Este contenido es exclusivo para nuestros suscriptores.
Por Lucas Elmallián
La idea del criminal con pasamontañas y arma en mano ha empezado a mutar a una simple persona con una computadora, debido a la digitalización. En un contexto en donde los fraudes a los usuarios del sistema financiero y los ciberataques a las organizaciones cada vez cobran más relevancia, organismos públicos e instituciones privadas dieron el puntapié inicial para trabajar en el marco rector en ciberseguridad para el sistema de pagos.
En el marco del Plan de Gobierno Digital 2025 y en línea con la Hoja de Ruta del Sistema de Pagos 2023-2025, el Banco Central (BCU) y la Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (Agesic), eligieron para desarrollar el marco regulatorio a las Instituciones Emisoras de Dinero Electrónico (IEDE). De ellas seleccionaron cuatro para comenzar a participar en las mesas de trabajo: Paganza, Prex, Midinero y OCA Blue.
Si bien las IEDE participantes están aún a la espera de un cuestionario para avanzar el desarrollo de este proyecto, algunas de ellas ya saben ciertos puntos a los que se deben apuntar.
Al ser consultados por El País sobre las propuestas que iban a presentar en la mesa de trabajo, Prex prefirió no hacer comentarios. En tanto, desde Paganza dijeron estar a la espera para poder comenzar a trabajar en las propuestas.
Por su parte, el gerente de seguridad de la información de Midinero/Redpagos, Ignacio Lagomarsino, explicó a El País que en Uruguay se han dado “grandes y firmes pasos en el rumbo correcto en algunos sectores relevantes, en particular el financiero”.
En este sentido, señaló que aunque aún queda un “largo camino por recorrer” en materia de ciberseguridad, tanto para el sistema financiero como la sociedad en general, pero que “no somos un desastre ni mucho menos”.
No obstante, una de las problemáticas que preocupa, según Lagomarsino, es el “alto grado de sofisticación que están denotando los ataques que se han visto en Uruguay en los últimos años”.
“Se puede ver el alto nivel de especialización y profesionalismo que tienen los atacantes, y no cabe duda de que en muchos casos estamos enfrentándonos a crimen organizado”, sostuvo.
Este alto grado de sofisticación no solo representa un desafío para las organizaciones, sino también para los usuarios finales, quienes son, en la mayoría de los casos, el “eslabón más débil en la cadena de valor de la seguridad” y por esto se convierten cada vez más en el objetivo primario de los criminales, agregó.
Por otro lado, en la comunidad de seguridad aún están “lidiando con problemas endémicos”, como los usuarios que entran en links o descargan documentos que reciben por correo electrónico, siendo este último la principal vía en la que los hackers realizan sus ataques.
En esta línea, desde OCA Blue señalaron que la primera línea defensa ante posibles ciberataques no se encuentra en la propia institución, sino que esta reside en el cliente, ya que si este brinda sus accesos ante el engaño de un defraudador de nada sirven las barreras que la institución pueda establecer para detenerlo.
Por este motivo, una de las propuestas que plantean proponer en la mesa de trabajo, desde OCA Blue, es incentivar la educación en ciberseguridad a los clientes para que estén mejor preparados a la hora de enfrentarse ante un posible intento de ciberataque.
En tanto, desde Midinero señalaron como “fundamental” que el trabajo colaborativo en el sector sea visto como “prioritario”, particularmente en lo referido a respuesta y prevención.
“Muchos aspectos pueden mejorar si generamos sinergia entre todos los actores del sector, solo por mencionar uno, la concientización en ciberseguridad es uno de los temas en los cuales todos estamos trabajando por separado y tanto instituciones financieras como usuarios finales pueden verse beneficiados del trabajo en conjunto”, afirmó Lagomarsino.
“Lograr un marco normativo que nos permita establecer eficientes y eficaces ámbitos de cooperación interinstitucional es otra de las piedras angulares para desalentar el fraude en Uruguay”, agregó.
Asimismo, una de las trabas que se han señalado desde el sector financiero, es la propia regulación. Esta impide la agilidad requerida para dar una pronta respuesta a determinados incidentes de fraude.
Según explicó Lagomarsino, la regulación existente “está justamente para proteger a los usuarios del sistema financiero, sin embargo, al menos en este caso, pareciera que eso mismo que nos protege, por otro lado nos deja vulnerables”. En este sentido, agregó que una regulación que se “flexibilice en el intercambio de información vinculada al fraude, y habilite a las instituciones financieras a realizar determinadas acciones temporales y preventivas, puede ayudar mucho a proteger a los usuarios”, afirmó.
Por otra parte, desde OCA Blue, además de concordar en la necesidad de una mayor cooperación interinstitucional, otra posible propuesta es la conformación de una “blacklist” (lista negra) común, donde se cuente con la información de aquellos clientes o cuentas que han participado en fraudes, para contar con una mayor cautela a la hora de tratarlos o decidir si trabajar con ellos.
La innovación que traerá desafíos en el sistema de pagos
Una de las innovaciones en las que trabaja el BCU es la de los pagos instantáneos, los cuales desde el sector financiero entienden que se requiere trabajar para evitar fraudes a los clientes, debido a la velocidad que propone este nuevo sistema. Según Lagomarsino, desde el punto de vista de ciberseguridad “no pareciera haber un aumento significativo del riesgo”, pero desde la perspectiva del fraude, “que determinados movimientos ocurran más rápido puede representar, en algunos casos, un desafío adicional” para las organizaciones.
“Un detalle que no debemos pasar por alto es que dentro de una misma institución financiera todos los movimientos son instantáneos y todas las instituciones ya lidiamos con esas situaciones”, afirmó.
Sin embargo, destacó que los atacantes cruzan el dinero de una institución a otra porque saben que desde el punto de vista normativo, están impedidos de tomar determinadas acciones de forma inmediata, para rastrearlos o impedir sus actividades.
“Con esto no quiero decir que la normativa esté mal, de hecho está diseñada para protegernos a todos, pero para el caso particular del fraude digital quizás debiera adaptarse un poco. Un marco normativo que permita a las instituciones financieras en determinadas circunstancias y con las garantías pertinentes, compartir información de fraude en tiempo real y tomar acciones sobre ciertos movimientos sospechosos, puede ayudar mucho para desalentar el fraude”, afirmó.
En tanto, desde OCA Blue destacaron que se deberá identificar aún mejor al cliente genuino del fraudulento, por ejemplo con un perfil de actividad del cliente. En esta línea, explicaron que se debe trabajar en la detección de posibles “desvíos”en el comportamiento del cliente para la detección de fraudes. Por ejemplo, si utiliza una aplicación para realizar pagos a determinada hora, pero se detecta una operación desde otra aplicación móvil o en una hora atípica, se pueda frenar la transferencia instantánea.
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
de modo que se deslice hacia la izquierda.
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
. Se pondrá en gris, lo que indica que ya no se bloquearán los anuncios de ese sitio web.
.