Códigos OTP enviados por mensaje de texto para realizar operaciones bancarias no deben ser cifrados
13 de Septiembre de 2018
En reciente concepto, la Superintendencia Financiera resolvió una inquietud relacionada con la necesidad de que los códigos OTP (one time password) enviados por mensaje de texto SMS o mail para que los consumidores puedan realizar transacciones bancarias deban enviarse cifrados.
En primer lugar, señaló que el código OTP es uno de los mecanismos fuertes de autenticación previstos en la Circular Básica Jurídica (Circular Externa 29 del 2014), el cual consiste en un código temporal que le llega al consumidor financiero a través de mensaje de texto SMS o correo electrónico, para que este pueda de manera segura realizar retiros, consultas, pagos y transferencias, en internet o mediante la aplicación para teléfonos móviles (APP).
Dicho código tiene un único uso y vigencia de pocos minutos, según lo que defina cada entidad financiera en particular, por lo que no sirve para realizar operaciones posteriores, aunque se realicen el mismo día. Cada operación requiere su propio OTP.
En segundo lugar, indicó, es confidencial toda aquella información amparada por la reserva bancaria, como es el caso de los números de cuentas, identificación personal (NIP) y tarjetas físicas; información sobre depósitos o inversiones de cualquier tipo; créditos; saldos, cupos y movimientos de cuenta, siempre que vayan acompañados del nombre o número de identificación del cliente.
Así las cosas, precisó la superintendencia, el código OTP enviado por SMS o correo electrónico no es propiamente información confidencial, por lo que su envío no debe ser cifrado, teniendo en cuenta, además, que solo sirve para realizar una operación y que su durabilidad es de contados minutos.
Cabe recordar que la Circular Externa 8 del 2018, que es la instrucción más reciente y mediante la cual la entidad realizó varias modificaciones sobre requerimientos mínimos de seguridad y calidad de las operaciones bancarias, relacionados con canales, medios y manejo de la información, rigen a partir del 1 de diciembre del 2018.
Superfinanciera, Concepto 2018085479, Jul. 17/18.
Opina, Comenta