Cómo BBVA diferenció su banca digital en México con tecnología de seguridad de última generación
Omar Bolaños & Roberto López Castillo, CIB BBVA México & OneSpan, cómo BBVA tiene seguridad de última generación en México.
Aunque la ciberseguridad siempre ha sido un área de la más alta prioridad para las instituciones financieras, BBVA ve esta responsabilidad como una oportunidad para diferenciarse. Durante la pandemia de COVID, la importancia de mantener seguras las cuentas de sus clientes incrementó con la llegada de nuevos usuarios no acostumbrados al canal, llamando la atención de cibercriminales preparados para explotar cualquier debilidad.
Reconociendo que su reputación como banco digital líder depende de poder mantener seguras las cuentas de sus clientes, BBVA se alió a su socio de confianza en materia de ciberseguridad, OneSpan, con quien han tenido un gran éxito en alejar a sus clientes corporativos de los atacantes utilizando tecnología de última generación. Aquí hablamos acerca de la ingeniería social y cómo BBVA se adaptó a los nuevos retos de la ciberseguridad con Omar Bolaños, Vicepresidente de Cash Management en CIB BBVA México y Roberto López Castillo, Regional Sales Manager de OneSpan.
Omar Bolaños, Vicepresidente de Cash Management en CIB BBVA México
En términos tecnológicos, ¿cómo se ha diferenciado BBVA de las otras bancas electrónicas que existen en el mercado mexicano?
Como banco no solo nos hemos caracterizado por ser un banco digital, sino también por ser un banco seguro. Dentro de las principales diferencias que tenemos es que utilizamos tokens que encriptan no solo los dispositivos que usan nuestros clientes corporativos, sino también el token único para cada una de sus transacciones.
Nuestros dispositivos son de fácil uso, móviles y prácticos. La tokenización que mencioné anteriormente, junto con la segregación de funciones, apoyada por la configuración de perfiles que el tesorero o el administrador de la banca brinda, pone a nuestra banca electrónica en un siguiente nivel.
¿Cuáles fueron los principales drivers para hacer una migración a sus actuales tokens de última generación?
Una parte muy importante fue nuestro ímpetu por seguir innovando y seguir invirtiendo en tecnología de última generación. Un segundo componente muy importante es que es muy atractiva la función que lanzamos: “lo que ves es lo que firmas”, pues te permite tener interacción y una validación al mismo tiempo de lo que está viendo nuestro cliente en pantalla en la banca electrónica versus el dispositivo.
Aunado al maker-checker que ya existe dentro de los procesos de corporativo, esto te permite ver realmente qué es lo que está pasando, lo cual hace que los clientes estén más protegidos, y lo sientan.
La migración de tecnologías normalmente supone una curva de aprendizaje para los clientes corporativos. ¿Cómo enfrentaron este reto?
La banca corporativa tiene procesos, necesidades, y políticas de seguridad muy robustas. A pesar de esto, el proceso fue muy sencillo. Les explicamos que los dispositivos de nueva generación son una solución móvil muy robusta, fácil de instalar y configurar. Que no solo tokeniza sus transacciones, sino que protege sus dispositivos. Teniendo estas pláticas, la verdad es que fue bastante sencillo.
Roberto López Castillo, Regional Sales Manager, OneSpan
¿Cuáles son las formas más comunes de ingeniería social?
Para mencionar algunas, está el phishing, en el que nos llevan (normalmente a través de un correo electrónico) a un sitio falso donde piden nuestros códigos de acceso. Una variante es el spear phishing, en el que el ataque está hecho para nosotros o para un grupo de personas en específico que cumplen con cierto perfil. Quizás ya tengan información, como algún dato personal que hayamos publicado en redes sociales. También está el vishing, que se hace a través de llamadas telefónicas en las que nos dan excelente atención y nos piden que completemos información que ya tienen sobre nosotros. También están el pretexting, el baiting, el tailgating y el quid pro quo.
Si somos víctimas de estos ataques, como consecuencia veremos en nuestra cuenta una serie de operaciones autenticadas– pues tienen los perfiles, información y contraseñas correctas- pero fraudulentas, pues no estaremos realizándolas nosotros.
¿Qué elementos principales son los que se deben considerar para estar protegidos ante estos ataques?
Típicamente, cuando obtienen nuestras credenciales a través de la ingeniería social, no hay un contexto para el usuario, porque nosotros no sabemos en donde se están utilizando nuestros accesos, y las instituciones no tienen un control con los mecanismos de autenticación de primera generación.
Por ende, necesitamos incorporar tres elementos. El primero es mitigar todos aquellos accesos que hacen a nuestro nombre sin que nosotros estemos ahí, el llamado account takeover.
El segundo elemento es tener un dispositivo de confianza que sirva, tanto para las instituciones como nosotros, para tener un punto de control de seguridad más sin sacrificar la experiencia de usuario.
Finalmente, el tercer elemento es asociar información, es decir, darle al usuario la oportunidad de confirmar una segunda vez, por ejemplo, los montos, la cuenta destinatario, o la hora durante el proceso de autenticación, para darle un contexto a la operación.
Para aprender más sobre el desafío de la ingeniería social, descarga este ebook: Ataques de ingeniería social en las transacciones bancarias.
