La autenticación de doble factor (2FA) se consolida como una herramienta esencial para proteger a los usuarios del sistema financiero peruano. La Superintendencia de Banca, Seguros y AFP (SBS) ha extendido el plazo para la implementación total de esta medida de seguridad en todas las tarjetas de crédito y débito emitidas en el país. Originalmente prevista para una fecha anterior, la nueva fecha límite es ahora el 1 de abril de 2026. Esta decisión, busca fortalecer la seguridad de las transacciones financieras en un contexto de creciente sofisticación de los delitos informáticos y se alinea con los estándares internacionales más exigentes.
Según la investigación publicada por Gestión.pe, esta prórroga permitirá a las entidades financieras adaptarse mejor a los nuevos requerimientos tecnológicos y garantizar una implementación eficaz que minimice el impacto en la experiencia del usuario. La SBS ha publicado la modificación a través de la Resolución Nº 2286-2024, el pasado 25 de junio, detallando las nuevas directrices y los plazos ampliados.
El incremento de los delitos cibernéticos en Perú subraya la necesidad de esta medida. En lo que va de 2024, se han reportado más de 42,000 denuncias por delitos informáticos, lo que representa un aumento de casi el 40% en comparación con el año anterior, según cifras proporcionadas por la Policía Nacional del Perú (PNP). Las modalidades de fraude más comunes incluyen la clonación de tarjetas, el phishing, y las estafas a través de redes sociales. La adopción del 2FA busca contrarrestar estas amenazas, dificultando significativamente el acceso no autorizado a las cuentas bancarias de los usuarios.
En las operaciones con tarjeta presente, como en los puntos de venta (POS), el 2FA requerirá el uso del chip o su representación digital junto con la clave secreta. Este requisito aplicará a todas las tarjetas emitidas a partir de la fecha de entrada en vigor del reglamento actualizado. Para las compras en línea, donde la tarjeta no está físicamente presente, se utilizarán los datos de la tarjeta, ya sea física o digital, en combinación con un código de verificación dinámico, garantizando así una mayor protección contra el fraude.
Las billeteras móviles de terceros que utilizan la tokenización, como Plin o Yape, también se verán afectadas por esta nueva regulación. La afiliación de la tarjeta a estas plataformas deberá autenticarse mediante la tokenización de la tarjeta y un segundo factor de autenticación distinto, elevando el nivel de seguridad en estas transacciones. La tokenización reemplaza los datos sensibles de la tarjeta con un identificador único, reduciendo el riesgo de exposición de la información financiera real.
José Pablo Gil, Client Sales Lead para la Región Andina de Nuek, una compañía de Minsait (Grupo Indra) especializada en soluciones de medios de pago, destaca la importancia de la autenticación de dos factores como una herramienta fundamental para mitigar el riesgo de suplantación de identidad. Gil subraya que soluciones como 3DS (Three Domain Secure) y la tokenización móvil permiten ajustar el nivel de verificación según el riesgo de la operación, utilizando mecanismos como las contraseñas de un solo uso (OTP) para añadir una capa adicional de seguridad sin afectar negativamente la experiencia del usuario. La migración a servicios en la nube también se presenta como una opción eficiente para los bancos, permitiendo reducir costos y garantizar la actualización tecnológica permanente, tal y como afirma el experto.
