El refuerzo del trabajo del Estado, pero unido a la revisión de la labor de las organizaciones privadas, forman parte de la receta que el ejecutivo Marcelo Fondacaro planteó para mejorar los estándares en ciberseguridad.

Luego de varias semanas en que el tema ha estado en el primer plano por la fuga de datos sensibles de usuarios de la banca local, Fondacaro, ejecutivo de VeriTran, firma dedicada a desarrollar soluciones para la banca digital y pagos implementadas en más de 35 bancos -entre ellos BancoEstado y BBVA, además de mantener alianzas con Microsoft, Mastercard y Visa -, expresó que existe conciencia en la banca sobre el problema existente y la necesidad de tomar decisiones "económicas y políticas" en la materia.

Las respuestas creadas por la compañía alcanzan, actualmente, a cerca de 10 millones de clientes, quienes ejecutan alrededor de 4.000 millones de transacciones anuales, tras once años de trabajo.

El Centro de Desarrollo e Implementación de la Empresa está ubicado en la ciudad de Pereira, Colombia, mientras que las oficinas se distribuyen por Santiago, Bogotá, Buenos Aires, Ciudad de México, Lima y Miami.

-¿Cuáles son los principales desafíos del país, tanto en el sector público como privado, en cuanto a ciberseguridad?

-No solamente en el país, la ciberseguridad es un factor que se debe tener en cuenta siempre, sobre todo en la industria financiera. Si bien hace poco hubo ataques, generalmente lo que se busca son los puntos débiles. Entonces, el desafío desde el punto de vista del Estado es trabajar en una legislación más fuerte que haga una inducción a la industria financiera para tomar medidas que aumenten los niveles de seguridad actuales. Y desde la perspectiva privada, las organizaciones deben revisar sus procesos y procedimientos internos para ver cómo se mejoran. Lamentablemente la banca es uno de los sectores más susceptibles, el mundo digital abrió una puerta al fraude y hay que saber combatirlo rápidamente.

-¿De qué manera cree que la banca ha reaccionado ante los últimos episodios ocurridos en Chile?

-Sabemos que en el último tiempo Chile ha tenido incidentes relacionados a robo de datos bancarios, pero sabemos que las autoridades de Gobierno están revisando la normativa existente, y la banca está invirtiendo aún más y discutiendo las mejores alternativas para optimizar la seguridad de los usuarios digitales.

-¿Existe conciencia del tipo de trabajo que se debe realizar en este ámbito?

-Sí, los bancos saben que existe este problema y hay conciencia sobre eso. El problema es que no basta sólo con tomar conciencia, sino que también hay que tomar una decisión tanto política como económica, para afrontar esos desafíos y mejorar los niveles de seguridad.

-¿Es una figura correcta la creación de un delegado encargado de ciberseguridad, como lo acaba de anunciar el Gobierno?

-Yo creo que sí. Todas las medidas que se tomen ayudan a mejorar la seguridad, pero de cualquier forma un delegado de ciberseguridad en el ámbito estatal lo que va a hacer es fijar normas comunes para la industria, porque el regulador da un control y da un marco de trabajo, pero después es decisión de cada organización cómo las implementa y hasta dónde las implementa. Entonces, me parece que además de tener un coordinador, que es fundamental, creo que cada banco debe tomar conciencia de las medidas que sean pertinentes para su organización. Sí es muy necesario que el gobierno tome acciones y fije los marcos legales de todo esto. Sin embargo, más allá de la normativa cada organización debe tener sus recaudos.

-¿Cuáles serían los elementos de la banca móvil que la hacen más segura?

-Los elementos de la banca móvil son varios. Primero, la encriptación de los datos, la encriptación del canal, pero a su vez la utilización de un segundo factor acompañado con biometría. Podríamos decir que los bancos que cuenten con estos elementos hoy van a tener los más altos estándares de seguridad y no van a ser blanco fácil de los fraudes. En cambio, los bancos que no cuenten con estos elementos tendrán un estándar más bajo y estarán expuestos. Las regulaciones te solicitan tener un segundo factor, pero hay varios. El caso del soft token puede ser uno y las tarjetas de coordenadas otro. No obstante, el sistema de las tarjetas de coordenadas es muy antiguo, muy vulnerado y propenso al fraude. En cambio, el soft token, dependiendo de cómo esté implementado, también puede ser vulnerado. Entonces, no hay que usar sólo el One Time Password (OTP) como inicio de sesión, sino lo que se debe hacer es firmar la transacción por sí misma, ya que con eso aumentas la seguridad y reduces el fraude.

-¿Existe conciencia de parte de los usuarios que la seguridad depende de sus propias acciones?

-Si los sistemas estuvieran bien hechos no dependería de los usuarios. Es responsabilidad del banco entregarles elementos de seguridad que sean sencillos de usar, sin que la responsabilidad sea del cliente.

-¿De qué manera la banca debe definir un mayor sistema de seguridad, a la luz de los últimos episodios conocidos en Chile?

-Hay muchos métodos que se pueden implementar, particularmente revisiones en los procesos internos, hay que blindar los sistemas para utilizar firmas de transacciones. Si todas las transacciones se firman y podemos entender de forma clara y segura qué es lo que el usuario quiere hacer, y quién es el usuario que está detrás de la transacción, podemos afirmar que los procesos van a ser mucho más seguros. Si solamente tenemos sistemas que determinan el usuario que está accediendo al canal, la seguridad va a ser todavía vulnerada.

-¿Estas medidas aumentarán el costo del servicio para las personas?

-No debería ser así, aumentar la seguridad no significa aumentar los costos, porque para prevenir los bancos deben invertir en tecnologías, pero tienen que también depositar más capital y con esto disminuir el riesgo operativo, tener reservado más dinero para cubrir los costos.

"El sistema de tarjetas de coordenadas es muy antiguo, muy vulnerado y propenso al fraude. En cambio, el soft token, dependiendo de cómo esté implementado, también puede ser vulnerado"."

"Si los sistemas estuvieran bien hechos no dependería de los usuarios. Es responsabilidad del banco entregarles elementos de seguridad que sean sencillos de usar, sin que la responsabilidad sea del cliente"."