A veces no es solo el coste economico (antivirus, contratos de seguridad) lo que se requiere para conseguir mayor seguridad en el acceso a los servicios de internet, sino además una “pesadilla” de controles para evitar los phishings y demás técnicas de “ingenieria social” usadas por los estafadores, no siempre del gusto de todos…
Esto es lo que ha empleado el Bancolombia y logrado reducir el fraude en line un 90 %, pero las quejas de sus usuarios han hecho que la entidad ofrezca explicaciones al respecto:

Bancolombia responde ante los problemas de sus servicios en línea

Su vicepresidente administrativo da explicaciones y revela que el fraude en línea se redujo un 90%.

En los últimos meses acceder a los servicios en línea del banco más grande de Colombia se ha vuelto una pesadilla para miles de clientes. Su vicepresidente administrativo, Augusto Restrepo, da las explicaciones y revela que el fraude en línea se redujo un 90%.

Las quejas de los clientes de Bancolombia que utilizan sus servicios en línea han crecido como la espuma en los últimos meses. El banco, que cuenta con alrededor de 1,5 millones de usuarios de su sitio web (de los cerca de 7 millones de clientes en total), ha sido en el país uno de los principales blancos de fraudes electrónicos, como los ataques de phishing (suplantación en mensajes de correo y sitios web para obtener contraseñas y otra información de las víctimas, y robarlas).

Durante años, las historias de clientes del banco a los que los delincuentes en línea les desocuparon sus cuentas han sido frecuentes, en algunos casos acompañadas con un final relativamente feliz (que el banco les haya retornado sus fondos) y en otros, con la queja de que la entidad financiera decidió echarle la culpa al cliente de dejarse robar y no asumió su parte de responsabilidad de los hechos. En ambos casos, la historia tiene 2 víctimas, el banco y su cliente.

Identidad Protegida, la apuesta que genera polémica

Por ello, el banco ha sido uno de los más activos a la hora de tratar de educar a los usuarios de Internet alrededor de la seguridad informática. En su página de Seguridades, ofrece pautas para evitar ser víctima de fraudes, recomendaciones para temporadas especiales y respuestas a preguntas frecuentes.

Pero la información y la educación nunca son suficientes. El phishing trata de llegar a millones de personas, y, como el origen de su nombre lo indica, trata de pescar unos pocos incautos -que siempre los hay-.

Por ello, en octubre de 2010 el banco trató de ir un paso más allá en la protección de sus usuarios en línea. Durante lo que llamó el Mes de la Seguridad, lanzó 2 nuevos servicios gratuitos: Identidad Protegida y Alertas Bancolombia, a la vez que impulsó, como buenas prácticas de seguridad, el cambio frecuente de contraseña y el no entregar información personal o financiera por medio de enlaces de correo electrónico o redes sociales.
Identidad Protegida es un servicio de identificación del cliente y de sus equipos de uso frecuente, que según Bancolombia “ofrece el más avanzado sistema de protección contra el phishing”, que le permite al banco reconocer a sus clientes -y no autorizar transacciones de suplantadores-, mientras que a los clientes les ayuda a reconocer la Sucursal Virtual para personas con una imagen y una frase personalizadas, que los delincuentes en línea no pueden imitar.

Las Alertas Bancolombia, por su parte, consisten en mensajes de texto al celular o de correo que se envían cada vez que se haga una transacción con el banco, que permiten una rápida reacción si ocurre algún incidente o intento de fraude.

En un audio publicado en el sitio web, el presidente de Bancolombia hasta febrero de 2011, Jorge Londoño, destacó que la campaña logró aumentar la conciencia de los clientes alrededor de la seguridad en las transacciones financieras.

La Identidad Protegida requiere un proceso de matrícula que comienza en la selección de una imagen y la frase de seguridad, continúa con la selección de preguntas predeterminadas y la respuesta a cada una de ellas, y termina con el registro del equipo del que el usuario se deberá conectar.

Es un proceso largo y dispendioso, aunque no difícil. En este video se presenta una demostración de cómo funciona el proceso.

Sin embargo, si esto fuera todo, probablemente las quejas de los usuarios serían mínimas. Un primer problema empieza con las preguntas predeterminadas: el formulario no ofrece ninguna pista al usuario sobre si puede usar mayúsculas y minúsculas, espacios, tildes, etc.

Así que si en un momento, semanas o meses después del registro, debe responder a las preguntas predeterminadas para acceder a los servicios en línea del banco, es probable que olvide cuál era la respuesta exacta. Por ejemplo, si la pregunta es ‘¿Cuál es el nombre de su suegra?’, el usuario podría dudar de si escribir ‘Cecilia’, ‘María Cecilia’, ‘cecilia’, ‘maria cecilia’ o ‘mariacecilia’. Ysi la duda se repite en 5 preguntas de validación, recuperar el acceso a los servicios puede ser una verdadera pesadilla.

Y hay algo más: es necesario registrar cada equipo con Bancolombia para acceder a los servicios en línea, lo que requiere responder 2 de las 5 preguntas definidas previamente. Esto, hace unos años, no habría sido un problema, pero hoy muchas personas se conectan desde numerosos equipos en su casa, la oficina, la universidad o sus dispositivos móviles. Y, para completar, en algunos casos también es necesario responder preguntas cuando se usa un navegador en el mismo equipo por primera vez.

Todo esto ha causado que muchos usuarios no puedan acceder a los servicios en línea cuando lo necesitan, que pierdan valiosos minutos restableciendo preguntas o intentando recordar respuestas, y que en los casos extremos, deban acudir a la línea telefónica de servicio al cliente para recuperar el acceso. Todo, en aras de la seguridad.

Las quejas, en las redes sociales y otros ámbitos, son de todos los tonos y colores. En un foro de nuestra página de Facebook y en nuestras conversaciones en Twitter con nuestra cuenta @ENTERCO, recibimos algunas de estas quejas: que los problemas para acceder a la sucursal virtual comenzaron en noviembre o diciembre, que en los días de pago de salarios se incrementan las dificultades, que con una sola vez que se digita la clave errada el sistema bloquea el acceso, que la segunda clave también es difícil de desbloquear, etc.

Uno de nuestros lectores, César Hernández, señaló en ese foro que “registrar los computadores para que el sistema reconozca las direcciones IP me parece una pérdida de tiempo”.

Entre tanto, Mauricio Mercado parece brindar una alternativa realizable, y que ya otras instituciones, como AV Villas, están empezando a incorporar: “No deberían hacer la autenticacion por IP, pues la mayoría de nosotros revisa la cuenta desde varias partes, y en lugar de eso deberían crear un token que expire luego de cierto tiempo…”. Cabe señalar que Bancolombia sí tiene el sistema de autenticación mediante un token, pero solo para las cuentas empresariales.

Bancolombia responde a las críticas y comparte los resultados.
ENTER.CO habló con Augusto Restrepo, vicepresidente administrativo de Bancolombia, quien inicialmente habló de las fallas generalizadas que tuvieron los sistemas del banco a mediados de febrero, las cuales impidieron las transacciones en línea durante varios días.

Con respecto a los nuevos mecanismos de seguridad que han causado malestar entre muchos clientes, Restrepo señaló que el reto siempre ha sido balancear la funcionalidad con la seguridad. “Desde que tenemos sucursales virtuales de personas y empresas hemos luchado por mantener la funcionalidad. Pero en la medida en que los retos de la delincuencia nos han puesto a desarrollar nuevas tecnologías, con el reto de que el cliente no sufra mucho en cuanto a la funcionalidad. No nos sirve que el cliente tenga un muy fácil acceso a los servicios si está en permanente riesgo”.

Restrepo confesó que la decisión de utilizar el mecanismo de matricular los equipos no fue fácil, pero hubo una razón de peso:”Para la delincuencia es mucho más fácil llegar al PC de los clientes que robarse las contraseñas de otra manera”, y no solo el phishing ha sido una amenaza constante, sino los cientos de miles de computadores contaminados con malware. “Así que el reto que teníamos era proteger el dispositivo de nuestro cliente para que no le roben su dinero”.

Sobre las críticas, el directivo dijo que las han recibido por diversos medios, incluso con clientes molestos que han dicho que cambian de canal (regreso a la sucursal en lugar de las transacciones en línea) o de banco, pero que también han recibido felicitaciones.

Internamente, por lo menos, reina la satisfacción. Según Restrepo, los resultados de estos mecanismos son contundentes:”Hemos reducido en más de un 90% el fraude en las transacciones en Internet”. El éxito ha sido tal, que ahora el banco está más enfocado en otras modalidades de los delincuentes, como la clonación de tarjetas y el fleteo.

Ante el incremento notable de la seguridad, las preguntas se centran en las molestias para los usuarios y una posible disminución en el uso de los servicios en línea. Al respecto, Restrepo niega que se haya caído el uso del canal de Internet, y por el contrario señala que este ha ido creciendo en un 2% o 3% mensual. La siguiente imagen refleja el crecimiento en el tráfico justamente desde octubre (aunque las visitas no necesariamente se traduzcan en transacciones).

El directivo no anunció mejoras en el proceso de registro de los equipos ni en facilitar el diligenciamiento del formulario de preguntas -que puede ser el causante de muchas de las dificultades de los clientes-. Sin embargo, señaló que sí se está trabajando para resolver de manera más rápida las solicitudes de desbloqueo del acceso. “En la línea de servicio al cliente es fácil contestar las preguntas que se hacen para confirmar si es el cliente real, y es una prueba que toma un minuto. Si el cliente no puede responder las preguntas, sí debe ir personalmente a una sucursal bancaria”.

ENTER.CO hizo la prueba de restablecer el acceso a la línea telefónica, y encontró que si bien el proceso no es tan complicado como podría parecer, y toma alrededor de 5 minutos, tiene sus fallas: en el comienzo de la llamada, no hay una opción inicial para quienes necesitan seguir el procedimiento, por lo que llegar hasta un operador que lo atienda personalmente y pueda resolver el requerimiento toma algunos minutos; luego, en alguna parte del proceso el operador de la línea de servicio al cliente ofrece una tarjeta de crédito de American Express, lo cual toma más tiempo y no es muy oportuno cuando la necesidad del cliente es acceso a los servicios que ya tiene. Sin embargo, al terminar la llamada sí se logró el objetivo de recuperar el acceso a los servicios en línea.
En conclusión, Bancolombia acertó al tomar acciones drásticas para reducir el fraude en línea, pero, pese a que las cifras sugieren que no han disminuido las transacciones en el sitio web, los nuevos mecanismos han hecho difícil e incómodo el acceso para muchos usuarios. El reto para este banco y los demás sigue siendo aumentar la seguridad sin ocasionar traumatismos en el funcionamiento de los servicios.

Fuente

Comentario:

Posiblemente con la experiencia lograda puedan optimizar los controles y lograr reducir las molestias de los usuarios, aunque siempre sea una molestia, pero que tiene sus ventajas si ha logrado reducir los fraudes de phishing y demás en un 90 % !

saludos

ms, 3-4-2011