Pagos con celulares, virtualización y ciberataques: la tecnología incrementa los riesgos y también los estímulos para el sector financiero
[private]Por Daniela Guzman
8 de mayo de 2014
El ritmo acelerado de la tecnología y la innovación han obligado a las instituciones financieras a adaptarse a una base de clientes que es cada vez más móvil, con acceso a una amplia gama de plataformas en línea.
A medida que la experiencia bancaria adapta sus formas y por ejemplo pasa de la clásica cola en la sucursal de un banco a transferir fondos a través de smartphones, y las instituciones buscan formas rentables para mudar los datos de clientes y de cuentas a una nube de almacenamiento, dos de los más fuertes movimientos de alta tecnología en el sector de las finanzas son la movilización de los pagos y la virtualización de los sistemas de datos. Ambos ofrecen un potencial ahorro de costos y la mejora de la experiencia del cliente de las entidades financieras, pero a la vez presentan nuevos riesgo de lavado de dinero, ciberseguridad y regulatorios.
Para entender mejor estas tendencias y su intersección con la delincuencia financiera y el cumplimiento, ACFCS visitó la conferencia eMerge TechWeek en Miami. A continuación se presentan algunas lecciones y conocimientos más importantes de los expertos en cumplimiento, ciberseguridad y sistemas de pagos que participaron del evento.
Virtualización
Las organizaciones que buscan reducir los costos, reducir su consumo de energía y mejorar la escalabilidad (posibilidad de crecimiento) están recurriendo cada vez más a la virtualización de datos. En términos generales, la virtualización divide un servidor físico en múltiples entornos virtuales. Esta infraestructura permite a la industria financiera procesar datos de varios servidores que no se concentran en un mismo espacio físico.
Paul Jameson, el director general de Global Industries en Cisco, cree que la virtualización crea una mejor experiencia para los clientes y tiene un impacto más positivo para los bancos. Con tres décadas de experiencia en banca y servicios de TI, el fundador y ex CEO de e-Bank dijo que la revolución en realidad reduce el riesgo de delitos financieros.
«Se reduce el riesgo porque todo se puede registrar y se cuenta con un sistema de auditoría de registro», dijo Jameson. «Crea un intercambio automatizado de información».
La virtualización, sin embargo, plantea un dilema de cumplimiento para las instituciones que operan en múltiples jurisdicciones. Cuando la información financiera es mantenida en una nube (cloud computing system), la administración por jurisdicción se convierte en una zona muy gris. Suiza, por ejemplo, no permite el intercambio de información a través de la virtualización de los sistemas de datos bancarios. Jameson señala que depende de las autoridades nacionales regular lo que se puede hacer en una plataforma virtual.
Dinero móvil
Los sistemas de dinero móviles, o a través de teléfonos celulares, se han vuelto muy populares, especialmente en los países en vías de desarrollo. Uno de los más utilizados es el sistema M-PESA de Kenia, un derivado de Safaricom, el operador de la red móvil más grande del país. M-PESA permite a un individuo transferir fondos a través de su teléfono a cualquier otra persona o negocio con una cuenta M-PESA.
M-PESA obtuvo popularidad como un medio para pagar los préstamos de microfinanzas. Ha recibido la aprobación informal por parte del regulador nacional y es utilizado por los dos tercios de la población adulta, según un informe de The Economist. Alrededor del 25% del producto bruto interno de Kenia pasa a través de la red móvil.
A medida que el perfil de M-PESA ha ido aumentando, también han crecido los temores de que podría ser explotada en esquemas de lavado de dinero y delitos financieros. Las cuentas de M-PESA por lo general son financiadas con dinero en efectivo, visitando uno de los casi 60.000 agentes del sistema móvil. Por lo general, estos agentes son pequeñas empresas con poca capacidad de realizar medidas de diligencia debida y los pagos pueden ser muy difíciles de monitorear y rastrear. Transferencias de M-PESA ya han aparecido en esquemas de soborno, extorsión y falsificación en Kenia.
Otros países están comenzando a ganar terreno en el campo de los pagos y banca a través de telefonía celular. Los teléfonos celulares son cada vez más accesibles para la población de América Latina, algunos pueden costar US$20. Sin embargo, un gran sector de la sociedad permanece sin servicios bancarios.
Servicios como YellowPepper, un sistema bancario y de pagos móviles de América Latina que presta sus servicios en Colombia, México, Ecuador y Perú, están buscando achicar esta brecha, sin dejar de ser consciente de los desafíos de cumplimiento. La compañía con sede en Miami ha recibido US$30 millones como inversión de capital de riesgo y busca convertirse en un servicio generalizado en la región.
“Hay una gran presión regulatoria y de cumplimiento para los pagos móviles en América Latina”, dijo Serge Elkiner, CEO y cofundador e Yellowpepper. “Todavía es un área gris pero estamos hablando con todos los reguladores”.
YellowPepper ha integrado existentes sistemas de procesamiento de tarjetas de crédito como PayPal, facilitando el proceso regulatorio. Aun así, se presta una especial atención a la seguridad, ALD y el conocimiento del cliente.
“El usuario es identificado cuando baja y registra el app”, señala Elkiner.
“Le ofrecemos una seguridad de la transacción mayor que la seguridad de la transacción existente”.
Convergencia y ciberseguridad
El cambio hacia la virtualización de datos y la prisa por crear nuevos productos móviles pueden presentar una serie de beneficios para las instituciones financieras y sus clientes. A veces, estas ventajas han opacado el complejo tema de la seguridad cibernética.
Bogdan Carbunar es investigador en el Applied Center de Motorola, centrándose en sistemas distribuidos, seguridad y criptografía aplicada. Señala que la seguridad es como la juventud – solo te preocupas de ella una vez que la has perdido. En el sector financiero, este tipo de complacencia podría ser muy costosa.
«Los desarrolladores tienen mucha presión para crear nuevas aplicaciones – la privacidad y la seguridad no son siempre una prioridad para ellos», explica Carbunar. «Las empresas y los productos ponen [a los individuos] en riesgo y nos exponen, pero al mismo tiempo no ponemos suficiente presión [sobre las empresas] y legisladores para mejorar la seguridad.
La violación de los datos de la firma minorista estadounidense Target puso al tema de la seguridad cibernética en los sistemas de pago en el centro de la escena. El director general de Target Greg Steinhafel renunció el lunes, cinco meses después de que la empresa minorista sufriera una filtración de datos masiva que expuso la información de tarjetas de crédito y débito de 40 millones de clientes y la información personal de otros 70 millones de personas. El director de información de Target dejó el cargo en marzo.
“Los delincuentes están haciendo un magnífico trabajo al exponer el problema. Cuando hay más publicidad la gente empieza a prestar atención”, dice Carbunar.
Los adversarios pueden ser delincuentes, bandas del crimen organizado, hacktivistas, e incluso empleados que, sin saberlo, exponen datos. A medida que las amenazas se multiplican, el monitoreo en tiempo real y el diagnóstico son la clave para mantener los datos seguros, dijo Edmundo Costa, director general de la empresa de seguridad Catbird. También señaló que las filtraciones de datos de alto perfil seguirán centrando la atención, y la inversión, en la seguridad cibernética.[/private]