Pablo Correa, de BancoEstado, por pugna con Khipu: "Estamos dispuestos a trabajar con ellos en la medida que en conjunto vayamos elevando los estándares de ciberseguridad"

La plataforma de pagos Khipu interpuso este miércoles un recurso de protección en contra de BancoEstado, por impedir que los usuarios del banco puedan utilizar dicha solución de pago para procesar sus transacciones.

Según sostiene la fintech, el banco estatal ha intentado condicionar el desbloqueo obligándola a asumir los costos asociados a las prácticas conocidas como phishing y auto fraude, pese a no ser de responsabilidad de dicha plataforma. Ello, afirma Khipu, implica que el banco está incurriendo en prácticas que atentan contra una sana competencia y garantías constitucionales, además de ser un intento abusivo por traspasar su obligación de pago.

El vicepresidente de BancoEstado, Pablo Correa, explica por qué adoptaron esta decisión: “Esto no tiene nada que ver con Khipu. Como todo el mundo sabe, en septiembre del año pasado nos hackearon, esa es la génesis de todo este problema. Esto no tiene nada que ver con las fintech, ni con medios de pagos, ni con libre competencia, ni con ninguno de los argumentos que hasta ahora Khipu ha dado al público”.

Correa detalla que “esto es fundamental aclararlo, porque creo que como lo ha presentado Khipu ha sido, desde ciertos puntos de vista, una distorsión de la realidad. Esto tiene que ver básicamente con las acciones que desde el 5 de septiembre del año pasado el banco ha tomado para elevar sus estándares de ciberseguridad. Esa es la génesis y el mello del asunto”.

El ejecutivo detalla que desde esa fecha, la estatal ha estado elevando sus estándares de ciberseguridad en todos sus canales. “Donde más ha crecido la transaccionalidad del banco ha sido a través de los canales digitales, por lo tanto, uno de nuestros focos principales ha sido tratar de proteger la transaccionalidad digital. Para dar un ejemplo, antes una de las vías más vulnerables que el banco tenía podían ser los computadores, cajeros automáticos. Pero hoy día son los canales digitales, por ahí es donde hoy día tienes la mayor cantidad de ataques de ciberseguridad”, precisa Correa.

Detalla que una de las medidas que han tomado para elevar los estándares de ciberseguridad “fue la incorporación de un software que es de clase mundial, que no solo lo ocupa el banco, es un proveedor mundial que lo ocupan muchas instituciones alrededor del mundo. Se llama Akamai, que trata de detectar ataques de bots. Por ejemplo, un caso real que nos pasó, es que el año pasado sufrimos un ataque de bots que a través de la página web del banco trató de robar las credenciales, las claves seguras de nuestros clientes. Trató y no pudo. Estas son cosas que efectivamente nos pasan”.

Es por esto que implementaron Akamai, explica, “y desde entonces estamos bloqueando cerca de 150 mil entradas de bots diarios al banco. Esa es las magnitud de bloqueos que este nuevo sistema de ciberseguridad nos ayuda a bloquear. ¿Cómo funciona? Es un software que busca comportamientos, y cuando detecta que lo que está detrás no es un humano sino que un bot, lo bloquea de forma preventiva porque no puede distinguir ex-ante si es un bot que está tratando de robar credenciales desde Corea del Norte, está tratando de introducir un troyano desde Moscú y quiere tomar control de los sistemas del banco, o es un bot de una empresa que está haciendo operaciones como las que hace Khipu”.

Por lo tanto, dice, cuando se dice que esto es una acción que busca dañar a una empresa, es falso. “Tiene que ver con una acción que busca proteger al banco, las credenciales de los casi 14 millones de clientes que tiene el banco, busca evitar que haya un hackeo como el que hubo en septiembre del año pasado”.

Es por esto que Correa argumenta que “nosotros estamos por atender a los empleadores. Creo que nadie puede argumentar que BancoEstado no es el banco de los emprendedores, y lo único que estamos pidiendo de vuelta es poder llegar a acuerdos donde podamos trabajar bajo ciertos estándares de seguridad y de prevención de fraudes y de ataques de ciberseguridad, que prevengan robos que puedan afectar el patrimonio del banco, el funcionamiento y la estabilidad del banco, como también las credenciales, las claves de nuestros clientes, y también el patrimonio de nuestros clientes”.

Respecto a los costos que el banco le pidió a Khipu asumir para seguir conectados, Correa dice que “les planteamos a ellos que durante un periodo transitorio, para que pudieran seguir operando con nosotros, entendiendo su situación, podíamos trabajar en una solución transitoria, donde le podíamos generar una suerte de excepción dentro de esta barrera de Akamai, donde podíamos identificar cuáles eran los bots de Khipu, sujeto a que ellos se hicieran responsables si a través de los bots de Khipu se generaba algún daño patrimonial para el banco”.

De esta manera, concluye, “creemos que acá lo correcto es que este tipo de empresas deben ir avanzando en conjunto con el banco en ir elevando ellos también sus modelos a un ambiente en que sabemos que existen bots distintos que los que ellos ocupan, que se dedican a atacar a los bancos, que esto no tiene que ver necesariamente con la ley de fraudes, podríamos pensar que no existe la ley de fraudes, pero el riesgo para el banco igual existe y permanece, porque estos bots igual podrían meter un ransomware, tomar el control de tus equipos, etcétera”.

En todo caso, el vicepresidente de la estatal asegura que “estamos dispuestos a trabajar tanto con ellos como con cualquier otra fintech, en la medida que en conjunto vayamos elevando las barreras y estándares de ciberseguridad, y nosotros vamos a seguir elevando los estándares y exigencias de ciberseguridad. Creo que lo que tienen que hacer estas empresas es ir perfeccionando sus mecanismos de inteligencia artificial y cómo funcionan sus algoritmos, de manera que puedan ser más fácilmente identificables, e ir separando lo que son operaciones chilenas de sus plataformas, versus las que vienen de hackers y otro tipo de ciberdelincuentes”.

Actualmente Khipu opera con todos los bancos, con excepción de BancoEstado. Asimismo, hay otras entidades bancarias chilenas que operan con Akamai, por lo que tras ser consultado respecto a por qué la estatal ha sido la única que ha adoptado esa decisión, Correa explica que desconoce “cuáles serán los criterios y estándares que ocupan otros bancos. Lo que puedo decir es que nosotros en particular, desde lo que nos sucedió el 5 de septiembre, hemos decidido llevar los estándares de ciberseguridad a los más altos que existen en la industria”.