“Lo que más me apasiona de las fintechs es la oportunidad que brindan a personas que antes no tenían acceso a servicios bancarios. Podemos ayudar a personas que viven en zonas rurales a recibir dinero y pagar servicios sin tener que lidiar con efectivo o hacer largas filas”, dice Andrés Viña, chief information security officer (CISO) de Tpaga, la billetera virtual colombiana que entrega una amplia gama de servicios financieros.
Entre las características destacadas de Tpaga se encuentra la capacidad de manejar operaciones habituales, como el pago de facturas, servicios y transferencias a otras cuentas. Además, los usuarios tienen la opción de realizar inversiones y acceder a una tarjeta de débito virtual, así como recibir servicios de préstamos.
Al mismo tiempo, la compañía brinda servicios a otras empresas y negocios a través de su tecnología de APIs (interfaz de programación de aplicaciones). Esto permite a las empresas conectarse para recibir pagos o realizar sus propias transacciones a través de la plataforma de Tpaga.
En cuanto a seguridad, Viña recalca que “la mayoría de los fraudes y brechas de seguridad se relacionan con la ingeniería social, más que los ataques de hackers, que representan solo entre 10% a 15%”.
“Por eso mismo, es fundamental capacitar a las personas y sensibilizarlas sobre los riesgos de seguridad y los potenciales fraudes”, agrega.
– ¿Cuál es la filosofía de Tpaga respecto a prevención de fraude versus la experiencia del consumidor?
Creemos que la experiencia del consumidor está ligada no sólo a la prevención de fraude, sino también a la seguridad. Sin embargo, nos enfrentamos al desafío de que muchas personas desean sentirse seguras, pero no siempre tienen los conocimientos necesarios.
En muchas empresas, se dedican muchos esfuerzos a la capacitación sin contar con una infraestructura de protección adecuada. Por otro lado, algunas implementan herramientas tecnológicas sin educar debidamente al usuario.
Nuestra metodología busca generar un híbrido, donde mediante la tecnología permitimos que el usuario se sienta tranquilo, como con una contraseña de un solo uso (OTP, por sus siglas en inglés) y autenticación, pero también realizamos constante educación.
Por ejemplo, hemos creado una mascota llamada Billy que, a través de las redes sociales, educamos al usuario a no compartir su contraseña y otros temas de seguridad y prevención.
– ¿Cuáles son las medidas de seguridad que se implementan en el proceso de onboarding para garantizar la autenticidad del cliente? Uno de los grandes desafíos de las fintechs, ya que su proceso de Know-Your-Customer (KYC) es digital.
– Este tema lo abordamos en dos frentes: usuarios y colaboradores. Reconocemos que es necesario capacitar y sensibilizar a ambos grupos, pero alcanzar un nivel profundo de comprensión en términos de seguridad puede ser más desafiante para los usuarios finales. Es poco probable que un cliente entienda completamente conceptos como el malware o el phishing y cómo prevenirlos.
Entonces, en el caso del usuario efectivamente revisamos su documento de identidad, realizamos validaciones biométricas y colaboramos con terceros que son más expertos en esta área de validación de identidad del usuario. Asimismo, nos atenemos a las normas anti-lavado de dinero.
Y, a nivel interno, sensibilizamos al usuario interno de la organización, enfatizando qué se puede o no compartir con los usuarios, cómo garantizar la trazabilidad de todas nuestras interacciones y todos los otros puntos que nos garantizan la seguridad.
– ¿Existen conflictos con el área comercial de la empresa? Como anécdota, una vez intenté hacer onboardinga una aplicación, pero me pedían realizar muchos pasos y por eso abandoné la aplicación por la frustración.
Totalmente. Es fundamental tener en cuenta tanto los requisitos mínimos de seguridad como los requerimientos del área comercial. Si bien ciertos aspectos de seguridad son inamovibles, existen múltiples formas de abordar los desafíos, especialmente en un entorno tecnológico en constante cambio.
Un ejemplo distinto al que me diste podría ser la identificación de una vulnerabilidad en una base de datos, donde la recomendación es actualizar el framework. Sin embargo, esta actualización puede generar dificultades significativas. En algunos casos, la forma más efectiva de mitigar la vulnerabilidad es desactivar temporalmente el servicio.
Al mismo tiempo, es primordial contar con procedimientos claros al comunicar los requisitos de seguridad al área comercial y evitar cambios constantes en dichos requisitos. Esto asegura una mayor coherencia y comprensión por parte de todos los involucrados.
Por otro lado, es esencial transmitir confianza y tranquilidad al usuario final, ya sea una persona o una empresa, con la que nos conectamos. Debemos asegurarles que los requisitos de seguridad no se solicitan de manera selectiva ni para molestar, sino que son aplicados a todos los usuarios con el objetivo de garantizar su seguridad y protección.
– ¿Cómo se aplican tecnologías avanzadas como la inteligencia artificial (IA) a la prevención de fraude y experiencia del consumidor?
– Utilizamos diversas herramientas tecnológicas para brindar seguridad y una experiencia fluida a nuestros clientes. Una de ellas es WhatsApp, que empleamos en procesos como el onboarding, donde incorporamos inteligencia artificial (IA) para llevar a cabo validaciones.
La IA interactúa con los usuarios durante el proceso de registro, formulando preguntas de seguridad y realizando validaciones. Si el cliente responde correctamente, se le enviará un código OTP (One-Time Password) que le permitirá acceder a su cuenta de forma segura.
Es interesante notar que, aunque algunos clientes puedan sentirse frustrados por la cantidad de preguntas, comprendemos que la seguridad es un factor crucial. De hecho, la implementación de estos procesos de seguridad adicionales agrega una capa de protección para el usuario y fortalece su confianza en nuestra plataforma.
Además de WhatsApp, hemos establecido restricciones como la limitación de ejecutar nuestra aplicación en múltiples sesiones en el mismo dispositivo, la prohibición de utilizar nuestra billetera virtual en emuladores y la restricción de generar sesiones desde más de dos direcciones IP diferentes.
– Por último, en el caso de experimentar una brecha de seguridad, ¿cómo se restaura la confianza con el cliente?
– Es un mito que la reputación de una empresa se dañe cuando sufre una vulneración. Al contrario, eso ocurre cuando no hay una respuesta adecuada al incidente, no se logra una pronta recuperación o no se cuenta con respaldo.
Cualquier persona que diga que su sistema es 100% seguro está mintiendo, porque no existen sistemas así y siempre va a haber brechas de seguridad.
Al momento de la vulneración de seguridad hay que, en primer lugar, informar. El peor error es ocultar los problemas a los clientes y usuarios. Debemos informar a las personas sobre el ataque y las acciones que se están tomando para restablecer los servicios. De esta manera, se puede mantener la confianza del cliente a pesar del incidente.
Ahora, es esencial contar con procedimientos de seguridad sólidos, herramientas adecuadas, backups regulares y planes de recuperación ante desastres bien diseñados y ejecutados. Además, es importante generar manuales detallados de los procedimientos a seguir en caso de un ataque, capacitar al personal y realizar pruebas regularmente.
Como defensores de la seguridad, debemos estar siempre alerta. Mientras trabajamos día a día en la prevención y protección de nuestros sistemas, los atacantes solo necesitan una oportunidad para infiltrarse.