para la gestión de la seguridad de la seguridad de la información y la ciberseguridad. https://intranet2.sbs.gob.pe/dv_int_cn/2046/v2.0/Adjuntos/504-2021.R.pdf