Principales riesgos tecnológico/legales en las operaciones bancarias digitales

Por: Rodolfo Ramírez, gerente de Corporativo e Internacional

«La única constante es el cambio», Heráclito.

Como es bien sabido, en términos muy generales podemos hablar de las operaciones bancarias como las actividades internas generadas por los bancos para la prestación de sus servicios, en una acepción más popular, podemos entenderla como vinculada a las relaciones comerciales que éstas entidades tienen respecto de sus clientes, es evidente que parte indispensable de la estrategia comercial de la banca comercial es abarcar con sus servicios, sectores cada vez más grandes de la población y para ello, es necesario tener presentes dos factores: la eficiencia operativa y el cambio generacional y, curiosamente, ambos pueden ser atacados simultáneamente: por medio del uso de la tecnología.

Sostenemos lo anterior, debido a que los procesos de automatización que permite el internet y la Inteligencia Artificial cada vez dan más espacio a muchos más servicios y en menor tiempo que por medios analógicos, además, son cada vez más personas jóvenes – nativos digitales – quienes se van incorporando a la vida laboral y quienes por sus características culturales prefieren el uso de sistemas remotos para el consumo de servicios bancarios.

Lo anterior, si bien representa una gran oportunidad, no significa que este exento de riesgos, del mismo modo en que las falsificaciones amenazaron las operaciones por medios analógicos, los medios digitales también se exponen a los riesgos originados por la cibercriminalidad, esta a su vez, se puede desglosar en distintos riesgos concretos así: Phishing, spear phishing y fraude de ingeniería social (Consisten en ataques que manipulan al usuario por medio de correos o SMS masivos pero falsos, ataques a personas específicas, llamada telefónicas fraudulentas por personas inescrupulosas o por medio del uso de la IA para la suplantación de voces), malware bancario y troyanos financieros (es decir, software malicioso diseñado para capturar pulsaciones en los teclados, interceptar transacciones o modificar operaciones en tiempo real), compromiso de credenciales y ataques de fuerza bruta (consistentes en bases de datos filtradas, reutilización de contraseñas y ataques automatizados), fraude en pagos electrónicos y transferencias inmediatas (riesgos acontecidos por medio de transferencias instantáneas no revisables, órdenes falsificadas vía apps móviles y suplantación de beneficiarios, entre otros), ataques a canales móviles y banca digital (esto incluye la manipulación de aplicaciones bancarias, la alteración del conjunto de herramientas y librerías que una app usa para funcionar con el propósito de que estas roben datos, intercepten transacciones, envíen información a servidores del atacante o ejecuten códigos maliciosos dentro de la app, la perdida de control del dispositivo ya sea por que se rompen las restricciones del sistema o por que un tercero no autorizado obtiene las funciones de administrador, así como los casos en los que una aplicación maliciosa se interpone visualmente sobre una aplicación legítima, sorprendiendo la buena fe del usuario), ransomware y ataques a infraestructura crítica (es decir, el secuestro de sistemas bancarios mediante cifrado, con exigencias de pagos o amenazas de filtración de datos), amenazas internas (es decir, la actuación maliciosa o negligente del personal y terceros no autorizados con accesos privilegiados), fraudes asistidos por inteligencia artificial (lo cual incluye los fraudes por imitación de voz o video, el uso de bots inteligentes o la suplantación de ejecutivos de las organizaciones bancarias),y ataques de denegación de servicio (consisten en ataques que buscan interrumpir servicios u ocultar fraudes simultáneos), entre otros.

Como es de esperarse, en su oportunidad la reacción estatal se produjo por medio de la creación de cuerpos normativos para la represión de ese tipo de actividad, sin embargo, todos estos riesgos y otros que se irán desarrollando con el tiempo, demandan un ejercicio de largo aliento en cuanto a su conocimiento y su prevención, pues considero que está última será una herramienta de mayor eficacia en su mitigación.

Nota: Este artículo ha sido desarrollado con el apoyo de la IA y revisado por un editor.