El proceso de transformación digital del sector financiero, producido en los últimos años con la aparición de las fintechs y los modelos de open banking (tanto de los propios bancos como de otros actores financieros como Amazon o Google Pay), ha generado un mayor esfuerzo, por parte de todas estas entidades, en cuanto al cumplimiento y protección de la ciberseguridad de sus activos de negocio.
Aunque las infraestructuras del sector financiero, por la propia actividad de su negocio, han estado más expuestas a sufrir mayor número ciberataques, estos se han visto incrementados como consecuencia de la pandemia y del auge que han experimentado las transacciones y los pagos realizados a través de los canales web y la telefonía móvil.
Como consecuencia de lo anterior, la banca, con el objetivo de ofrecer confianza a sus clientes, ha tenido que robustecer las medidas de ciberseguridad para conseguir una mayor protección de sus sistemas de medios de pago y minimizar así los riesgos de fraude.
A su vez, el proceso de transformación digital ha propiciado la incorporación, en las infraestructuras del sector financiero, de nuevas tecnologías disruptivas y emergentes que tienen que convivir dentro del ecosistema financiero, las cuales deben de disponer de mecanismos de ciberseguridad eficientes para garantizar la confianza que esperan y demandan los clientes. Entre dichas tecnologías podemos mencionar, entre otras, las siguientes.
‘Blockchain’
La tecnología criptográfica blockchain se ha ido consolidado durante el último año, tomando relevancia en determinadas transacciones financieras, además de su aplicación en la creación y gestión de criptomonedas o monedas digitales y otras operaciones financieras relacionadas con la firma digital y verificación de la identidad en contratos para seguros, préstamos, hipotecas, pagos internacionales, etc.
Blockchain incorpora la criptografía para cifrar transacciones y hace uso de la firma digital, donde solo el usuario tiene acceso con su clave privada, eliminando así la posibilidad de alteración o fraude. Todo esto proporciona transparencia, trazabilidad y agilidad en los procesos, minimizando la burocratización de los trámites propios de la gestión financiera. A su vez, el uso de los smarts contracts en una red descentralizada permite certificar la fiabilidad de todos los participantes en la cadena y la trazabilidad de cada suceso.
La incorporación de esta tecnología en los procesos de negocio del ámbito financiero está dando origen a lo que muchos expertos denominan el nuevo Internet.
PSD2
Aunque, inicialmente, su entrada en vigor estaba prevista para el 14 de septiembre de 2019, 2021 es el año en el que se ha establecido la obligatoriedad de cumplimiento de la directiva europea PSD2, cuyo principal objetivo es proteger las transacciones de pagos, tanto de la propia operativa bancaria como de las compras realizadas a través de e-commerce, evitando por lo tanto el fraude.
Esta normativa obliga a las entidades a implementar mecanismos de autenticación de doble factor de los usuarios cuando efectúan transacciones a través de los medios de pago. Su modelo de identificación y validación de Autenticación Reforzada de Clientes (SCA, por sus siglas en inglés) se basa en algo que posee el cliente y algo que conoce (como podría ser un dispositivo móvil y una contraseña o PIN).
Cabe destacar que alguna entidad financiera tiene implementado o está trabajando en la implementación de la autenticación de triple factor (3FA), cuyo paso radica en el análisis biométrico del usuario a través de tecnologías como el reconocimiento facial o la huella dactilar.
Por el contrario, aún existen bastantes entidades financieras europeas que, al no disponer de ninguna tecnología para realizar la autenticación de doble factor, siguen haciendo uso de los mensajes SMS para dar cumplimiento a la normativa europea PSD2, asumiendo el alto coste que esto conlleva para cualquier entidad.
Verificación de la identidad de los clientes a través de métodos criptográficos
Cada vez son más los actores financieros que hacen uso de medios criptográficos como el DNI electrónico gestionado por algunos gobiernos de países europeos o contra la BBDD de ciudadanos de organismos públicos como es el caso del INE en México, que como organismo público gestor de la identidad de los ciudadanos mexicanos ejerce de verificador de la identidad de los ciudadanos de ese país desde el año 2016, tal y como señalé en el post de mi blog Hardware Security Module (HSM) para verificar la identidad y proteger los datos de los clientes.
Esta forma de autenticación y validación de la identidad se alinea con la nueva directiva europea de servicios de pago (PSD2) mencionada anteriormente.
‘Tokenización’ de los pagos
Ante la proliferación de los pagos en línea y el refuerzo de pasos para una mejor seguridad, la tokenización surge como un añadido para una mayor agilidad en los pagos en sitios de confianza, puesto que en operaciones habituales ya es posible el uso de un código de identificación exclusivo o token, generado a través de algoritmos criptográficos, en vez de exponer los datos completos del PAN de nuestra tarjeta bancaria cada vez que llevamos a cabo una transacción. Por supuesto, sin olvidar la seguridad del proceso, ya que este token es personal y solo tendrá validez en el dispositivo y/o plataforma donde se realiza la transacción.
A su vez, con la tokenización las entidades financieras cumplen con los requisitos establecidos por la certificación PCI DSS, a cuyo cumplimiento, por parte del consorcio PCI, están obligadas tanto las entidades financieras como el sector retail.
Asimismo, cabe señalar que esta tendencia será de gran importancia en los pagos que se realicen entre los diferentes dispositivos conectados al ecosistema del Internet de las Cosas (IoT, por sus siglas en inglés).
Internet de los Pagos (IoP)
El ecosistema de dispositivos inteligentes conectados entre sí y que se comunican a través del Internet de las Cosas es ya una realidad que va creciendo. Y por lo tanto, un campo que también requiere de securización, especialmente en lo referente a los pagos efectuados a través de estos dispositivos, si queremos crear entornos confiables. Este tipo de transacciones se enmarca en el proceso de transformación digital de los pagos, donde el efectivo pasa a tener un papel secundario.
Ejemplos ya implementados de estos pagos automatizados son el telepeaje en las autopistas y el reconocimiento de matrícula en los parkings. Igualmente, con la proliferación del IoT otros pagos, como el de un frigorífico que detecta las necesidades de compra, la encarga y hace el pago desde el propio dispositivo, ya son viables con el IoP.
Tecnología robusta y confiable
Como conclusión, se puede decir que, ante todas estas nuevas tendencias tecnológicas, los diferentes actores financieros deben de enfrentarse al desafío de implementar soluciones de ciberseguridad robustas, eficientes y que generen confianza.
En esa dirección, la mayoría de las tecnologías mencionadas anteriormente hacen uso de la criptografía (certificados digitales, cifrado o firma digital), una tecnología de ciberseguridad altamente robusta y confiable, que se basa en hardware criptográfico (HSM) y ha sido certificada por una entidad certificadora acreditada y confiable, como es el caso del consorcio PCI (VISA, MasterCard), cuando hablamos de cumplimiento de la ciberseguridad en el ámbito financiero y de los medios de pago.
