Lectura 4:00 min
Perro, perro, gato, perro... Los bancos deben validar la dirección IP de las transferencias
Hace unos años una compañía de crédito presumía su eficacia en ciberseguridad informando a sus clientes que podía detectar un patrón inusual en cada movimiento de sus cuentas. La campaña publicitaria mostraba un patrón en el que siempre se compraba comida para perro, hasta que aparecía la compra de comida para gato. Algo raro ocurría. Entonces —decía la publicidad— la compañía activaba sus alarmas y procedía a verificar la transacción. Más o menos así deberán hacer todos los bancos por obligación del Poder Judicial de México.
Si un consumidor realiza sus operaciones bancarias electrónicas desde ubicaciones geográficas similares y de repente eso cambia, el banco debe encender la alarma. Por ejemplo, si el cliente siempre usa su banca electrónica desde Mochis, Culiacán y Mazatlán y entonces aparece una operación desde Tel Aviv, Israel, el banco deberá realizar una validación extra.
El Poder Judicial acaba de publicar un criterio jurídico que obliga a los bancos a pausar las transferencias electrónicas de sus clientes cuando se detecte que la dirección IP del aparato utilizado para ordenar la operación es diferente a la habitual. Si el banco autoriza la transacción, podrá considerarse que el cliente no dio su consentimiento, aunque se hayan satisfecho otros factores de autentificación, como la contraseña o la validación con token (una clave criptográfica creada por el banco).
El banco debe agotar todas las medidas de seguridad antes de autorizar la transacción, incluidos los parámetros de comunicación utilizados en la transferencia, como “la identificación del dispositivo de acceso, rango de direcciones de los protocolos de comunicación, ubicación geográfica, entre otros”, dice el criterio citando la Circular Única de Bancos.
La decisión jurídica implica un tratamiento más intensivo para un dato técnico (la dirección IP) vinculado con una persona concreta e identificable: un cliente de la banca. Será necesario un mecanismo de notificación para que los usuarios certifiquen en tiempo real que son ellos quienes ordenaron la transferencia estando fuera de sus ubicaciones geográficas habituales.
Las instituciones financieras deben conocer amplios detalles sobre sus clientes y contar con un perfilamiento de sus hábitos de uso, implícito en los registros de direcciones IP y otros elementos de identificación de los usuarios.
La regulación bancaria obliga a recolectar y dar tratamiento a datos personales e información técnica vinculada con los clientes, como los registros de acceso y consultas en la banca electrónica, con fechas y horas y números de las cuentas con las que el cliente interactúa, para “identificar el mayor número de elementos involucrados en el acceso y operación” de la banca digital.
Los registros incluyen números telefónicos y datos relacionados con los equipos utilizados en las operaciones y las direcciones de los protocolos de internet (dirección IP), las llaves y los códigos de interconexión de computadoras a través de internet.
Los registros deben estar disponibles por lo menos 6 meses. Los consumidores tienen derecho a solicitar una copia de esa información, en algo parecido al derecho de acceso de la regulación de protección de datos personales.
Desde 2021, además, los bancos están obligados a recabar la geolocalización de quienes se conectan a sus servicios digitales como medida contra el lavado de dinero y el financiamiento al terrorismo.
El criterio III.2o.C.5 C (11a.) abona en la certeza de las operaciones bancarias y aumenta la protección de los consumidores. Ensancha el consentimiento como herramienta indispensable de la confianza entre las partes y obliga a los bancos a satisfacer con mayor eficacia el principio de calidad de la información (para mantener actualizados los datos) y el deber de seguridad (para cuidarlos de todo riesgo). Y, sobre todo, insiste en que la banca es un tesoro de datos personales, información financiera y patrimonial incluida.