¿Cuál es la visión de Gemalto sobre la ciberseguridad en pagos?

 

 

Los medios de pago a través de la banca y del ecosistema de comercio electrónico han sido víctimas del crimen cibernético, dado que, un Robo de credenciales de banca en línea y datos de tarjetas generan una rentabilidad inmediata a la industria del fraude. Por esa misma razón también, es cierto que la banca y el comercio electrónico son los más avanzados en herramientas de protección comparados con otras industrias.

 

 

¿Que tipo de herramientas o mecanismos utiliza la compañía para apoyar a sus clientes en estos asuntos?

 

 

La gestión de acceso e identidades para la firma electrónica y autenticación, integrada a las distintas tecnologías de redes internas, servicios de nube y ambientes virtuales, son parte importante de nuestra estrategia.

 

Algo que por fin empieza a generar atracción y demanda en la región, es el cifrado de datos sensibles y financieros. 

 

Esto ya es parte de algunas regulaciones que empiezan a salir, es parte integral del modelo de responsabilidades entre proveedores de servicios en la nube y sus clientes, además es el último recurso si los cibercriminales se meten en su ambiente y llevan algún volumen de datos sensibles. 

 

Si dicho dato está cifrado bajo las buenas prácticas de protección de datos y manejo de llaves criptográficas no hay razón para preocuparse. El dato cifrado no es rentable para el ciber crimen y Gemalto tiene en su oferta un producto llamado SafeNet encryption y tokenization con dimensión a su medida y con diferentes niveles para cifrar diversas  tecnologías que nuestros clientes utilizan en sus ambientes al día de hoy.

 

 

¿Que incidencia tienen los gobiernos en temas de ciberseguridad? Por ejemplo, normas leyes etc, que obliguen a las empresas a tomar recaudos.

 

 

Empieza a ganar más velocidad el tema de las leyes de privacidad de datos en distintos países de la región, por las filtraciones que han ocurrido y por la ley de Europa (GDPR) que ya nos está impactando de alguna manera a todos desde el semestre pasado.

 

Hace pocos días el Banco Central de Brasil emitió una circular para que los procesadores de pago establezcan un protocolo común en temas vinculados a ciberseguridad. ¿Qué opinión le merece este tipo de iniciativas?

 

Es un marco importante porque además de exigir un plan formal de seguridad cibernética a la banca, informa las condiciones para que los bancos puedan migrar sus contenidos hacia la nube y por primera vez, menciona claramente el cifrado como herramienta estratégica de seguridad cibernética.

 

 

 

De la cadena de pagos,  ¿Cuál es el eslabón más vulnerable? (pagos online, móviles o presenciales)

 

 

Pagos en línea, sean móviles o no. El concepto de tarjeta no presente (Card not present - CNP) porque no se exige el NIP y la tarjeta en una terminal para que se dé el pago. La tecnología que nos genera toda la seguridad para un pago con chip & pin (tarjeta presente) es el algoritmo criptográfico en el chip. La propuesta de Gemalto para la protección de los datos es utilizar esa misma tecnología para cifrar información en las bases de datos y los distintos sistemas y aplicaciones de cualquier empresa, en especial la banca. Por otro lado, volviendo al tema de banca en línea, hay mucha inversión en la industria y México es un buen ejemplo de herramientas como el Código de seguridad dinámico (DCV) o las mismas tarjetas virtuales, exclusivas para pagos en línea.

 

 

¿Cuáles son los ataques más frecuentes hoy en día? 

 

 

Hemos visto en toda la región ataques a bases de datos de ecommerce, retail y buró de crédito (credit score agencies). Además de los ataques a la banca, con robo de datos financieros y sensibles de los sistemas y aplicaciones de una empresa, ya sea en la nube, data center o en sus servidores. 

 

Para la banca también es muy común el phishing, que es cuando se envía un correo con una página web falsa buscando obtener los datos bancarios o de tarjeta de crédito del usuario, después que el mismo cree que la pagina falsa sea la pagina de su banco o su tienda de ecommerce. 

 

En todas las verticales, desde salud a manufactura, pasando por empresas de telecomunicaciones a empresas de educación, ha habido ataques de ramsoware, cuando secuestran la base de datos de la empresa, la guardan cifrada y piden un rescate (un premio, normalmente en criptomoneda) para regresar todo el volumen de información a la empresa que lo tenía.

 

 

¿Qué medidas deberían de tomar las instituciones financieras para disminuir este riesgo?

 

 

Para todos los casos, hay formas de cuidar los distintos perímetros (nube, sistemas internos, etc..) como firewall, casb, doble factor de autenticación (que es un mercado donde actua Gemalto), pero en especial el cifrado de datos siempre será el último recurso que podrá utilizar una empresa porque aunque el defraudador haya invadido su red y sus sistemas, él no tendrá acceso a la información sensible porque esta estará cifrada y nadie podrá verla con excepción de los usuarios que tienen el permiso de hacerlo. 

 

El cifrado es clave para que el cibercriminal no pueda rentabilizar su actividad fraudulenta y eso es parte de lo que ofrece Gemalto. También es clave una buena solución de respaldo, en especial para restaurar su información en un caso de ramsomware. Aunque no sea parte de nuestro portfolio, es una parte de una efectiva estrategia de seguridad cibernética como el cifrado y la autenticación.

 

 

 ¿La educación del usuario es importante en este tema? 

 

 

Sí, es de suma importancia. Mencionamos el phishing como un caso que debemos de evitar como clientes y como empleados de nuestras empresas pero también, están los procesos internos y la educación del usuario. Una sesión abierta con sistemas con información confidencial que no expira jamás y que se puede acceder con usuario y contraseña es algo muy débil y es justo en casos así que se mete el cibercriminal, porque la ingeniería social para el robo de usuarios y contraseñas es algo muy sencillo para sus actividades.

 

 

Hace poco hubo un robo importante de datos en tarjetas del sistema financiero chileno. ¿Qué opinión le merece este asunto?

 

 

No solo para el caso del sistema financiero chileno, pero en todas las filtraciones en los últimos 3 años, más que el 95% de los casos, los datos no estaban cifrados solo parcialmente. Si hubiera sido implementado el cifrado, no habría razón para preocuparse porque los cibercriminales no tendrían acceso a los datos en claro.

 

 

Si bien las Fintech han generado tecnologías disruptivas en diversas áreas en beneficio de los usuarios ¿no cree que también se debe tener cuidado en estos avances?

 

 

La regla es la misma para todos. Los cuidados son los mismos con los bancos grandes (que han sufrido ataques en la región) y con las fintechs (donde también ha habido filtraciones)