Economia
“El Intrincado Mundo de la Verificación Financiera: ¿Qué Sucede Cuando los Sistemas Fallan?”
En Colombia, las organizaciones financieras y de telecomunicaciones ponen en marcha estrategias de verificación para asegurar la salvaguarda de los datos personales de sus usuarios.
Según lo que la Superintendencia Financiera de Colombia (SFC) compartió con EL TIEMPO, a pesar de que la entidad “ofrece directrices sobre cómo las entidades supervisadas deben cumplir con las normativas de ciberseguridad”, cada una aplica las herramientas correspondientes de manera independiente y no hay una norma que les exija usar mecanismos específicos.
¿Qué ocurre si hay un fallo en el proceso de verificación en los trámites financieros y servicios de telecomunicaciones? Esto es lo que debe conocer, según los especialistas.
¿Cuál es la función de los mecanismos de verificación?
El propósito principal de la autenticación consiste en reconocer y confirmar que la persona realmente es quien afirma ser, además de constituir un paso esencial para la ciberseguridad; evitando así la filtración de información sensible, suplantaciones y robos de datos.
Regulaciones como la Ley 1581 de 2012, el Decreto 1377 de 2013 y la Ley 1273 de 2009 respaldan, definen y establecen la gestión, la obtención y el tratamiento de datos personales, así como la tipificación de delitos cibernéticos y las estrategias de protección y prevención contra ataques cibernéticos.
Cada empresa determina cuáles serán las medidas de seguridad que adoptará para sus trámites. Foto:iStock
Dentro de los mecanismos más comunes se encuentran:
- Autenticación en dos pasos: contraseñas, tokens, códigos, claves dinámicas u OTP (Contraseña de un solo uso) que pueden enviarse a través de SMS o una aplicación de autenticación.
- Preguntas de seguridad: incluyen información personal que el titular de la cuenta o servicio debería saber, como su fecha de nacimiento, su primer vehículo o el nombre de su mascota.
- Verificación mediante la cédula de ciudadanía: para procesos en oficinas presenciales o escaneo del documento a partir de una imagen.
- Firma digital: herramienta con validez legal utilizada para verificar que el usuario es quien está realizando la transacción. Las entidades se fundamentan en la criptografía de la firma para asegurar su autenticidad.
- Verificación a través de videollamada o presencia física: para trámites de alta seguridad o situaciones excepcionales como el cambio de titularidad de algún servicio.
- Biometría: reconocimiento facial, escaneo del iris o de huellas dactilares. Utilizando las cámaras de dispositivos móviles, mediante características físicas como la distancia entre los ojos, la forma de la nariz y los patrones de las líneas de expresión, esta tecnología logra validar la identidad de la persona.
La autenticación del usuario permite resguardar la información sensible y datos de los clientes. Imagen:iStock
Asimismo, la organización destacó que “la biometría, junto a otros métodos de validación, ha demostrado ser extremadamente eficiente. Gracias a su implementación, se ha conseguido reducir hasta un 98 % los incidentes de suplantación”.
¿Qué sucede si un mecanismo de validación falla?
Si durante un proceso o una solicitud la persona no logra responder correctamente alguna pregunta, excede el número de intentos permitidos o experimenta inconvenientes técnicos o humanos en alguna herramienta de seguridad, el procedimiento habitual dependerá de las normas de cada entidad.
En ciertos casos, como en el ámbito de las telecomunicaciones, la solicitud podría quedar inactiva por 24 horas después de errar en los tres intentos disponibles. Después de este periodo, el individuo podrá tener una nueva oportunidad.
En otras circunstancias, lo más probable es que se rechace el servicio o producto al no lograrse validar con éxito la identidad del solicitante, según lo expresó la SFC. En este contexto, el cliente será redirigido a otros canales de atención para solicitar el desbloqueo.
De acuerdo a especialistas, algunas de estas herramientas pueden combinarse según el nivel de riesgo del trámite. Imagen:iStock
¿Qué hacer si se falla en un método de validación?
En varias ocasiones, estas medidas pueden presentar deficiencias tecnológicas o humanas que afectan la efectividad del trámite; provocando demoras y experiencias de usuario desagradables.
Las preguntas de seguridad, la autenticación de dos factores y la biometría son las más comúnmente empleadas y aquellas que pueden presentar más problemas durante un trámite.
Algunos inconvenientes que podrían ocurrir son:
- Ingreso incorrecto de algún número del PIN, código u OTP (Contraseña de un solo uso).
- Retardo en el envío del PIN, código u OTP.
- Condiciones ambientales para biometría facial (iluminación, calidad de la cámara, enfoque, ángulo, distancia o ruido).
- Dificultades técnicas en el dispositivo.
- Alteraciones físicas en las huellas dactilares (dedos húmedos, heridos o sucios).
- Olvido de las respuestas de las preguntas de seguridad.
Algunas medidas pueden tener fallas humanas o tecnológicas que pueden demorar el trámite. Imagen:iStock
En el caso de las entidades financieras, de acuerdo a Asobancaria, si una persona comete un error en la biometría o en las preguntas de seguridad, “normalmente se le brindan opciones adicionales como el envío de códigos temporales (OTP) a dispositivos previamente registrados, la validación a través de correos electrónicos vinculados, o incluso la posibilidad de realizar una verificación presencial en una sucursal”.
El grupo también precisó que “en situaciones más complejas, las instituciones pueden solicitar documentos adicionales o llevar a cabo procedimientos manuales de validación, como entrevistas telefónicas que incluyen preguntas específicas relacionadas con la cuenta del cliente”.
¿Qué métodos de verificación utilizan los servicios de telecomunicaciones?
Los servicios de telecomunicaciones emplean diversas opciones de verificación en caso de que alguna presente problemas.
con el usuario o sean más pertinentes para el tipo de trámite.
Por ejemplo, para la contratación de planes de gran capacidad o la inclusión de nuevos usuarios en su sistema de gestión, se emplean las preguntas de autenticación; mientras que para trámites menores se utilizan códigos de seguridad enviados al correo electrónico o mediante SMS al titular.
Por esta razón, según los especialistas, es fundamental revisar las políticas y estrategias de protección de datos de las empresas para conocer qué métodos de verificación tienen a disposición de sus clientes y cuáles pueden ser considerados ‘planes alternativos’ en caso de que el principal falle.
Un claro ejemplo de ello sería que, si pierde su dispositivo móvil, tenga habilitados sus correos en otros aparatos para poder acceder a métodos de seguridad, y así continuar completando el protocolo de verificación utilizando herramientas como la autenticación de dos factores o incluso acudir de forma presencial a las oficinas y sucursales de la empresa para ser asistido por un profesional.
La autenticación puede emplearse para la incorporación de nuevos clientes y la cancelación de planes. Foto:iStock
Para prevenir este tipo de inconvenientes y problemas en la verificación del usuario, los expertos de Asobancaria aconselham que:
- Realización de campañas de concienciación sobre ciberseguridad.
- No compartir los códigos de verificación.
- Verificar enlaces y correos electrónicos sospechosos para evitar fraudes.
- Cifrado de información y datos personales.
- Implementación de cortafuegos (software y hardware para prevenir actividades maliciosas).
- Adopción de NIST (Instituto Nacional de Estándares y Tecnología).
¿En qué situaciones se aplica la verificación de usuario?
Normalmente, estas herramientas son necesarias para la entrada de datos de un nuevo cliente, la solicitud o aprobación de un producto, la cancelación o reconexión de algún servicio y el restablecimiento de contraseñas.
En este proceso, se utiliza información previa proporcionada por el cliente sobre su situación crediticia o personal, tales como fechas de nacimiento, tarjetas de crédito utilizadas, datos sensibles y otros más.
La Oficina Asesora Jurídica de la Superintendencia de Industria y Comercio (SIC), la entidad encargada de garantizar la normativa en materia de protección de datos personales y su adecuado tratamiento, mencionó que quienes son responsables del tratamiento deben considerar el principio de seguridad establecido en el artículo 4°.
La SIC señala que estas personas deben implementar medidas técnicas, humanas y administrativas necesarias para garantizar la seguridad de los registros, evitando su manipulación, pérdida, consulta, uso o acceso no autorizado o fraudulento (…)”.
La SIC se ocupa de asegurar la seguridad y protección de los datos personales. Foto:Archivo particular
De ahí que se requieran la autenticación y verificación del usuario para confirmar la identidad del solicitante en cualquier tipo de trámite.
La autenticación es un proceso fundamental para la protección de datos personales y la verificación de identidad. Foto:iStock
REDACCIÓN ÚLTIMAS NOTICIAS
MARÍA JULIANA CRUZ MARROQUÍN
