Impulsados por informes incesantes de pequeñas y medianas empresas que pierden millones de dólares a manos de ciberdelincuentes organizados, es posible que los reguladores federales pronto describan pasos más estrictos que los bancos comerciales deben tomar para proteger a los clientes comerciales del fraude bancario en línea y educar a los usuarios sobre los riesgos de la banca en línea.
En cuestión están los pautas emitido conjuntamente en 2005 por cinco reguladores bancarios federales bajo el paraguas de la Consejo Federal de Examen de Instituciones Financieras (FFIEEC). La guía estaba destinada a incitar a los bancos a implementar la llamada «autenticación multifactor», esencialmente, para exigir a los clientes que proporcionen algo más además de un nombre de usuario y contraseña al iniciar sesión en sus cuentas bancarias en línea, como la salida de un token de seguridad. .
El FFIEC no especificó exactamente cómo los bancos tenían que hacer esto y, de hecho, dejó que las instituciones financieras determinaran el enfoque más apropiado. Sin embargo, muchos bancos parecen haber gravitado hacia enfoques que son relativamente económicos, fáciles de derrotar y que pueden no cumplir estrictamente con la guía, como obligar a los clientes a proporcionar periódicamente la respuesta a las «preguntas de seguridad» como requisito previo para iniciar sesión en sus cuentas en línea.
Desafortunadamente, como he documentado una y otra vez, los delincuentes informáticos organizados están venciendo estas soluciones con facilidad. Los expertos dicen que parte del problema es que pocas de estas soluciones pueden proteger a los clientes cuyos sistemas ya están infectados con software malicioso que roba contraseñas. Es más, pocos bancos han implementado tecnología en sus sistemas back-end para monitorear las transacciones de los clientes en busca de anomalías que puedan indicar actividad fraudulenta, de la misma manera que la industria de las tarjetas de crédito examina los datos en tiempo real y alerta al cliente si una transacción o conjunto de transacciones se desvían radicalmente de los hábitos de compra habituales de ese cliente.
El mes pasado, krebsonsecurity.com, entrevistó Roberto C. Drozdowskiespecialista sénior en tecnología de la Corporación Federal de Seguros de Depósito (FDIC). Drozdowski me dijo que los reguladores bancarios convocaron recientemente una serie de reuniones con bancos y proveedores de tecnología de seguridad para determinar si una orientación adicional ayudaría a los bancos a proteger mejor a sus clientes comerciales. Le pregunté sobre el estado actual de estas regulaciones y qué podríamos esperar de los reguladores bancarios en los próximos meses sobre este tema. Lo que sigue es una parte de esa discusión.
BK: Por lo que he podido recopilar, este es un tipo de fraude que a menudo no afecta directamente a los bancos y, por lo tanto, es posible que las instituciones no puedan documentar las pérdidas del fraude bancario en línea. ¿Tienen los reguladores bancarios una forma de medir cuánto pierden las empresas debido al fraude bancario en línea?
RD: Lo hacemos, pero esa no es una solicitud que podamos enviar de inmediato a los bancos. Si pensáramos que esta información sería valiosa, tendríamos que demostrar por qué la necesitamos y luego enviar una solicitud al [White House’s] Oficina de Administración y Presupuesto, diciendo que nos gustaría hacerle una encuesta a la industria. Y luego la OMB se pondría en contacto con nosotros para saber si eso estaría bien.
BK: Eso no suena como un gran obstáculo…
RD: De acuerdo, pero hay muchas otras cuestiones que están creando problemas reales para las instituciones financieras en el área de bienes raíces comerciales de las que tampoco tenemos información adecuada. Con el [losses to smaller companies through online banking fraud], estamos hablando de pérdidas de millones de dólares, mientras que las pérdidas de bienes raíces comerciales son de miles de millones. Las mayores pérdidas económicas para las instituciones financieras en bienes raíces comerciales están creando estragos, y ahí es donde está el enfoque principal ahora.
BK: Entonces, ¿está diciendo que si los bancos estuvieran experimentando más situaciones en las que perdieran dinero como resultado de esta epidemia de fraude bancario en línea perpetrado contra las empresas, entonces a los reguladores les importaría más?
RD: Es algo que aparece en nuestra pantalla de radar cuando los bancos comienzan a tener pérdidas, y no solo las empresas asociadas con esas entidades, esa es una observación justa. Pero en la medida en que esos [attacks] crear riesgos para los clientes bancarios, tenemos la obligación de involucrar a nuestras instituciones y desafiarlas para que lo hagan mejor.
Debo señalar que hay muchas cosas sucediendo detrás de escena. Hemos estado brindando información a nuestros examinadores bancarios que no es pública sobre estas amenazas, para pedirles que aumenten su diligencia debida al analizar las soluciones de autenticación que utilizan los bancos. También emitimos un manual de examen de pagos minoristas que [asks] qué están haciendo las instituciones para llegar a los clientes y asegurarse de que estén al tanto de los requisitos necesarios para realizar transacciones de seguridad en línea.
BK: Entonces, ¿no hay bancos que estén sufriendo financieramente como resultado de este tipo de fraude?
RD: Hay bancos que lo están sufriendo. Tenemos situaciones en las que los bancos comparten las pérdidas con sus clientes para evitar litigios y para preservar las relaciones comerciales. Hay pérdidas tangibles que podemos citar que nos hacen participar en esta área. Y existen algunos casos legales que pueden cambiar ese panorama significativamente si se determina que los bancos no están brindando el nivel de protección de conformidad con el estatuto.
BK: Está bien, pero no parece que los bancos realmente entiendan lo que significa ese estatuto. Como acaba de mencionar, hay algunas demandas en curso en este momento que, en última instancia, pueden determinar si los bancos están haciendo lo correcto.
RD: Verdadero. Esa barra está definida de manera bastante ambigua en este momento. Lo que es comercialmente razonable no está bien definido, y ahora mismo corresponde a la jurisprudencia determinarlo.
BK: Varios analistas me han dicho que parte del problema aquí es que muchos bancos comerciales han subcontratado efectivamente una gran parte de su visibilidad en las transferencias de dinero en línea a empresas de terceros, firmas como Digital Insight, Jack Henry, Fiserv y otras. Si bien estas entidades pueden ofrecer monitoreo de transacciones back-end y otras características de seguridad, no está claro en qué medida los bancos que confían en estas empresas están adoptando esas características, o incluso las están poniendo a disposición de los clientes comerciales como una opción. Tampoco es fácil para las empresas buscar el banco más seguro, porque los bancos no siempre revelan lo que están haciendo o no para asegurar las transacciones. ¿Qué están haciendo los reguladores en este sentido?
RD: Puedo decirles que nos hemos estado comunicando con todos los principales proveedores de servicios y los hemos tenido en los últimos meses para hablar sobre este problema y la idoneidad de la guía de autenticación que ahora tiene algunos años. Hemos estado discutiendo si deberíamos renovar esa guía. Y sabemos que tienen los productos disponibles y los están ofreciendo, pero también sabemos que no se han adoptado en todos los casos porque las instituciones no han sufrido las pérdidas para justificar los gastos involucrados.
BK: ¿De qué tipo de ofrendas estamos hablando?
RD: Todos ellos tienen diferentes niveles de seguridad que ofrecen. En la mayoría de los casos, se trata de ofertas estilo cafetería, y las instituciones las seleccionan o no en función de su tolerancia al riesgo. Dicho esto, debe reconocer que a medida que se reúna con estas personas y hable con ellas, tendrán un incentivo para vender más productos para que apoyemos una mayor autenticación, por lo que debemos caminar por una línea muy fina entre abordar un problema versus promocionar un servicio. Somos cautelosos a la hora de diseñar un escenario que les permita simplemente vender más productos, por lo que es una línea muy fina.
Hablé con el Better Business Bureau sobre esto, y algo que buscan hacer es crear conciencia para desafiar a su institución a brindarle un acceso más seguro si aún no lo están haciendo, y alentar a las empresas a pagar por esos servicios si están disponibles. Esperamos que la Administración de Pequeñas Empresas también se involucre en esto.
BK: Entonces, ¿los reguladores van a actualizar su guía?
RD: Hay un grupo de trabajo de todas las agencias FFIEC que está analizando la guía de autenticación. Pasamos por un proceso en los últimos meses en el que trajimos a muchos de los mayores proveedores de servicios, Jack Henrys, Digital Insights, esos tipos de jugadores. Tuvimos conversaciones abiertas con ellos, pero en reuniones extraoficiales a puerta cerrada con los reguladores bancarios. Luego trajimos a bancos individuales de todos los tamaños para hablar sobre los problemas. El proceso exploratorio acaba de concluir hace un par de semanas. Los diferentes reguladores bancarios ahora se están arremangando y preguntando ‘¿Qué aprendimos y qué queremos hacer a continuación?’
BK: pero que hace que significa, en términos prácticos, frente a la orientación actual sobre la banca en línea?
RD: Creo que existe una conciencia de que lo que podría haber sido una seguridad adecuada hace cuatro años cuando [a bank] El examinador ingresó y preguntó a las instituciones que lo que están haciendo con la autenticación dual no es adecuado o puede no serlo ahora. Hay un esfuerzo por ver si necesitamos o no actualizar la guía o publicar preguntas frecuentes para aclarar qué es adecuado o no, y tal vez dar algunos ejemplos ilustrados de lo que creemos que no es adecuado. Esperamos que podamos tener algo lanzado en unos meses que hable de eso. Así que ese es un esfuerzo que está en curso, y todos los reguladores bancarios están involucrados en él, y es absolutamente una prioridad para los reguladores en este momento.
Relacionado:
Proyecto de ley daría a ciudades, pueblos y escuelas las mismas garantías de seguridad de banca electrónica que los consumidores – Krebs on Security
Novelas de género: reglas de conteo de palabras, subgéneros y pautas para publicar su libro
