"El desafío del Estado es trabajar en una legislación más fuerte"
El refuerzo del trabajo del Estado, pero la revisión de la labor de las organizaciones privadas, forman parte de la receta que el ejecutivo Marcelo Fondacaro planteó para mejorar los estándares en ciberseguridad.
Luego de varias semanas en que el tema ha estado en el primer plano por la fuga de datos sensibles de usuarios de la banca local, Fondacaro, ejecutivo de VeriTran, firma dedicada a desarrollar soluciones para la banca digital y pagos implementadas en más de 35 bancos -entre ellos BancoEstado y BBVA, además de mantener alianzas con Microsoft, Mastercard y Visa -, expresó que existe conciencia en la banca sobre el problema existente y la necesidad de tomar decisiones "económicas y políticas" en la materia.
Las respuestas creadas por la compañía alcanzan, actualmente, a cerca de 10 millones de clientes, quienes ejecutan alrededor de 4.000 millones de transacciones anuales, tras once años de trabajo.
El Centro de Desarrollo e Implementación de la Empresa está ubicado en la ciudad de Pereira, Colombia, mientras que las oficinas se distribuyen por Santiago, Bogotá, Buenos Aires, Ciudad de México, Lima y Miami.
-No solamente en el país, la ciberseguridad es un factor que se debe tener en cuenta siempre, sobre todo en la industria financiera. Si bien hace poco hubo ataques, generalmente lo que se busca son los puntos débiles. Entonces, el desafío desde el punto de vista del Estado es trabajar en una legislación más fuerte que haga una inducción a la industria financiera para tomar medidas que aumenten los niveles de seguridad actuales. Y desde la perspectiva privada, las organizaciones deben revisar sus procesos y procedimientos internos para ver cómo se mejoran. Lamentablemente la banca es uno de los sectores más susceptibles, el mundo digital abrió una puerta al fraude y hay que saber combatirlo rápidamente.
-Sabemos que en el último tiempo Chile ha tenido incidentes relacionados a robo de datos bancarios, pero sabemos que las autoridades de Gobierno están revisando la normativa existente, y la banca está invirtiendo aún más y discutiendo las mejores alternativas para optimizar la seguridad de los usuarios digitales.
-Sí, los bancos saben que existe este problema y hay conciencia sobre eso. El problema es que no basta sólo con tomar conciencia, sino que también hay que tomar una decisión tanto política como económica, para afrontar esos desafíos y mejorar los niveles de seguridad.
-Yo creo que sí. Todas las medidas que se tomen ayudan a mejorar la seguridad, pero de cualquier forma un delegado de ciberseguridad en el ámbito estatal lo que va a hacer es fijar normas comunes para la industria. Pero, más allá de la normativa cada organización debe tener sus recaudos.
-Los elementos de la banca móvil son varios. Primero, la encriptación de los datos, la encriptación del canal, pero a su vez la utilización de un segundo factor acompañado con biometría. Podríamos decir que los bancos que cuenten con estos elementos hoy van a tener los más altos estándares de seguridad y no van a ser blanco fácil de los fraudes. En cambio, los bancos que no cuenten con estos elementos tendrán un estándar más bajo y estarán expuestos. Las regulaciones te solicitan tener un segundo factor, pero hay varios. El caso del soft token puede ser uno y las tarjetas de coordenadas otro. No obstante, el sistema de las tarjetas de coordenadas es muy antiguo, muy vulnerado y propenso al fraude. En cambio, el soft token, dependiendo de cómo esté implementado, también puede ser vulnerado. Entonces, no hay que usar sólo el One Time Password (OTP) como inicio de sesión, sino lo que se debe hacer es firmar la transacción por sí misma, ya que con eso aumentas la seguridad y reduces el fraude.
-Si los sistemas estuvieran bien hechos no dependería de los usuarios. Es responsabilidad del banco entregarles elementos de seguridad que sean sencillos de usar, sin que la responsabilidad sea del cliente.
-Hay muchos métodos que se pueden implementar, particularmente revisiones en los procesos internos, hay que blindar los sistemas para utilizar firmas de transacciones. Si todas las transacciones se firman y podemos entender de forma clara y segura qué es lo que el usuario quiere hacer, y quién es el usuario que está detrás de la transacción, podemos afirmar que los procesos van a ser mucho más seguros. Si solamente tenemos sistemas que determinan el usuario que está accediendo al canal, la seguridad va a ser todavía vulnerada.
-No debería ser así, aumentar la seguridad no significa aumentar los costos, porque para prevenir los bancos deben invertir en tecnologías, pero tienen que también depositar más capital y con esto disminuir el riesgo operativo, tener reservado más dinero para cubrir los costos.