El uso del Sistema Nacional de Pagos Electrónicos (Sinpe) es común entre los costarricenses para hacer transacciones, incluso en los lugares menos pensados.
Hoy las personas prácticamente pueden prescindir del efectivo, pues recurren con mayor frecuencia a medios digitales.
Un punto no tan positivo es que ese creciente apetito por las transacciones digitales también despierta el interés y la frecuencia de ciberataques. Para enfrentar esa situación, las 112 entidades afiliadas deberán aplicar 48 controles para fortalecer al Sinpe Móvil y salvaguardar los datos de los usuarios en caso sufrir algún ataque cibernético.
“Todas las empresas, entidades u organizaciones que ya estén afiliadas a Sinpe o que eventualmente quieran hacer uso de este servicio, deben estar certificados con esta nueva norma técnica del Banco Central. Incluso, todos los años deben mantener dicha certificación. En caso de no ser así, podrían ver afectado su negocio y servicios que brindan”, explicó Juan Bustos, country manager de SISAP en Costa Rica.
Parte de los requerimientos solicitados en la norma técnica son:
- Cifrar los datos sensibles como saldos de las cuentas de valores, identificación o nombre del remitente, cuando se realizan transferencias, es decir que no sea información abierta.
- Establecer una política de contraseñas de entre ocho y 14 caracteres, que implementen mecanismos para forzar su complejidad, así como mantener actualizado el catálogo de cuentas en el Sinpe para que aquellas inactivas sean deshabilitadas.
- Implementar filtros para correos electrónicos no deseados así como de sitios web potencialmente maliciosos o no aprobados.
- En caso de incidentes, las instituciones financieras deberán tener a su personal capacitado para brindar respuestas reales con un protocolo actualizado.
- Establecer controles básicos de seguridad en el desarrollo de las aplicaciones, para prevenir vulnerabilidades que pudieran ser explotadas por los atacantes.
La idea es que estas disposiciones se apeguen a las mejores prácticas internacionales.
“Sin duda va a generar mayor confianza a nuestros clientes y a la población en general en el uso de este servicio. Desde ya se está articulando lo necesario para cumplir con la norma”, comentó Jaime Murillo, subgerente general de operaciones del Banco Nacional.
La disposición es de acatamiento obligatorio y se habilitó como plazo máximo hasta el 30 de junio de 2024 para cumplir las directrices.
Las entidades deben presentar un informe de cumplimiento auditado y máximo con un mes de emitido, en el que se especifique que se cumple a cabalidad con los controles establecidos.
Si no se ejecutan, en el caso de las nuevas entidades no podrán afiliarse a Sinpe, mientras que si es una institución ya inscrita la que falla con la normativa, el BCCR podrá ordenar la apertura de un procedimiento administrativo.
Entre los prestadores del servicio la propuesta es bien recibida y algunos ya están poniendo en práctica lo solicitado.
“Creemos que la norma amplía el alcance de los controles de seguridad de la información y la prevención de riesgos asociados a posibles ciberataques. Desde la entidad tuvimos participación activa y estamos tomando medidas de seguridad interna y perimetral”, comentó Alejandro Guillén, director de banca digital de Mucap.
Sinpe Móvil en ascenso
El último dato disponible de 2023 mostró que las transacciones mediante Sinpe Móvil no paran de crecer: para mediados del mes pasado, se realizaron 237 millones de transacciones; esto representó casi el 65% del total alzando en 2022, por lo que este año se podría romper el récord.
El cambio más significativo se da entre 2019 y 2021, ya que antes de la pandemia el BCCR contabilizó 6,2 millones de operaciones; para 2020 con todas las restricciones que provocó el coronavirus, la cifra creció a 55 millones y un año después despegó hasta los 224 millones.
Solo en 2023 (hasta mediados de julio) los usuarios de Sinpe movieron casi ₡4 billones en transacciones.
En cuanto al promedio de las operaciones, los datos señalan que la media interbancaria (de una entidad a otra) fue ₡17.181, mientras que las que se realizan entre cuentas de la misma institución (intrabancarias) fue de ₡15.459, a la mitad de julio pasado.
La plataforma de Sinpe fue puesta en marcha en abril de 1997 e inició con el servicio de Compensación y Liquidación de Cheques, logrando así agilizar la liquidación de este instrumento de pago.
A partir de entonces ha evolucionado y hoy cuenta con servicios como Transferencias de Fondos a Terceros, Créditos Directos, Débitos Directos y otros que permiten mayores opciones para movilizar los fondos de una entidad financiera hacia otra.
LEA MÁS: Cinco hechos que explican el alcance y la adopción de Sinpe Móvil
Medidas básicas de protección
La implementación de esta norma técnica es una medida que vendrá a fortalecer el sistema, pero cada usuario también puede aplicar algunos consejos básicos para evitar estafas.
“En el Sinpe existe un límite de dinero para transferencias y es muy importante que las personas se apaguen a él; otra recomendación es revisar periódicamente qué transacciones hemos realizado y hacia donde sale el dinero; tampoco, en la medida de lo posible hacer pagos mediante intermediarios ni brindar información sensible”, dijo Verónica Hidalgo, consultora de Ciberseguridad y Privacidad de PwC.
Además, los bancos y otras instituciones financieras pueden avisar a sus clientes de cada transacción efectuada por los medios disponibles como mensaje de texto, whatsapp, email, o el que tenga disponible.
Asimismo, los expertos reiteran que ninguna entidad va contactar a sus usuarios a pedir datos sensibles.