Manifiesto sobre Accesos Bancarios.

Manifiesto sobre Accesos Bancarios.

1. Un banco nunca solicitará información sensible a sus clientes (tokens, códigos, etc) por teléfono o correo electrónico. Siempre que se comunique con ellos, les recordará esto.

2. El cliente establecerá un código anti-phishing (unos 6 caracteres alfanumérico estaría bien) desde la plataforma web o aplicación bancaria; para correos electrónicos, SMS u otras formas de contacto el banco siempre colocará ese código anti-phishing al inicio o final del correo o mensaje. Siempre se insistirá en no compartir con nadie este código. Si un cliente recibe un correo sin este código, sabrá que no es oficial.

 
3. El cliente siempre deberá crear un usuario para acceder a la plataforma online del banco. Un número de identificación único (número de pasaporte o de licencia) no es un usuario válido para utilizar (puesto que cualquiera podría tener acceso a él) al igual que combinaciones sencillas y predecibles (primera letra del nombre + apellido, por ejemplo).

4. El usuario deberá establecer una contraseña, entre más compleja mejor, pero no se le obligará a cambiarla cada pocos meses, esto no tiene sentido alguno. A lo sumo se podría hacer una vez al año (ya es demasiado) o ante brechas de seguridad importantes comprobadas (ni más faltaba).

5. El banco permitirá acciones como copiar y pegar datos en sus campos de acceso, no hacerlo hará que el usuario decida recurrir a contraseñas más sencillas en lugar de complejas (con caracteres poco habituales, números, combinaciones complejas, etc.).

6. El banco colocará límites altos (32 caracteres mínimo) para extensión máxima de sus contraseñas. La mínima puede ser menor, pero no se puede impedir a un usuario que desee establecer una contraseña de 32 caracteres o más solo porque el banco no quiere.

 
7. El banco deberá proveer tokens físicos como medida de doble factor de seguridad (2FA) por defecto. El primero sin costo, los siguientes por negligencia del usuario o similares, con el costo que se considere. Se hará firmar al cliente un consentimiento sencillo con una sola frase: “Jamás comparta un código de estos con nadie, ni en el banco ni fuera del banco, es para uso personal e ingresarlo al acceder a su cuenta mediante plataforma web” (o algo parecido). Menos texto es más en este contexto.

 
8.  Si no un token físico, el banco debe permitir al usuario emplear la aplicación de su preferencia para la generación de tokens. Google Authenticator, Microsoft Authenticator, Authy o cualquier otra. Pero jamás una aplicación del propio banco. Buscamos evitar ser predecibles.

9. Para acceder a la plataforma online del banco siempre se solicitará un token 2FA. También lo solicitará  para realizar transferencias dentro o fuera del banco como para añadir cuentas confiables, una o la otra. Puede ser molesto, pero es mejor que perder dinero. A lo sumo en las cuentas confiables se permitirá hacerlo sin esto, pero bajo aprobación explícita del cliente.

 
10. Para acceder a aplicaciones móviles del banco, se solicitará la primera vez un token 2FA (junto con una confirmación adicional de código numérico enviado por correo electrónico y SMS); posterior a ello se permitirán controles biométricos habituales (huella dactilar, reconocimiento facial, por ejemplo). Este primer acceso es vital, por lo que se debe ‘complicar’ lo suficiente.

 
11. Si se desea permitir el ingreso de cuentas confiables o realizar transferencias desde el móvil, se solicitará siempre un token 2FA y un código numérico enviado ya sea por correo electrónico o SMS. Para transferencias a cuentas confiables, está bien si no se requiere.

 
12. Una vez ‘registrada’ una aplicación móvil, el banco impedirá cualquier nuevo acceso con otro dispositivo. Si el cliente lo desea habilitar, lo podrá hacer, pero antes deberá permitirlo desde la plataforma web (sobra decir: confirmando token 2FA, correo electrónico y SMS).

13. El banco permitirá ‘mover’ el dinero de la cuenta a una sección aislada (una subcuenta, o la misma cuenta pero aislado) donde no se pueda acceder al dinero salvo que previamente se mueva desde el acceso web o la aplicación móvil. Para mover a esta sección aislada no faltará nada más que el deseo de hacerlo, para devolver el dinero se sugiere solicitar un token 2FA, pero no es obligatorio. La idea es que el dinero no esté en la cuenta y siempre visible en el saldo (por ejemplo, al visitar un ATM).

14. Si el cliente olvida su usuario, lo podrá recuperar validando su correo electrónico y número de teléfono, si no logra hacerlo, deberá ir a una agencia por él. En el caso de los bancos sin locación física, proveer suficiente información o establecer un procedimiento claro para esto (que puede incluir suministrar copias del documento de identidad, fotografía sosteniendo un papel con la fecha, etc.).

 
15. El banco siempre notificará al cliente por correo electrónico cuando se realice un acceso a la cuenta o una transferencia saliente de importancia (cada usuario podrá definir este umbral en función de su realidad). El uso de SMS para notificaciones es optativo, aunque recomendado (también pueden ser notificaciones de WhatsApp).

 
16. El cliente siempre podrá establecer montos máximos para: retiro en ATMs, transferencias online, transferencias a ATM, y demás relacionados. Esto aparte del máximo del banco, de acuerdo a sus parámetros. Al momento de establecer esto, siempre se solicitará un token 2FA.

 
17. El cliente siempre deberá establecer un correo electrónico principal, otro secundario (optativo) y un número de teléfono de contacto. Estos serán los únicos canales autorizados para contactar con dicho cliente y permitirle iniciar gestiones. Si pierde acceso a alguno de ellos, deberá asistir a una agencia física o realizar una validación exhaustiva para comprobar su identidad.

 
18. En la medida de lo posible (esto ya sería la cereza del pastel) cuando un banco llame a un usuario le solicitará ir a la aplicación que tiene en su dispositivo y abrir un área determinada con un ‘código de asistencia’ (debe poderse acceder a ella fácilmente). El agente del banco indicará al cliente qué código está viendo (nunca al revés, recordemos el postulado 1). Con esto, es posible confirmar que el vínculo entre quién llama y quién responde es auténtico.

 
19. En todo caso, los bancos deberían llamar menos: a la mayoría de gente, no le gusta recibir llamadas de bancos.

 
20. El banco insistirá siempre a sus clientes sobre la necesidad de desconfiar, incluso de ellos. Si el cliente tiene una duda de urgencia y debe llamar al banco, que sea siempre el cliente quién llame al banco, nunca al revés.

Para su uso libre para quién le ofrezca valor. No pensado para usuario final, sino para equipos técnicos, de implementación o seguridad bancaria.

RQR

Dejar un comentario