El día lunes 23 de agosto, el Comité de Normas del Banco Central de Reserva (BCR) emitió las “Normas Técnicas temporales sobre medidas de ciberseguridad e identificación de los clientes en canales digitales” las cuales buscan otorgar lineamientos a las instituciones financieras del país para fortalecer sus sistemas de seguridad frente a la reciente alza de ataques cibernéticos contra la banca. Estas prácticas ilícitas han generado preocupación a nivel general, a raíz de lo anterior, ha surgido la necesidad de redoblar los esfuerzos en materia de ciberseguridad y así garantizar la calidad de los diferentes productos y servicios que ofrecen estas instituciones a los consumidores.
Dicha norma cuenta con una vigencia de 180 días a partir de su emisión; dentro de las exigencias que regula la norma se encuentra que los bancos nacionales y sucursales extranjeras constituidas en El Salvador, las sociedades de ahorro y crédito, los bancos cooperativos y las federaciones constituidas bajo la Ley de Bancos Cooperativos y Sociedades de Ahorro y Crédito, como sujetos obligados, deberán presentar en el plazo de cinco días hábiles posteriores a la entrada en vigencia las modificaciones al plan presentado previamente a la Superintendencia del Sistema Financiero (SSF) como producto de las adecuaciones que demanda la ya mencionada norma. Dentro de los mecanismos que se contemplan esta que los entes obligados deben ejecutar pruebas de intrusión y escaneos de vulnerabilidades, contar con parches para los componentes tecnológicos y aumentar el número de factores de autenticación de los usuarios, sobre todo cuando se acceden de sitios de internet que no sean de confianza o se trate de cuentas privilegiadas.
La norma también hace una clasificación de los factores de autenticación en cuatro categorías, abarcando información obtenida del contrato (categoría 1), contraseñas de conocimiento exclusivo del usuario (categoría 2), claves dinámicas de único uso (categoría 3) e información biométrica (categoría 4). De igual manera la normativa brinda lineamientos sobre las garantías que deben otorgar los sujetos obligados para certificar la veracidad de los productos y servicios digitales que ofrecen para evitar estar frente a fraudes. Las instituciones que no acaten dichas disposiciones serán sancionadas conforme a lo regulado en la Ley de Supervisión y Regulación del Sistema Financiero.