Por Efrén Páez Jiménez
(dpl news) Las Instituciones de Tecnología Financiera (ITF), como se les conoce oficialmente a las fintech en México, tienen ante sí el reto no sólo de ofrecer opciones financieras accesibles y de calidad a los usuarios, sino de proveer estos servicios de una manera segura.
Aunque para algunas startups podría representar un reto importante, una estrategia de ciberseguridad bien implementada puede convertirse también en una fortaleza competitiva.
México se ha convertido en uno de los principales semilleros de Fintech en América Latina, con más de 441 startups según el último conteo de Finnovista hasta marzo de 2020, y un financiamiento recibido de hasta mil 300 millones de dólares en 2020, según información de Kore Fusion.
A partir de la emisión de la llamada Ley Fintech en México en 2018, las compañías pertenecientes al sector están en la obligación de brindar las herramientas de seguridad y privacidad necesarias que resguarden la información financiera y personal de los usuarios. Uno de los principales cambios introducidos en la ley es la posibilidad de contratar a terceros para la provisión de herramientas de seguridad, tales como la captura y almacenamiento de los datos.
En ese sentido, IQSEC, compañía mexicana de software especializada en ciberseguridad, destaca la importancia de que las fintech cuenten con socios clave de seguridad cibernética que les permitan cumplir con la nueva legislación, pero al mismo tiempo, las habilite para enfocarse en la mejora y calidad de su servicio.
Sergio Navarro, Chief Consultancy y Architect Officer en IQSEC, señaló que ante el crecimiento de delitos como el robo de identidad o el fraude cibernético, contar con un socio de ciberseguridad “es un punto crítico” para las fintech del país.
Según datos de la Comisión Nacional para la Protección y Defensa de los Usuarios de los Servicios Financieros (Condusef), al cierre de 2020, los reclamos a bancos por posibles fraudes como robo de identidad y por operaciones en banca electrónica sumaron 4.78 millones de casos.
“Para una fintech, el contar con un aliado de ciberseguridad que la blinde y que le permita cumplir con la normatividad, pero también salir al mercado con la tranquilidad de que puede proveer el servicio de calidad y con la más alta seguridad, sí es un diferenciador”, resaltó Navarro en entrevista con DPL News.
El ejecutivo explicó que la experiencia previa de IQSEC en proyectos de identidad digital les ha permitido convertirse en un socio natural de las ITF en México, que ahora enfrentan nuevos procesos para el enrolamiento y verificación de identidad de los usuarios.
“Ante la posibilidad de operar el componente de ciberseguridad a través de terceros, nos encontramos con un punto natural para operar en los tres principales vectores de servicio: identidad, ciberseguridad y servicios de consultoría para cumplimiento normativo”, indicó al asegurar que la compañía cuenta con la capacidad de atender cerca del 70 por ciento de las necesidades de seguridad de una fintech.
La posibilidad de contratación de un tercero –como lo maneja la ley mexicana– para el manejo de procesos como el enrolamiento, verificación de identidad y validez jurídica de los usuarios, permitiría a las fintech mantener la agilidad y la innovación que caracteriza a este sector.
Al aprovechar la experiencia y la inversión de un socio de seguridad, las fintech pueden concentrarse en su operación financiera y así acelerar la presentación de nuevos productos y servicios, consideró Navarro.
Mientras que los bancos tradicionales cuentan con sucursales donde está la infraestructura para la captura de datos, como biométricos o una identificación, las fintech deben confiar el proceso de enrolamiento de nuevos usuarios a través de los dispositivos con los que estos cuenten, ya sea un smartphone, tableta o PC.
Sin embargo, IQSEC explica que el uso de nuevas tecnologías ha permitido que en los servicios financieros se desarrollen e implementen modelos no presenciales, con certeza de la identidad del usuario, lo que ha ayudado a reducir y evitar riesgos de carácter: técnico, legal, operativo, de usurpación e identidad, de seguridad, reputacional y de pérdida de confianza.
Aunque el ejecutivo admite que no existen soluciones infalibles, “se garantiza que la información se está resguardando de la mejor manera posible y se está conservando únicamente lo que la norma y las leyes permiten conservar. Sí es un reto, pero es algo que tecnológicamente está solventado”.
Navarro destacó que la tecnología actual permite llevar a cabo un proceso de enrolamiento de una manera segura, a través de la cual las ITF pueden obtener una validación confiable de la identidad del usuario, mientras estos acceden al servicio de una manera ágil y segura.
La captura de una identificación, como pueden ser el INE o el pasaporte, se puede realizar a través de la cámara de los usuarios, para posteriormente ser validada ante las bases de datos de las organizaciones que emiten dichos documentos y así dar seguridad jurídica mediante la obtención de una firma y un estampado de tiempo de la transacción, por ejemplo.
En el caso de los biométricos, al tratarse de datos sensibles, como puede ser la captura de la fisionomía de la cara del usuario mediante un dispositivo móvil, las ITF pueden elegir no recibir los datos o evitar el almacenamiento de los mismos, y simplemente recibir una calificación de validación, con lo que se garantiza la privacidad e integridad de los datos.
“Esto facilita la operación y agiliza el que las organizaciones puedan lanzar productos de manera muy dinámica”, señaló Navarro.
En cuanto a la adopción de las nuevas tecnologías y procesos de seguridad por parte de las fintech, Navarró señaló que aunque existen avances, las organizaciones “están yendo a pasos forzados y menos rápido de lo que quisieran”.
Además, consideró que “el reto y la barrera de entrada que pusieron a las fintech es alta”.
“Yo creo que podría ir todavía más rápido de lo que está yendo si logramos comunicar mensajes puntuales, y si este tipo de plataformas y soluciones son aprovechadas, porque en realidad son un instrumento que están atrás de su imagen y presencia”, agregó.
Nuevos retos de identidad en México
En México, aunque documentos como la credencial para votar son aceptados como un documento de identidad, en realidad no existe una identificación oficial y universal. Al respecto, Navarro señaló que la falta de un documento con estas características representa un reto no sólo para el sector financiero, sino también en otro tipo de interacciones como actos ante la autoridad y transacciones comerciales.
“Es un reto que parece que ya se está legislando y que se está atendiendo, y seguramente nos van a ver participando con todos los jugadores para ofrecer esas posibles soluciones para proveer la identidad digital”, adelantó en entrevista.
IQSEC participó en proyectos como la emisión de la firma electrónica del Poder Judicial de la Federación, las cédulas profesionales de la Secretaría de Educación Pública, y CETES Directo.
Por otro lado, respecto a la ley que pretende obligar a los operadores celulares a la captura de biométricos para reducir el fraude telefónico, IQSEC señala que el mecanismo de enrolamiento y verificación de identidad para una fintech también podría ser válido en el caso de los operadores celulares.
“Pensamos que tenemos un mecanismo muy confiable a proponer para el caso de uso requerido por el regulador, donde se garantizaría que si se guardan los datos biométricos, no en los operadores celulares sino en infraestructura del regulador, estos sólo pudieran ser recuperados por la autoridad bajo una orden judicial, con lo cual también los usuarios podrían ganar confianza de que no se usarían sus datos con otros fines más que los que busca el espíritu de la ley”, puntualizó Navarro.