" "
Blog de
  • Roberto Opazo

Roberto Opazo

Director ejecutivo de Khipu.

Etiquetas: , , , , , , , » Publicado: 11/03/2016

Prepago: Una cosa es una cosa…

Si bien somos una empresa muy pequeña, como khipu fuimos invitados a exponer nuestra opinión ante la Comisión de Hacienda del Senado sobre el proyecto de ley que amplía las opciones de pago en el comercio. Valoramos el espacio de participación, pero hubo 2 puntos en los que no recibimos ninguna señal alentadora y que nos parecen muy extraños.

La sabiduría popular suele aclarar: Una cosa es una cosa… y otra cosa es otra cosa.

Esta semana tuve el honor de ser invitado a la Comisión de Hacienda del Senado de Chile, para presentar el punto de vista de khipu sobre el “Proyecto de ley que permite la emisión de medios de pago con provisión de fondos por entidades no bancarias”.

Creo que el sólo hecho de estar ahí y tener la oportunidad de presentar, en la misma instancia que el presidente del Banco Central, es una muestra de democracia plena. Llegamos a esa instancia sin color político, sin pitutos y en total cumplimiento de la Ley de Lobby.

Previamente habíamos solicitado, por conducto regular, audiencia con los 5 senadores que conforman la Comisión de Hacienda. 2 de ellos nos habían recibido y nos escucharon atentamente, dejando registro del contenido de cada reunión, como corresponde según la Ley de Lobby. En conclusión, pidieron que la comisión nos invite a exponer.

Antes de compartir nuestro punto de vista, siento el impulso de destacar que khipu es una empresa muy pequeña en relación a todas las organizaciones privadas y órganos del Estado que han participado en esta instancia.

Por lo tanto, el espacio de participación tenía gusto a democracia perfecta, un gusto que se disfruta más en estos tiempos de escándalos y decepciones, un gusto que se debe compartir, para no caer en el peligroso “son todos iguales” o “no hay nada que hacer”.

El tema central de nuestra propuesta era que el texto mismo de la ley indique al Banco Central que en el reglamento que tendrá que redactar, DEBE considerar tramos, con distintas exigencias dependiendo del riesgo que el nivel de operación de las empresas represente para la fe pública. Esto, porque empresas que parten como emprendimientos de innovación tecnológica, van accediendo al capital en forma gradual, por lo tanto, su posibilidad de cumplir con requisitos de capital y encaje, requiere tiempo.

Siendo así, si Chile quiere contar con una industria Fintech, entonces debe tener un marco legal coherente con una política pública y es peligroso esperar que un órgano técnico (el Banco Central) se haga cargo de una definición política (exigencias graduales para permitir la entrada de empresas pequeñas). Si bien hubo debate sobre la forma, no hubo duda en cuanto a que hay acuerdo sobre el fondo de este punto.

Pero hay 2 puntos en los que no recibimos ninguna señal alentadora y nos parecen muy extraños. Se define que la ley norma a todo operador que “…contraiga habitualmente obligaciones de dinero para con el público en general o ciertos sectores o grupos específicos de él”. En esta definición cabe un corredor de propiedades que cobra arriendos, una empresa de cobranza, una empresa de inversiones y muchas más. Este tipo de empresas, sin duda requiere regulación y control, pero no en el marco de una ley y reglamento de medios de pago. Sin duda, son otra cosa y requieren otra norma.

Resulta aún más duro digerir que, en el marco de una ley de prepago, se autorice a las sociedades de apoyo al giro bancario (Transbank) a la interconexión entre redes de operadores de medios de pago.

Por supuesto que es deseable que la interconexión entre operadores exista, pero con el debido cuidado de igualdad de oportunidades en el acceso. Esta es una ley para normar la emisión, pero incluye un pequeño párrafo autorizando la interconexión de redes de operadores de pago, lo que no sólo es otra cosa, sino que además tiene otro proyecto de ley completo en curso.

Comentarios del artículo: Prepago: Una cosa es una cosa… - Publicado: a las 1:00 am

Etiquetas: , , , , , , » Publicado: 24/02/2016

Seguridad informática, una tarea de la gerencia

Usted no negaría presupuesto para bototos de seguridad, cámaras perimetrales o sensores infrarrojos. Y la seguridad informática es igual de importante.

Durante años, la imagen del gerente o director, que atiende temas estratégicos de la empresa y deja “lo técnico para los técnicos” ha sido muy respetada, pero es urgente terminar con eso.

De acuerdo a la cuenta anual de la Fiscalía Nacional, el tipo de delito que más creció en denuncias fue el uso fraudulento de tarjetas de crédito y débito. Aumentó en un 94%, llegando a 34.359 denuncias en el año.

Es el tipo de denuncia que más se incrementó, más que robos callejeros, hurtos, violencia intrafamiliar, delitos sexuales, etc. Por eso se hace necesaria la reacción de directores, gerentes y de la autoridad, porque este no es un tema que se resuelva diciéndole a los usuarios que elijan claves difíciles o que no pinchen enlaces en correos electrónicos, menos con dibujos de candados en la folletería o página web de la empresa. Se requiere compromiso social, porque los individuos pueden hacer muy poco para protegerse.

Frecuentemente los periodistas me preguntan por consejos para que un “ciudadano de a pie” se proteja contra atacantes electrónicos. La verdad es que es como darle consejos a un ciclista para trasladarse en una ciudad sin ciclovías: Hay que mejorar el sistema, no es posible construir una burbuja segura sólo para uno.

Partamos por lo siguiente, esta es una prueba que puede hacer un cliente, gerente o director de cualquier empresa que trabaje con datos sensibles de los usuarios. Los invito a conectarse a https://www.ssllabs.com/ y elegir la opción “Test your server”. Todo lo que tendrán que hacer es ingresar la dirección web de su sitio y obtendrán una clasificación de riesgo de los protocolos de seguridad. La nota es muy fácil de entender: A+, A, B, C, D o F. El informe se acompaña de detalles técnicos, pero la nota inicial es comprensible por cualquiera: A o A+ son aceptables, todas las otras implican que el sitio tiene presentes vulnerabilidades, que pueden ser aprovechadas para capturar las claves de los usuarios. Lamentablemente, resulta un tremendo desafío encontrar empresas que obtengan una buena clasificación de riesgo en esta simple prueba.

Frecuentemente los periodistas me preguntan por consejos para que un “ciudadano de a pie” se proteja contra atacantes electrónicos. La verdad es que es como darle consejos a un ciclista para trasladarse en una ciudad sin ciclovías: Hay que mejorar el sistema, no es posible construir una burbuja segura sólo para uno.

La prueba anterior no es completa, ni suficiente, para evaluar la seguridad de un sitio, pero tiene la virtud de estar al alcance de cualquiera y al no poner en riesgo el sitio que se está evaluando eso la hace muy interesante.

Se descubre una realidad tremenda, porque los errores que aparecen se relacionan con certificados no apropiados, protocolos vulnerables y en general, con un grupo amplio de falencias que no son muy difíciles de corregir. Si su gerente de sistemas le dice que corregir algunas de esas falencias implica que los usuarios tendrán problemas de compatibilidad con sus navegadores web o que subirán mucho los costos por estar cifrando todas las comunicaciones… Despídalo y contrate a alguien que pueda hacer su trabajo.

Pero si le dice que tiene que comprar un acelerador criptográfico o un certificado más caro, entonces asígnele presupuesto, aunque usted no sepa lo que es eso. Usted no negaría presupuesto para bototos de seguridad, cámaras perimetrales o sensores infrarrojos. Y la seguridad es al menos igual de importante. Es duro, pero éste es un problema que afecta a muchos y requiere de gente seria, comprometida con su trabajo. En SSL Labs sólo se revisan vulnerabilidades que está absolutamente consensuado que no se pueden tolerar.

Para bajar la efectividad de los ataques de phishing y pharming que se están popularizando, es necesario que las empresas usen HSTS (Strict Transport Security) para que su sitio web sólo se pueda visitar usando una sesión segura.

El sitio debe contar con un certificado de validación extendida, para que los usuarios vean en verde el nombre de la empresa al lado de su dirección web y resulta muy recomendable, contar con Certificate Pinning para proteger a los clientes de un atacante que intente usar un certificado falso.

Las medidas necesarias son más, pero lo interesante de estos ejemplos es que pueden ser verificados por cualquier usuario, no se requieren privilegios de administrador o acceso especial a los servidores de la empresa.

Hecho eso, tiene sentido gastar presupuesto de marketing para enseñar cosas útiles, como reconocer un certificado de validación extendida, en vez de sugerir imposibles, como dejar de pinchar enlaces en correos electrónicos.

En el caso particular de la banca, hemos observado cómo, durante décadas, los bancos llegan tarde a todos estos temas. A veces lo hacen en forma vergonzosa, como los bancos que hoy usan certificado de validación extendida, pero después de que el usuario ingresó sus claves. Es como usar el bloqueador solar de noche.

Después de la crisis del ‘82, la autoridad definió controles muy estrictos para evitar que la banca corra riesgos altos con sus fondos, pero en seguridad informática se le ha dado libertad extrema. Una excepción a lo anterior ocurrió el año 2006, cuando la SBIF dio un golpe a la cátedra exigiendo a los bancos usar una clave distinta para autorizar cada transferencia. Gracias a eso, Chile tuvo las estadísticas de fraude por transferencias más bajas de la región durante un buen tiempo. Pero se hace necesaria una nueva intervención. No hay razones para pensar que la banca esté en condiciones de auto regularse y el sistema no está pensado para que lo haga. Y mientras la sociedad encuentra la forma correcta de controlar las medidas de seguridad electrónica de la banca y otras empresas, me parece que usar SSL Labs por parte de clientes, gerentes y directores, puede ayudar a dar prioridad a temas que se han postergado sin justificación.

*El autor, director ejecutivo de Khipu (https://khipu.com/), estuvo a cargo de la Cátedra de Seguridad de Datos y Firmas Digitales en la Universidad de Chile por 6 años, antes de asumir la cátedra de Emprendimiento en Negocios Digitales.

Comentarios del artículo: Seguridad informática, una tarea de la gerencia - Publicado: a las 12:30 am

La Nación

Av. Nueva Providencia 1860, Oficina 183, Providencia
Teléfono: 56 2 - 2632 5014

Director Responsable: Patricia Schüller Gamboa
Representante Legal: Luis Novoa Miranda

© Comunicaciones LANET S.A. 2014
Se prohíbe toda reproducción total o parcial de esta obra, por cualquier medio.