{"id":42565,"date":"2023-08-11T09:00:54","date_gmt":"2023-08-11T07:00:54","guid":{"rendered":"https:\/\/www.monempresarial.com\/?p=42565"},"modified":"2025-09-24T10:39:02","modified_gmt":"2025-09-24T08:39:02","slug":"ciberseguretat-a-la-banca-duna-amenaca-del-1992-i-160-caracters-a-una-necessitat-de-mes-de-300-000-que-entrara-en-vigor-el-2025","status":"publish","type":"post","link":"https:\/\/www.monempresarial.com\/ca\/2023\/08\/11\/ciberseguretat-a-la-banca-duna-amenaca-del-1992-i-160-caracters-a-una-necessitat-de-mes-de-300-000-que-entrara-en-vigor-el-2025\/","title":{"rendered":"Ciberseguretat a la banca, d\u2019una amena\u00e7a del 1992 i 160 car\u00e0cters a una necessitat de m\u00e9s de 300.000 que entrar\u00e0 en vigor el 2025"},"content":{"rendered":"

V\u00cdCTOR CAMPOS<\/strong>. <\/span>Enginyer superior de telecomunicacions, expert en estrat\u00e8gia i transformaci\u00f3 digital i partner a Microsoft. <\/strong><\/h4>\n

DAVID ALONSO<\/strong>.\u00a0<\/span><\/span>Enginyer superior en inform\u00e0tica i expert en ciberseguretat a Telef\u00f3nica Tech, CSIM i CISSP. <\/strong><\/h4>\n
\n

El 3 de desembre de 1992, el programador Neil Papworth va enviar el primer missatge SMS des del seu ordinador al m\u00f2bil d\u2019un amic per felicitar-li el Nadal: Merry_Christma<\/em>s (\u201cBon Nadal\u201d). Naixia un sistema \u00fatil i r\u00e0pid per comunicar-se. Deu anys despr\u00e9s l\u2019\u00fas dels SMS es va massificar i es va convertir en la via de comunicaci\u00f3 principal, especialment entre gent jove. M\u00e9s de trenta anys despr\u00e9s, encara que l\u2019\u00fas principal del SMS ha estat substitu\u00eft per les aplicacions de missatgeria instant\u00e0nia, segueix tenint el seu n\u00ednxol com a via de comunicaci\u00f3 comercial, com a vector de notificacions de servei i a l\u2019\u00e0rea de la ciberseguretat, on pren dues formes molt diferents: el doble factor d\u2019autenticaci\u00f3, on l\u2019SMS s\u2019ha convertit en el segon factor m\u00e9s utilitzat per accedir controlat a aplicacions i sistemes, i el temut smishing<\/em>.<\/p>\n

Arriba un missatge de text a un client de banca, li indica que t\u00e9 un c\u00e0rrec sospit\u00f3s i li l\u2019urgeix a accedir al seu compte per comprovar-ho. Per \u201cfacilitar-li\u201d la vida, al mateix missatge apareix l\u2019enlla\u00e7 a la web de la banca en l\u00ednia. El client \u2013mig espantat, mig incr\u00e8dul\u2013 accedeix immediatament per evitar que es produeixi el frau, per\u00f2 el que no sap \u00e9s que el frau es produir\u00e0 precisament en aquell moment\u2026 Aquests 160 car\u00e0cters s\u00f3n suficients per posar en perill un gran nombre de clients de la banca. \u00c9s barat, efectiu, dif\u00edcil de parar i tremendament senzill d\u2019executar per als atacants..<\/p>\n

QU\u00c8 PODEM FER?
\n<\/strong><\/span>Les entitats financeres tenen principalment dues vies d\u2019actuaci\u00f3:
\n\u2022<\/span> Conscienciar els clients mitjan\u00e7ant campanyes informatives. El nostre \u201camic\u201d l\u2019SMS torna a apar\u00e8ixer com a via de comunicaci\u00f3 per a campanyes de conscienciaci\u00f3.
\n\u2022<\/span> Utilitzar serveis antifrau que persegueixin el tancament o takeover<\/em> del contingut fraudulent amb car\u00e0cter immediat.
\nPer\u00f2 cal tenir molt present que la primera via requereix anys de treball i la segona sempre arriba tard per definici\u00f3.<\/p>\n

\n
\n

M\u00e9s de trenta anys despr\u00e9s, encara que el l\u2019\u00fas principal de l\u2019SMS ha estat substitu\u00eft per les aplicacions de missatgeria instant\u00e0nia, segueix tenint el seu n\u00ednxol com a via de comunicaci\u00f3 comercial, com a vector de notificacions de servei i a l\u2019\u00e0rea de la ciberseguretat<\/span><\/h4>\n<\/blockquote>\n<\/div>\n

Una contramesura molt potent \u00e9s la capacitat de les operadores de telecomunicacions per actuar bloquejant l\u2019acc\u00e9s als llocs fraudulents mentre s\u2019efectua el tancament del lloc. Tamb\u00e9 els equips d\u2019antifrau de ciberseguretat poden notificar la troballa d\u2019un lloc fraudulent als principals navegadors i aquests poden llan\u00e7ar un anunci o b\u00e0ner que avisi l\u2019usuari que el lloc on accedeix pot no ser segur.<\/p>\n

Els serveis d\u2019intel\u00b7lig\u00e8ncia d\u2019amenaces poden avan\u00e7ar-se a la creaci\u00f3 del lloc i detectar el registre de dominis sospitosos, cercar indicis de creaci\u00f3 de contingut fraudulent a la web (tant oberta com deep<\/em>) i intentar ser els primers a detectar alertes quan es llancen aquests SMS amb una monitoritzaci\u00f3 activa.
\nNo hi ha vies de protecci\u00f3 total, per\u00f2 amb aquestes mesures funcionant el volum de clients amb informaci\u00f3 compromesa baixar\u00e0 dr\u00e0sticament. Les entitats que aconsegueixin que els clients les percebin m\u00e9s segures podran utilitzar aquesta capacitat com a valor diferencial respecte a la compet\u00e8ncia.<\/p>\n

 <\/p>\n

\"\"<\/div>\n
\n
\n
\n

Una contramesura molt potent \u00e9s la capacitat de les operadores de telecomunicacions per actuar bloquejant l\u2019acc\u00e9s als llocs fraudulents mentre s\u2019efectua el tancament del lloc<\/span><\/h4>\n<\/blockquote>\n<\/div>\n<\/div>\n

 <\/p>\n

EL REGLAMENT DORA
\n<\/span><\/strong>Si fem un salt temporal del 1992 al 2025, arribarem al punt d\u2019entrada en vigor del Reglament DORA. Si aquestes sigles encara no li sonen, \u00e9s perqu\u00e8 no treballa al sector financer, i si ho fa, l\u2019aviso que li sonaran molt aviat. El Reglament de Resili\u00e8ncia Operativa Digital (DORA per les sigles en angl\u00e8s, Digital Operational Resilience Act<\/em>) ha introdu\u00eft un marc normatiu global a nivell de la UE que inclou normes sobre resili\u00e8ncia operativa digital per a totes les entitats financeres. I encara que en aquest cas el nom aporta for\u00e7a pistes, conv\u00e9 aclarir en qu\u00e8 consisteix.<\/p>\n

El passat 16 de gener de 2023 es va publicar el Reglament DORA per regular la manera com les entitats financeres gestionen el risc digital a les finances. Amb aquest reglament, la UE persegueix homogene\u00eftzar l\u2019\u00e0mbit normatiu sobre resili\u00e8ncia operativa digital al sector financer europeu i refor\u00e7ar algunes mesures ja existents. Suposa a m\u00e9s una empenta a totes les directives que la UE est\u00e0 llan\u00e7ant en mat\u00e8ria de transformaci\u00f3 digital i noves tecnologies.<\/p>\n

En qu\u00e8 vol canviar DORA les entitats financeres? Principalment vol que tinguin la resili\u00e8ncia operativa interioritzada al modus operandi<\/em> habitual dels seus sistemes TI. Aquesta resili\u00e8ncia suposa que les organitzacions han de seguir funcionant en la mesura del possible davant de qualsevol atac o esdeveniment que els afecti i a m\u00e9s implica una gran capacitat de recuperaci\u00f3 d\u2019aquells sistemes que s\u00ed que s\u2019hagin vist compromesos i que estiguin aturant alguna operativa de negoci. El canvi principal rau en el fet que fins ara les entitats estaven acostumades a gestionar els seus riscos operatius mitjan\u00e7ant l\u2019assignaci\u00f3 d\u2019un capital proporcional a l\u2019operativa corresponent; a partir d\u2019ara no n\u2019hi haur\u00e0 prou amb aix\u00f2.<\/span><\/p>\n

Tot i que la resili\u00e8ncia operativa i el llistat de proves a realitzar per demostrar-la s\u00f3n la principal ra\u00f3 de ser de la norma, tamb\u00e9 s\u2019hi inclou una proposta de reglament relatiu als mercats de criptoactius, una proposta de reglament sobre un r\u00e8gim pilot de les infraestructures del mercat basades en la tecnologia de registre descentralitzat i una proposta de directiva per aclarir o modificar determinades normes connexes de la UE en mat\u00e8ria de serveis financers. <\/span><\/p>\n

A efectes pr\u00e0ctics, DORA obligar\u00e0 les entitats financeres a una s\u00e8rie de tasques que en alguns casos ja es realitzaven, per\u00f2 que en altres implicar\u00e0 canvis for\u00e7a radicals en la manera de treballar. Aquests s\u00f3n els principals punts de treball que intu\u00efm que caldr\u00e0 abordar:
\n\u2022<\/span> Realitzaci\u00f3 d\u2019un banc de proves molt exigent sobre els entorns TI i digitals.
\n\u2022<\/span> Gesti\u00f3 del risc TIC no nom\u00e9s propi, sin\u00f3 tamb\u00e9 de tercers.
\n\u2022<\/span> Compartici\u00f3 d\u2019informaci\u00f3 entre entitats, notificaci\u00f3 dels incidents i comunicaci\u00f3 al respecte de la mateixa manera que ja fan les empreses de l\u2019Administraci\u00f3 P\u00fablica entre si o alguns actors rellevants del m\u00f3n de la ciberseguretat que formen aliances, com ara la Cyber Threat Alliance (CTA).
\n\u00das d\u2019eines i bones pr\u00e0ctiques a l\u2019operativa habitual i la monitoritzaci\u00f3 cont\u00ednua del funcionament dels sistemes de negoci.\"\"<\/p>\n

\n
\n
\n

Amb aquest reglament, la UE persegueix homogene\u00eftzar l\u2019\u00e0mbit normatiu sobre resili\u00e8ncia operativa digital al sector financer europeu i refor\u00e7ar algunes mesures ja existents<\/span><\/h4>\n<\/blockquote>\n<\/div>\n<\/div>\n

Com a conseq\u00fc\u00e8ncia de tot aix\u00f2, els diferents entorns que es presentin a l\u2019usuari poden patir certes modificacions que impliquin una usabilitat una mica m\u00e9s pesada. Aquest equilibri entre l\u2019aplicaci\u00f3 estricta del reglament i el fet de disposar d\u2019aplicatius i operatives \u00e0gils per als clients suposa un dels grans reptes per a les entitats. Un cop m\u00e9s, aquelles que trobin l\u2019equilibri entre normativa i usabilitat generaran un avantatge competitiu molt a tenir en compte.<\/p>\n

Ja sigui per protegir els seus clients de l\u2019smishing<\/em> o per adaptar-se al nou marc regulador imposat per la UE, el desafiament per a la banca en mat\u00e8ria de ciberseguretat continua sent enorme, obligada a mantenir-se a l\u2019avantguarda del sector i a seguir tenint un enfocament no nom\u00e9s totalment digitalitzat, sin\u00f3 tamb\u00e9 cibersegur.<\/p>\n","protected":false},"excerpt":{"rendered":"

V\u00cdCTOR CAMPOS. Enginyer superior de telecomunicacions, expert en estrat\u00e8gia i transformaci\u00f3 digital i partner a Microsoft. DAVID ALONSO.\u00a0Enginyer superior en inform\u00e0tica i expert en ciberseguretat a Telef\u00f3nica Tech, CSIM i CISSP. El 3 de desembre de 1992, el programador Neil Papworth va enviar el primer missatge SMS des del seu ordinador al m\u00f2bil d\u2019un amic […]<\/p>\n","protected":false},"author":124,"featured_media":42567,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_mi_skip_tracking":false,"mc4wp_mailchimp_campaign":[],"jnews-multi-image_gallery":[],"jnews_single_post":{"source_name":"","source_url":"","via_name":"","via_url":"","override_template":"0","override":[{"template":"1","single_blog_custom":"","parallax":"1","fullscreen":"1","layout":"right-sidebar","sidebar":"default-sidebar","second_sidebar":"default-sidebar","sticky_sidebar":"1","share_position":"bottom","share_float_style":"share-monocrhome","show_share_counter":"1","show_view_counter":"1","show_featured":"1","show_post_meta":"1","show_post_author":"1","show_post_author_image":"1","show_post_date":"1","post_date_format":"default","post_date_format_custom":"Y\/m\/d","show_post_category":"0","show_post_reading_time":"1","post_reading_time_wpm":"300","show_zoom_button":"0","zoom_button_out_step":"2","zoom_button_in_step":"3","show_post_tag":"1","show_prev_next_post":"0","show_popup_post":"1","number_popup_post":"2","show_author_box":"1","show_post_related":"1","show_inline_post_related":"1"}],"override_image_size":"0","image_override":[{"single_post_thumbnail_size":"crop-715","single_post_gallery_size":"crop-500"}],"trending_post":"0","trending_post_position":"meta","trending_post_label":"Trending","sponsored_post":"0","sponsored_post_label":"Sponsored by","sponsored_post_name":"","sponsored_post_url":"","sponsored_post_logo_enable":"0","sponsored_post_logo":"","sponsored_post_desc":"","disable_ad":"0"},"jnews_primary_category":{"id":"7711","hide":""}},"categories":[10815,10844],"tags":[914,953,5762],"_links":{"self":[{"href":"https:\/\/www.monempresarial.com\/ca\/wp-json\/wp\/v2\/posts\/42565"}],"collection":[{"href":"https:\/\/www.monempresarial.com\/ca\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.monempresarial.com\/ca\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.monempresarial.com\/ca\/wp-json\/wp\/v2\/users\/124"}],"replies":[{"embeddable":true,"href":"https:\/\/www.monempresarial.com\/ca\/wp-json\/wp\/v2\/comments?post=42565"}],"version-history":[{"count":15,"href":"https:\/\/www.monempresarial.com\/ca\/wp-json\/wp\/v2\/posts\/42565\/revisions"}],"predecessor-version":[{"id":47480,"href":"https:\/\/www.monempresarial.com\/ca\/wp-json\/wp\/v2\/posts\/42565\/revisions\/47480"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.monempresarial.com\/ca\/wp-json\/wp\/v2\/media\/42567"}],"wp:attachment":[{"href":"https:\/\/www.monempresarial.com\/ca\/wp-json\/wp\/v2\/media?parent=42565"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.monempresarial.com\/ca\/wp-json\/wp\/v2\/categories?post=42565"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.monempresarial.com\/ca\/wp-json\/wp\/v2\/tags?post=42565"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}