No todos los bancos tienen APPs móviles. Alrededor de un 80% de las entidades bancarias no ha actualizado su portal transaccional en los últimos 11 meses.
No todos los bancos tienen APPs móviles. Alrededor de un 80% de las entidades bancarias no ha actualizado su portal transaccional en los últimos 11 meses.
En Bolivia, según ASFI, ente regulador del sistema financiero, existen 13 bancos múltiples, dos bancos pyme y dos bancos con participación del Estado. En total, bajo el denominativo de banco, tenemos 17 entidades, pero tres son bancos que no tienen sitios transaccionales, estos serán excluidos. Entonces, para fines de este artículo, 14 bancos será el universo total.
El resto de entidades serán analizadas en otras oportunidades.
De los bancos que tienen Banca por Internet, resaltamos algunos aspectos:
Nos llama la atención que el TOTAL de bancos hace alusión a la Banca por Internet y solamente un par adicionan el concepto de Banca Digital.
No todos los bancos tienen APPs móviles. Alrededor de un 80% de los bancos no ha actualizado su portal transaccional en los últimos 11 meses.
Casi el 90% colocó el nombre de bancoNET (bnbnet, uninet, gananet, econet, fienet y similares). ¿Dónde habrá quedado la imaginación de los funcionarios de marketing?
FUNCIONALIDAD
La mayor parte de portales de Banca por Internet no permite la navegación personalizada. Las opciones de menús son genéricas para todos; sin embargo, las operaciones que realiza cada persona son diferentes. La cantidad de clics a hacer para lograr lo que se busca, no muestra una plataforma inteligente.
DISPONIBILIDAD: Existen horarios y días donde las plataformas no responden y no hay una forma de registrar o reclamar sobre estos cortes.
INTERACCIÓN: La mayor parte mantiene el teléfono 0800 como forma de contacto. Responden muy poco o casi nada a las consultas por correo, pagina Facebook y otros. Y si responden le piden a uno visitar el banco para obtener respuesta completa. Actualmente, sólo un banco ha incursionado con un BOT que atiende preguntas básicas con respuestas rápidas.
PAGO DE SERVICIOS: Si bien existen las opciones, aún no se digitaliza la generación de las facturas digitales y a veces es más complejo obtener la constancia.
Seguridad
Conexiones seguras HTTPS
Se ha puesto muy de moda la necesidad de ver un candadito en el sitio web del banco. Eso, en términos técnicos, significa un certificado digital de seguridad para acreditar tanto la identidad del sitio como la seguridad de las comunicaciones. Pero no es suficiente instalar un certificado digital para que aparezca el candadito. Esta técnica de protección exige una configuración reforzada para optimizar el nivel de seguridad.
Al mes de agosto del presente año se realizó una investigación de la fortaleza de estos certificados digitales con los siguientes resultados. Muy alto (17%), Alto (31%), medio (22%), Bajo (17%) y Muy bajo (13%).
Tarjeta de coordenadas vs Soft Token
Para validar que una persona es quien dice ser, se utiliza una o varias formas de estas tres posibles: LO QUE SÉ, LO QUE TENGO, LO QUE SOY. Una clave tradicional es lo que sé. Recibir un código por SMS al celular es lo que tengo, el celular. Y aplicar por ejemplo el reconocimiento de huella dactilar, corresponde al tercer grupo, lo que soy, posible por la biometría informática.
Haciendo una evaluación de quienes aún manejan tarjetas de coordenadas en transacciones personales, tenemos un 21%. El tiempo de vida de esta forma de re autenticación YA SE CUMPLIÓ y todos los bancos deberían pasar al uso de Tokens. Quizás un par de años físicos, pero sin duda el SOFT token ligado al móvil terminará por reemplazar a la Tarjeta de Coordenadas
Nube privada o pública
Excepto solo un banco en Nube Pública que representa solo el 7%, el resto, tiene su banca digital en un modelo de Nube Privada. Resaltamos la relación Nube privada o nube pública desde el punto de vista de negocios tipo AWS, Azure y Google, que están soportando aplicaciones de banca digital en modalidad SaaS (Software as a Service) sobre sus servicios de IaaS y PaaS (Infraestructure as a service y Plataforma as a Service, respectivamente).
Las nubes privadas pueden estar ganando aparentemente en privacidad, pero sin duda estarán MUY en desventaja frente a la SEGURIDAD CERTIFICADA que tienen las nubes públicas y todas las formas de protección que ofrecen. Sistemas anti hacking, Anti DoS (Deny of Service), Antiphising, pueden ser muy accesibles en nubes públicas. Ni que decir de criterios de disponibilidad con por ejemplo más de 15 sitios de redundancia para las aplicaciones. En el contexto nacional, los bancos con modelos de nubes privadas no tienen la capacidad de replicar sus aplicaciones en más de tres sitios, siendo generosos.
Regulación sectorial
Durante el año 2003 se emitieron los requisitos mínimos de seguridad informática. Lamentablemente su actualización hacia un enfoque de seguridad de la Información salió recientemente el año 2013 con la circular ASFI 193. Esta fue levemente actualizada con la circular ASFI 395. Destaca la inserción de la famosa “NO OBJECIÓN”, como requisito para contratar servicios en nubes públicas fuera del país.
Legislación nacional
Nuestro código penal data de 1997, donde se adoptaron dos figuras dentro de los delitos informáticos, el artículo 363 bis manipulación informática y 393 ter acceso y uso indebido. Posteriormente a esto, recién hace unos años se promulgo la Ley 164 sobre Telecomunicaciones y TICS; sin embargo, no son suficientes para crear un cuerpo legal que proteja el mundo digital.
Tenemos la modificación al código penal madurando durante varios años que ya creemos que llegará de forma tardía y hasta obsoleta. Uno de los delitos de mayor impacto en el mundo virtual es sin duda la protección a la identidad digital. En contraposición el robo, la suplantación, las identidades falsas están menoscabando los puntales de la confianza en el mundo digital.
* Ingeniero de sistemas con maestría en Ciencias de la Ingeniería. Titulado en Kiev Ucrania. Maestría en gestión estratégica de TI. Titulado por la Universidad de León, España. Especialista en Gestión, seguridad, auditoria de sistemas e informática forense con más de 20 años de experiencia laboral. Gerente General de Yanapti SRL.
