A principios de agosto Khipu interpuso un recurso de protección contra BancoEstado por bloqueo a su plataforma de pago.
A principios de agosto Khipu interpuso un recurso de protección contra BancoEstado por bloqueo a su plataforma de pago.
La disputa entre Khipu y BancoEstado sigue escalando, esto luego de que la fintech interpusiera un recurso de protección contra la estatal por impedir en sus sistemas que los usuarios puedan utilizar dicha solución de pago para procesar sus transacciones en el comercio.
Pablo Correa, vicepresidente de BancoEstado, afirmó en entrevista con PULSO que una de las medidas que tomaron tras el hackeo que sufrió la entidad, fue elevar los estándares de ciberseguridad incorporando “un software que es de clase mundial, que no solo lo ocupa el banco, es un proveedor mundial que lo ocupan muchas instituciones alrededor del mundo. Se llama Akamai, que trata de detectar ataques de bots”, y que “desde entonces estamos bloqueando cerca de 150 mil entradas de bots diarios al banco. Esa es las magnitud de bloqueos que este nuevo sistema de ciberseguridad nos ayuda a bloquear. ¿Cómo funciona? Es un software que busca comportamientos, y cuando detecta que lo que está detrás no es un humano sino que un bot, lo bloquea de forma preventiva porque no puede distinguir ex-ante si es un bot que está tratando de robar credenciales desde Corea del Norte, está tratando de introducir un troyano desde Moscú y quiere tomar control de los sistemas del banco, o es un bot de una empresa que está haciendo operaciones como las que hace Khipu”.
Y añadió Correa: “les planteamos a ellos que durante un periodo transitorio, para que pudieran seguir operando con nosotros, entendiendo su situación, podíamos trabajar en una solución transitoria, donde le podíamos generar una suerte de excepción dentro de esta barrera de Akamai, donde podíamos identificar cuáles eran los bots de Khipu, sujeto a que ellos se hicieran responsables si a través de los bots de Khipu se generaba algún daño patrimonial para el banco”.
Sin embargo, Roberto Opazo, co fundador y CEO de Khipu, desestima dichas declaraciones.
“En lo formal, después de que el banco nos bloqueó durante un tiempo, llegamos a un acuerdo de 15 días para definir una forma de operar que a ambas partes deje tranquila. Entre otras cosas, definimos protocolos de seguridad y los implementamos, de acuerdo a los protocolos de seguridad de Akamai. Ese es el resultado al que llegó la comisión técnica que definió el banco con la que colaboró Khipu. Por lo que no hay duda de que los protocoles de seguridad que el banco nos pidió lo implementamos”, asegura el ejecutivo.
En esa línea, detalla que “lo que ocurrió es que un sábado vencían los 15 días de tregua -nos habían advertido que si no firmábamos el contrato nos iban a bloquear- acordamos un texto del contrato donde nos costó la redacción de la cláusula de responsabilidad. Siempre estuvimos dispuestos a asumir los costos de los daños de los que Khipu sea responsable. El texto lo redactó la fiscalía del banco, lo subió a la plataforma electrónica, lo firmamos a las 10 de la noche el sábado. Y a eso de las 12:05 de la noche todo se cayó, nadie nos volvió a responder, a las 3 AM seguíamos preguntando qué pasaba. A las 19:30 de la tarde del domingo, el abogado nos dice que el comité ejecutivo decidió desconocer el acuerdo al que habíamos llegado”.
Para la startup el banco representa el 50% de las transacciones y 45% de los ingresos.
Opazo detalla la cláusula de responsabilidad que envió el banco cuando Khipu ya estaba bloqueada y exigía aceptar como única condición para levantar el bloqueo: “Durante todo el tiempo que Khipu SpA tenga acceso al uso de las plataformas de BancoEstado, para el caso de transacciones desconocidas por los clientes al amparo de la Ley N° 20.009, Khipu SpA se hará responsable de las pérdidas que su actuar ocasione al Banco, a los clientes de las partes y a terceras partes”.
El mismo ejemplifica que comprende errores en la automatización de Khipu que produzcan transferencias a un destinatario erróneo, en el evento que el titular de la cuenta de destino no aceptase hacer devolución, y vulnerabilidades en los sistemas de Khipu que produzcan divulgación de claves que se usen para hacer pagos en KHIPU SpA o en otras plataformas. A su vez, Khipu “no será responsable de pagos hechos con claves robadas mediante phishing o que se hayan divulgado por vulnerabilidades atribuibles a la plataforma de BancoEstado, así como tampoco en caso de clientes de BancoEstado que en forma maliciosa desconozcan operaciones efectivamente realizadas, salvo en aquellos casos que BancoEstado proceda al pago del reclamo formulado respecto de transacciones que hayan utilizado el canal de Khipu SpA al amparo de la Ley N° 20.009.”
Por último, Opazo discrepa respecto de que en la decisión no hay un objeto comercial. Dice que esta semana el banco lanzó su solución de adquirencia, una opción de pago online que compite con Khipu. “Cuando los clientes del banco pagan con khipu se genera una transferencia desde BancoEstado hacia otro banco, y eso está definido de modo tal que genera un castigo, el banco debe pagar al banco de destino, eso genera un incentivo en BancoEstado para evitar que haya transferencias hacia otros bancos, por eso cobran $300 a la cuenta rut y bloquean a Khipu. En los hechos, esto tiene que ver con competencia”.
