BancoEstado cierra acuerdo con una de las fintech bloqueadas, pero tensión con las demás continua y recurso de protección de Khipu escala a la Corte Suprema

Ayer la estatal anunció que selló una alianza con Floid, una de las cinco firmas afectadas desde inicios de agosto. Sin embargo, la bandera blanca aún no parece alzarse para otras de las startups.

Autor:
Sofía Neumann
Aug 17, 2021

Ayer la estatal anunció que selló una alianza con Floid, una de las cinco firmas afectadas desde inicios de agosto. Sin embargo, la bandera blanca aún no parece alzarse para otras de las startups.

Akamai es el nombre de la compañía de software que desde inicio de este mes parece haberse convertido en el principal enemigo de algunas fintech que operan en Chile. Desde el 1 de agosto startups del mundo financiero, específicamente Khipu; ETPay; Fintoc; Fintonic y Floid, que han desarrollado soluciones para el sector de medios de pago y de open banking, han visto bloqueadas sus operaciones que tienen relación con usuarios que son parte de la cartera de clientes de BancoEstado. No obstante, el conflicto parece estar llegando a buen puerto, ya que ayer la estatal anunció que alcanzó a un acuerdo con Floid.

“Estamos muy contentos en haber logrado este primer acuerdo. Queremos agradecer a Floid por el trabajo desarrollado en conjunto. Esperamos que más firmas tecnológicas se vayan sumando a este camino de ir, en conjunto, creando un ecosistema que permita elevar los estándares de ciberseguridad, proteger a nuestros clientes y desarrollar el ecosistema fintech y de open banking”, afirmó en un comunicado de prensa el vicepresidente de BancoEstado, Pablo Correa.

Y si bien Roberto Opazo, cofundador y CEO de Khipu, fintech de solución de pagos basada en la simplificación de transferencias y que fue la primera en dar a conocer su caso, celebra el acuerdo entre Floid y la estatal, comenta que por su parte la situación aún no parece avanzar ya que hoy la Corte de Apelaciones rechazó un recurso de protección que la startup había repuesto la semana pasada.

«Se declaró no admisible nuestro recurso de protección y de acuerdo a lo que habíamos solicitado previamente, lo pasó a la Corte Suprema para que lo evalúe (…) Me gustaría que el acuerdo se haga público, para revisar si hay algo que Khipu hubiera rechazado cuando el Banco eligió bloquearnos a partir del 1 de agosto. No creo que Floid haya aceptado pagar el costo del phishing y el auto fraude porque eso sería un suicidio», afirma el cofundador de Khipu, que debido al bloqueo, sus usuarios, principalmente pymes -hoy tienen cerca de 3.500-, que son de BancoEstado no pueden elegir la opción de pago online a través de Khipu.

«Esto viola garantías constitucionales porque las personas que tienen sus fondos custodiados por el Banco y que durante ocho años han podido usar Khipu para pagar les están diciendo ‘ya no’  (…) Están limitando nuestro derecho a a emprender. Los clientes de BancoEstado representan más del 50% de nuestras operaciones y más del 45% de los ingresos de la empresa«, sostiene Opazo, que agrega: «Oscilamos entre el millón de clientes. Del orden de 500 mil clientes de BancoEstado no están pudiendo hacer sus pagos de deuda y compras que hacen por internet (…) Estábamos en un proceso de apertura internacional, pero hemos tenido que desviar la prioridad a enfrentar esta crisis local (…) Hay una muralla china en BancoEstado».

¿Por qué está pasando esto?


Expertos explican que el origen de la disputa tiene su génesis a partir de la incorporación de Akamai con el objetivo de reforzar la ciberseguridad del banco estatal. El software del proveedor tiene entre sus funcionalidades el detectar ataques de bots, piedra angular que desencadenó la disputa con las fintech, debido a que las startups afectadas realizan web scraping, mecanismo en que desarrollan programas que automatizan procesos, en este caso para generar transferencias y buscar data de usuarios. Miguel Ángel Mendoza, investigador de Seguridad Informática de ESET Latinoamérica, plantea que si bien el scraping puede ocasionar problemas en manos equivocada, softwares como Akamai son «limitantes y una de las consecuencia es que la innovación se ve afectadas, el desarrollo de nuevo servicios (…) Hay que empezar a legislar en temas fintech«.

En ese contexto, Fintoc, que realiza open banking y captura información financiera de usuarios para otras fintech a través del web scraping, es otra de las afectadas y que desde inicios de agosto ha debido reforzar los esfuerzos de su equipo para obtener la data de sus usuarios. «Triplicamos los esfuerzos por humanizar el robot, lo que nos ha mantenido funcionando, pero a un costo altísimo. Ese mismo esfuerzo se podría usar en ambas partes (BancoEstado también gasta plata en esto) en mejores productos para las personas (…) Si bien es efectivo que hay robots «malos» y que el banco los tiene que mitigar, se puede perfectamente dar una entrada a los robots «buenos», dejando protegido a los usuarios del banco y a las fintech funcionando. Existe la capacidad técnica para hacerlo y la implementación es trivial», afirma Cristóbal Griffero, cofundador de Fintoc. Opazo añade que «esta tecnología marca a Khipu como bot y nos bloquea (…) como toda herramienta se puede usar para hacer cosas malas, pero es como decir que los autos son malos porque ha muerto gente atropellada».

En esa línea, expertos de la Alianza Chilena de Ciberseguridad (ACC) plantean que para evitar el web scraping es que los bancos generen APIs. «Es la solución, porque es un mundo regulado y seguro. Permite tener controlados que servicios se van a entregar y permite el desarrollo de toda la industria«, dice Ubaldo Taladriz, director de la ACC y Pía Salas, también directora agrega que «hoy día las fintech ofrecen una experiencia de usuario, tecnología y confianza mucho mayor que los bancos tradicionales sin embargo hay mucho que crecer en regulaciones. Por lo tanto es urgente que este problema se resuelva ya que el open banking es un habilitador con nuevos modelos de negocios. Sin embargo al igual que la transformación digital se abren nuevas alternativas a nuevas amenazas que aumentan el riesgo». Asimismo, Pedro Oliva, CTO en Option, señala que los bancos deben entender que «mientras mejor integrados estén con el ecosistema, es mejor para todos».

Y Griffero agrega que «de avanzarse en un camino con APIs, es importantísimo que el scraping quede abierto como ruta alternativa. Si no lo dejamos abierto, podemos caer en vicios y la información  o utilidad que entrega la API podría quedar a criterio del banco, potencialmente entregando menos información o no cumpliendo su objetivo. Esto es peligrosísimo para los usuarios finales. Una buena API genera los incentivos para que las fintech no usen robots. Tener el scraping como ruta alternativa genera los incentivos para que el banco construya una buena API».