Por Rodrigo E. Bionda (*)

Especial para El Tiempo

Casi imperceptiblemente hemos transitado de la sociedad de clases hacia la sociedad del riesgo; del paradigma de la igualdad de oportunidades a un contraproyecto normativo distinto que se encuentra en su base y estimula el nuevo modelo: la seguridad. El sistema axiológico de la sociedad desigual ha sido reemplazado por el de la sociedad insegura y con ello mutaron los innumerables fines positivos del primero hacia un puñado de fines negativos y defensivos propios del segundo sistema. Es que ya no se trata de alcanzar algo bueno -la igualdad-, sino sólo de evitar lo peor.

De allí que no resulte extraño que muy recientemente el Banco Central de la República Argentina haya dado un notable salto de calidad en las normas de ciberseguridad que deben ser observadas por las entidades financieras en lo sucesivo, ya que el 10 de marzo pasado publicó la Comunicación "A" 7724 sobre los "Requisitos mínimos para la gestión y control de los riesgos de tecnología y seguridad de la información", que modifica la regulación anterior y el paradigma en torno al cual orbitaba todo el sistema de protección.

Adoptando una mirada centrada en minimizar incidentes, sienta las bases para obligar a las entidades financieras a implementar un sistema de control interno e integral de los riesgos que la tecnología genera en el desarrollo de los objetivos empresariales, adoptando mecanismos para la gestión de ellos y su mitigación, fijando como norte el tránsito hacia la ciberresiliencia ante el acaecimiento de incidentes digitales o brechas de información.

¿Qué ciberincidentes deberán ser prevenidos por los bancos? En una densa y extensa normativa, el Banco Central hace foco en los distintos recaudos que deberán llevar a cabo los bancos para asegurar la identificación, evaluación, seguimiento, control y prevención de los ciberincidentes digitales o brechas de información. La Máxima Autoridad Bancaria del país considera que un ciberincidente es aquél suceso de tecnología y seguridad que pone en peligro la ciberseguridad de un sistema de información o la información que el sistema procesa, almacena o transmite; mientras que -con una mirada claramente anticipatoria- el Banco Central hace foco en los recaudos que deberán adoptar los bancos para prevenir los llamados ciberincidentes o brechas de información.

Ampliando dicho concepto, el Banco Central también considera como ciberincidente el que infringe las políticas de seguridad, los procedimientos de seguridad o las políticas de uso aceptable, sea o no producto de una actividad maliciosa.

Los medios masivos de comunicación informan a diario la ola de ataques de tipo ingeniería social, phishing, vishing y otros de similares características, que se han multiplicado durante la sindemia que aún transitamos y coexisten con otros incidentes informáticos, que persisten hasta el día de hoy; razón por la cual, insiste sobre otro pilar fundamental: la educación de clientes y usuarios.

Educación y prevención

En la reciente regulación, Banco Central insiste en exigir a las entidades financieras programas de capacitación y concientización continuos en materia de seguridad de la información, dirigido a clientes y usuarios, contemplando los riesgos del uso de la tecnología y los aspectos relacionados con la gestión de ciberincidentes; debiendo incorporar las lecciones aprendidas en ciberincidentes previos, o a través de pruebas y ejercicios, así como la publicación actualizada de información de seguridad para los clientes y usuarios de servicios financieros.

La novedosa Comunicación "A" 7724 establece una serie de pautas que obligan a las entidades financieras a llevar a cabo una planificación estratégica en ciberseguridad e impone adoptar estándares mínimos de ciberprotección, imponiendo a los Bancos de la República Argentina implementar diferentes factores de seguridad digital en la vinculación habida con sus usuarios y clientes.

Facsímil de la Comunicación "A" 7724 del Banco Central de la República Argentina. "Ante la apertura de una brecha por la que se drene información o el acaecimiento de un ciberincidente, los bancos deberán realizar un registro del seguimiento de las actividades hasta la identificación de la causa raíz del acontecimiento, a fin de asegurar su resolución y evitar su recurrencia", señala el juez Bionda en su análisis.

Las entidades deberán establecer procedimientos para permitir la implementación, revisión periódica y actualización de las reglas de control de acceso a los dispositivos de red, que aseguren que las mismas se mantienen actualizadas. El establecimiento de controles que permitan detectar y evitar la conexión de dispositivos no autorizados en las redes. La gestión e implementación de métodos de autenticación en los servicios de intercambio de información con terceras partes. Así como, la implementación de medidas para la seguridad de las conexiones de acceso remoto, los dispositivos habilitados y la información accedida o utilizada.

Ante la eventualidad de recurrir al método de secreto memorizado, las entidades deberán establecer requisitos mínimos y controles que incluyan una longitud mínima y reglas de composición acorde con los riesgos específico del servicio; permitir la concatenación de varias palabras para crear secretos largos. Deben limitar el uso de datos del usuario o de su contexto que sean fácilmente adivinables -como nombres o fechas-, restringir la reutilización de secretos previamente empleados por el usuario y brindar funcionalidad que permita la sustitución cuando existe sospecha de que han sido comprometidos.

Otros aspectos

De igual modo, deberán definir el tiempo de vigencia y expiración de claves, revocar las contraseñas de más de un año de antigüedad, limitar el número máximo de intentos fallidos de autenticación y establecer un mecanismo de conteo y bloqueo tras alcanzar el máximo. A partir de su entrada en vigencia deberán procurar utilizar un canal protegido en el proceso de verificación, establecer medidas para la seguridad de los secretos almacenados que reduzcan el riesgo de ataques fuera de línea, incluyendo el uso de algoritmos de hash o cifrado. Establecer controles que limiten la utilización de secretos fácilmente deducibles, ampliamente utilizados o previamente comprometidos.

De recurrirse a la autenticación fuera de banda, las entidades deberán considerar la implementación de un canal de comunicación distinto y cifrado para el envío de mensajes de autenticación; la utilización de métodos que prueben la posesión y el control sobre el dispositivo y -finalmente- restringir la autenticación fuera de banda mediante SMS por las razones que hemos explicado en otro oportunidad en este mismo medio, acorde a los riesgos asociados y requiriendo la aplicación de controles complementarios.

De recurrir a la utilización de generación de claves de un solo uso (OTP), que también ya hemos explicado en qué consisten; su empleo requiere de la implementación de medidas de protección fuertes sobre las claves conservadas por la entidad y el uso de algoritmos criptográficos seguros para generar, intercambiar u obtener los datos en la asociación del dispositivo con la cuenta del usuario.

Mecanismos de seguridad

Si bien las entidades financieras en su interacción con el usuario pueden recurrir a múltiples mecanismos de seguridad, veamos cuáles son los recaudos mínimos en relación a cada uno de ellos que exigirá Banco Central:

1. Doble autenticación: A partir de su entrada en vigencia, las entidades financieras deberán definir modelos de accesos para los usuarios que contemplen como mínimo un doble factor de autenticación -que ya hemos explicado en qué consisten en otra colaboración con este medio- del comportamiento en el uso de servicios y distintas fuentes de información que permitan validar su identidad.

Las entidades deberán evaluar la utilización de autenticación multifactor para el acceso a los activos de información de acuerdo con su clasificación y la gestión de amenazas y vulnerabilidades; evaluando la robustez del método en conjunto con la utilización y la eficiencia; debiendo utilizar al menos dos factores de distinta categoría o un autenticador multifactor que reúna los siguientes recaudos: el acceso al generador deberá requerir un factor de autenticación del tipo secreto memorizado o datos biométricos; cuando se utilice un secreto memorizado para el acceso, éste deberá tener al menos 6 caracteres y deberán limitarse los intentos fallidos.

2. Protección de integridad: Además las entidades financieras deberán adoptar medidas de protección que aseguren la integridad y confidencialidad de los factores de autenticación al cliente y que reduzcan el riesgo de ataques, con la utilización de métodos que prueben la posesión y el pleno control sobre el dispositivo por parte del usuario.

3. Datos biométricos: A partir de la entrada en vigencia de la norma, los bancos deberán evaluar y mitigar los riesgos sobre las propias limitaciones del método, la tasa de falsos positivos, las posibles vulnerabilidades en los dispositivos y sistemas utilizados para la captura y validación de las credenciales y el impacto en la privacidad de los usuarios.

4. Eventos de seguridad: Las entidades financieras deberán adoptar un proceso para el registro y el análisis de la información vinculada con eventos de seguridad de los sistemas, las redes y la infraestructura tecnológica. De igual modo, deberán revisar los perfiles de comportamiento de los usuarios que permitan identificar sus actividades habituales, como también identificar patrones de actividad sospechosa o inusual de sus clientes con el objeto de emitir las alertas que permitan neutralizar la comisión de un ciberincidente o brecha de información.

Gestión de los ciberincidentes

Ante la apertura de una brecha por la que se drene información o el acaecimiento de un ciberincidente, los bancos deberán realizar un registro del seguimiento de las actividades hasta la identificación de la causa raíz del acontecimiento, a fin de asegurar su resolución y evitar su recurrencia.

Aun cuando el origen no se encuentre bajo control de la entidad financiera, también deberán tomar acciones para gestionar su seguimiento, debiendo analizar la información asentada para prevenir nuevos ciberincidentes o para la investigación de las causas raíz de aquel que se haya registrado.

Cajeros y homebanking

Las nuevas modalidades en las operatorias bancarias, a través de retiros de dinero en cajeros automáticos, pagos por transferencia o mediante homebanking, o a través de posnet con tarjetas de crédito y de débito, demostraron la debilidad del sistema; es por ello, que la normativa expedida por Banco Central luego de definir como canales electrónicos a cajeros automáticos, terminales de autoservicio, banca móvil, banca telefónica, banda por internet y plataforma de pagos móviles; impone a las entidades financieras contar con equipos de trabajo especializado en la gestión de incidentes de seguridad de todos los canales electrónicos de su dominio.

Ocaso

Una crítica que se le podría formular a la regulación, finca en que hubiera sido esperable que se aprovechase la oportunidad para regular la obligación de informar a los usuarios y no sólo al Banco Central, en el caso de existir ciberincidencias, robo de datos o brechas de información.

Es destacable la decisión de gestar la Ciberresiliencia y efectuar una análisis de impacto del negocio (BIA); debiendo las entidades establecer y mantener un registro completo de sus ciberincidentes que permita la identificación, la trazabilidad y resguardo de la evidencia de las acciones tomadas hasta su cierre, estableciendo "un punto de contacto" permanente para reportar ciberincidentes para los empleados, terceras partes y público en general, a fin de mitigar el impacto de manera oportuna.

La Comunicación "A" 7724 entrará en vigor dentro de 180 días, con el fin de permitir una revisión de los procesos para ajustarse a este nuevo abordaje regulatorio y comenzará la fase más importante de todo cuerpo normativo que se condensa detrás del siguiente interrogante: ¿Qué es lo que vamos a hacer con él?

Será el momento de ser creativos, dejar de correr detrás de la realidad y comenzar a resolver autobiográficamente contradicciones sistémicas, usando una de las armas más potentes con las que contamos: la imaginación. Porque al final de cuentas, como lo avizoro Lewis Carroll en "Alicia en el País de las Maravillas": "La imaginación es la única arma en la guerra contra la realidad".

(*) Juez en lo Civil y Comercial de la Provincia de Buenos Aires. Docente de Grado y Posgrado en Universidades y Organismos Nacionales y Extranjeros. Investigador. Autor de obras individuales y coautor en obras colectivas. Miembro admitido por la Asamblea General de Naciones Unidas del Comité Ad Hoc para la elaboración de una Convención Internacional sobre la Lucha contra el Uso de las Tecnologías de la Información y de las Comunicaciones con Fines Delictivos de la ONU. Profesor invitado en las universidades Santa Marta La Antigua de Panamá, en la Escuela Judicial "Rodrigo Lara Bonilla" de Colombia, en el I.N.S.J.U.P. del Órgano Judicial de Panamá, en el Superior Tribunal de Cali en Colombia, en el Rotary de Guadalajara, México. Especialista convocado por las Comisiones de Derechos y Garantías y de Justicia y de Asuntos Penales del Honorable Senado de la Nación. Gerenciador, tutor y consultor en más de treinta organismos jurisdiccionales. Miembro de Red Internacional de Justicia Abierta.