Hay empresas de las que uno tiene una imagen determinada que, en ciertas ocasiones, resulta limitada. Por ejemplo, Thales es una compañía que uno identifica habitualmente con telecomunicaciones satelitales y sistemas conexos. Sin embargo, a poco que recorramos su sitio web —por dar un ejemplo—, nos encontramos con una buena cantidad de otros servicios, entre los que se destaca lo que llaman “Identidad y Seguridad Digital”.
ITWare conversó con Andrés Kecskemeti, Head de ventas de Banca y Pagos de Thales para el Cono Sur, acerca de las amenazas que apuntan hacia la identidad digital y cómo esas amenazas pueden poner en riesgo no sólo la identidad del usuario sino también el ecosistema fintech. La “biometría comportamental” y la “autenticación del usuario basada en el riesgo” son algunas de las herramientas que aparecieron en la conversación.
¿Qué es lo que ustedes manejan en el tema de identidad digital?
Thales es un grupo de empresas que tiene foco en distintos tipos de industrias y atendemos a necesidades de los distintos tipos de segmentos en la materia de identidad digital. Nuestro objetivo es ser un facilitador tecnológico que brinde los estándares de seguridad más altos y posibilite, justamente, el acceso una identidad digital y la validación de esa entidad digital. Luego se podrá ser parte de un ecosistema donde distintos tipos de trámites o interacciones se hagan en formato digital y tenemos distintos tipos de soluciones como, por ejemplo, la creación de documentos de identidad digitales, o la verificación de los documentos. Trabajamos a lo largo del mundo con grandes gobiernos, ministerios de defensa, entes de registro civil, entes emisores de licencias de conducir, etc.
Adicionalmente, buscamos aplicar este tipo de know-how, esta experiencia que nosotros fuimos ganando, en nuevas industrias que van requiriendo esas clases de servicios. Ahí es donde, por ejemplo, empezamos a trabajar en forma muy fuerte con la industria de financieras y de bancos y de medios de pago porque, justamente, este tipo de industria empieza a realizar una transformación desde el modelo más convencional de un medio de pago físico hacia un medio de pago digital donde cada vez cobra más relevancia la forma en la cual hacemos el onboarding digital, el enrolamiento inicial de un cliente y después comprobamos su identidad para la realización de distintos tipos de transacciones financieras o herramientas de creación de motores biométricos, entre otras.
¿Cuáles le parece que son hoy las principales amenazas de las cuales hay que protegerse en este sector financiero?
Creo que esas amenazas van mutando constantemente, van tecnologizándose cada vez más. Siempre decimos que cuando nosotros nos estamos preparando para un tipo de fraude, ya el fraudulento está creando una nueva forma, entonces, creo que hoy en día el desafío más grande de la industria financiera es buscar mecanismos que no sean de fácil vulneración. Ahí Thales se está enfocando en mecanismos que miden lo que se llama biometría comportamental, o sea, aplicamos tecnología que busca identificar patrones, conductas específicas de una persona, y de esa forma crear la identidad digital de esa persona para nuestros clientes, de forma tal que podamos identificar cuándo hay un cambio en esos patrones. Si yo me logueo siempre en mi aplicación del banco desde un mismo dispositivo móvil, generalmente en los mismos rangos horarios, hago el mismo tipo de transacciones, y de un día para el otro intento conectarme desde un nuevo dispositivo, conectado desde una IP de Rusia a las 3 de la mañana de Argentina, va levantar determinas alertas de seguridad que no me van a dejar tranquilo. Ese tipo de comportamiento es lo que intentamos medir y comúnmente se conoce como RBA (Risk Based Autenthication) que es una autenticación del usuario basada en el riesgo. El riesgo cero no existe, lo sabemos todos, entonces lo que buscamos es de qué forma trabajar inteligentemente con el riesgo y tomar las decisiones más apropiadas para cada instancia y para cada tipo de riesgo. Podríamos aplicar tres tipos de validación distintos para cada transferencia que haga un usuario desde su dispositivo, pero terminaría siendo probablemente una experiencia que no lo deje tranquilo.
Precisamente, hay un eterno conflicto entre seguridad y usabilidad ¿Cómo se compatibiliza la seguridad con la experiencia del usuario?
Los distintos tipos de entes que están empezando a aplicar estas tecnologías están identificando eso: que la transacción sea segura o que sea una experiencia de usuario amigable; puede ser una combinación de las dos.
Nosotros las llamamos tecnologías de autenticación pasivas. No le estamos pidiendo una interacción al usuario final, sino que él no se da cuenta de qué comprobaciones se están haciendo. Esto tiene un doble beneficio: por un lado, la usabilidad es muy buena para el usuario final porque él siente como que no le estás pidiendo nada y, por el otro, que el fraudulento no conoce a ciencia cierta qué tipos de comprobaciones se están haciendo y, por consiguiente, no sabe cómo vulnerarlas. Pero sin duda lo que estamos buscando cada año que pasa es desarrollar nuevas tecnologías que sean pro usabilidad pero también cada vez más robustas, que nos permitan ir incorporando las nuevas temáticas de fraude que van apareciendo constantemente.
Cuando se refiere a fraude ¿habla de phishing, robo de identidad, qué amenazas más concretamente está “esperando” que aparezcan para proteger o prevenir?
Nos gusta decir que somos especialistas en seguridad digital y nos tomamos muy en serio los desafíos de la vulneración de la seguridad. Phishing no es más ni menos que el acceso a determinadas credenciales para hacer otro tipo de fraude, es la puerta de entrada pero después comúnmente lo que estamos viendo en la industria financiera es lo que se llama Account Takeover o usurpación de identidad. A través del phishing se hacen de las credenciales de acceso a un Home banking o a una aplicación, y a partir de eso pueden hacer otro tipo de transacciones financieras dentro de ese ecosistema que generen un fraude.
Este tipo de soluciones lo que buscan es identificar ese tipo de fraudes cuando hay alguien que está intentando hacerse pasar por ti sin necesidad de pedirte información adicional, porque tus patrones de comportamiento no están siendo consistentes con el tracking que vamos llevando sobre el tuyo. O sea, tenés ataques donde te redirigen a un sitio web que se ve exactamente igual al homebanking de tu banco y es muy difícil identificar cuándo se está tratando de un phishing o no; a ese nivel de profesionalismo han llegado los fraudulentos y justamente ahí es donde tenemos que implementar herramientas tecnológicas que nos apoyen en evitar esa clase de medidas. Además, algo que es fundamental en materia de prevención de fraudes es la conciencia del usuario final, porque siempre lo decimos: dos de cada tres fraudes terminan proviniendo del eslabón más débil de la cadena, qué es el ser humano. Entonces, tanto a nivel usuario final como a nivel de las organizaciones, tenemos que cuidar ese eslabón más débil.
¿Cómo ve la aplicación o la intervención de la Inteligencia artificial en estos casos, en estas situaciones?
Creo que termina siendo fundamental. Es parte de las nuevas tecnologías que van apareciendo y que nos apoyan en esta batalla contra el fraude pero así como nos apoyan a nosotros también apoyan a los fraudulentos. Entonces ahí es donde vamos a estar en una constante batalla tecnológica donde tenemos que entender como organizaciones, que toda inversión que hagamos en materia de ciberseguridad es una inversión a futuro y es para proteger uno de los activos que probablemente sea el más importante para la organización, que es la información. Creo que tenemos que tomar ese compromiso de invertir realmente y no verlo como un gasto, como algunas organizaciones hoy en día siguen viéndolo. Creo que ya los últimos tiempos han acompañado esta tendencia y han cobrado cada vez mayor relevancia los puestos de ciberseguridad en las organizaciones. Este cambio de conciencia es el cambio de cultura de ver que esto ya no es más una comprobación que tenemos que hacer, sino que es parte de la creación de producto y de la creación de valor; creo que hay muchas organizaciones que ya han empezado ese camino y que lo vienen recorriendo hace un tiempo y con una inversión cada vez mayor.
Estuvimos hablando todo el tiempo de prevención, pero ¿qué pasa con cuando el ataque ocurrió, con la remediación?
En la remediación, creo que uno de los grandes desafíos es aprender qué fue lo que pasó, hacer un análisis postmortem, identificar las vulnerabilidades que llegaron a ese puntos y creo que, justamente, ahí es donde las organizaciones terminan convenciéndose de que hubo alguna decisión en el pasado que se puede cuestionar y que podrían haber aplicado algo adicional que en su momento no vieron. Probablemente no lo vieron porque o no conocían el producto o el producto iba en contra de su propia usabilidad. Y ahí vuelvo a lo importante de lo que charlamos: me parece que es fundamental esta convivencia entre la prevención del riesgo pero también la usabilidad del cliente. Creo que las organizaciones tienen que entender que en esos análisis o en esos casos de remediación, podemos identificar claramente que hay alguna conducta que no habíamos mapeado, alguna nueva tendencia de prevención de fraude que no era conocida hasta el momento, y que tenemos que aplicar nuevos mecanismos. Vuelvo a lo que decía en un principio, que el riesgo cero no existe, nunca vamos a alcanzarlo y no es tampoco nuestro deseo como organizaciones, sino más bien es intentar trabajar con la existencia de riesgo y mitigarlo lo máximo que se pueda. Creo que esos análisis de remediación van muy enfocados en encontrar la causa raíz y ahora, a través de esa causa raíz, entender qué se podría haber hecho distinto y qué se pueda hacer diferente de aquí en más. Creo que los últimos casos que hemos visto en el mercado argentino hablan cómo las organizaciones, a partir de estas vulnerabilidades detectadas, se mueven en consecuencia para evitar que eso se repita y para, incluso, ser aún un poco más protectoras de esas conductas y evitar que algo similar se pueda repetir a futuro
¿Qué vislumbra en el futuro de la ciberseguridad?
Estamos con un foco muy fuerte en todo lo que es la industria fintech. Se suele hablar en el mercado de que muchos de estos fraudes ocurren porque hay fintech que no aplican mecanismos de seguridad adecuados. Nuestro foco va a estar en acompañar no solo al emisor o al banco más tradicional sino también a esas nuevas fintech que van apareciendo para que puedan, en forma robusta, proteger a sus clientes y proteger al ecosistema en sí mismo.
