José ZegarraLima, Perú, 08 de agosto del 2017.— Entrevistamos a Gustavo Paissan, Marketing & Business Development Pacto Andino de Gemalto, quien estuvo de visita en nuestra capital y nos ofreció las siguientes declaraciones acerca de las iniciativas de Gemalto para incrementar la seguridad para las transacciones móviles:
IT/USERS: Sr. Paissan, ¿qué motivos lo traen a Lima en esta oportunidad?
G.P.: Vengo con motivo del Congreso de Pagos Digitales que organiza la Asociación de Bancos del Perú, su país en este aspecto tiene muchas iniciativas en pagos digitales empezando por el Servicio BIM, que permite a través del teléfono transferir el dinero de manera digital a otras personas, pero también todos los bancos están trabajando fuertemente en lo que es la tecnología de pagos sin contacto y la tecnología de pagos móviles también, trabajando en la virtualización de tarjetas y en todos los elementos que permitan digitalizar el dinero, desplazar al efectivo y todo lo relacionado a las tecnologías asociadas a la banca digital, desde cualquier lado por cualquier medio digital sin la presencia física. Esto viene a reforzar iniciativas tradicionales del Perú, que son los corresponsales bancarios —que están en todo el país— que multiplican el acceso a los servicios bancarios, generando inclusión financiera, que es uno de los objetivos del milenio de las Naciones Unidas y del banco Mundial, para permitir que la gente pueda transaccionar de cualquier lado, distribuir beneficios a las zonas más necesitadas y adicionalmente, generar esa inclusión financiera, especialmente como incentivo para el desarrollo económico.
IT/USERS: ¿Usted cree, que ya podríamos tener una hoja de ruta para cuando se implemente estas prestaciones en la banca peruana?
G.P.: Ya han comenzado, hay varias iniciativas de mucha importancia, una es del RENIEC y los DNIs con Chip, eso permite una verificación de la identidad fidedigna contra la base de datos del RENIEC y que la portabilidad de la identidad, a través de la lectura del chip, como para hacer tantos trámites de la empresa privada como del estado, además del avance hacia el gobierno digital y adicionalmente todos los pagos sin contacto, los bancos más grandes han implementado esto, en distintas formas, ya sea como tarjeta física sin contacto, pulseras para hacer pagos sin contacto que implica que uno tiene que salir sin la billetera o stickers, para pegar al teléfono, reflejando lo que sería hacer un pago con el teléfono. Además de muchos programas de transporte urbano, que utilizan tarjetas pre pagadas sin contacto, trabajando también en que vengan las billeteras móviles de los fabricantes de teléfonos, tales como Samsung Pay, Apple Pay, etc.
IT/USERS: ¿Cuál va a ser el futuro del dinero tal cual lo conocemos?
G.P.: El dinero en lo personal, está para quedarse, vamos a convivir con distintos formatos de dinero, los Soles tradicionales, los Soles Digitales, los Bitcoins y cualquier otro formato del dinero y del intercambio de valor que sea aceptable entre las partes. Las contabilidades se van a volver más complejas, pero el dinero físico, las tarjetas bancarias en todos sus formatos —plástico o virtual—, pulseras, anillos, llaveros, etc., van a coexistir con la billetera digital en el teléfono y el efectivo.
IT/USERS: En el tema de la seguridad, por ejemplo, la autenticación, qué pasa si me roban el celular y yo tengo una fuerte suma de dinero ¿qué va a pasar?
G.P.: Va a pasar lo mismo que si le robaran la billetera, Hay que llamar de inmediato y cancelar todas las tarjetas, como lo venimos haciendo en el mundo físico al que ya estamos acostumbrados. La idea es que el celular tenga otro tipo de protecciones incrementales, sobre la billetera y el efectivo que es anónimo. Para destrabar el teléfono yo voy a tener que hacer una verificación biométrica, además de poner mis claves, para acceder a mis cuentas bancarias o autorizar un pago. Simplemente me tengo que sacar una foto con el teléfono, o hacer reconocimiento de iris, todas estas tendencias biométricas ayudan a efectuar factores de autenticación que antes no estaban presentes. Tradicionalmente se hablaba, de algo que tengo, mi computadora o smartphone, algo que sé, mis claves de acceso; se agrega un tercer factor que es biométrico —que es algo que soy—, que puede ser mi huella digital, mi iris, mi rostro. Hay una variedad de factores biométricos en estudio que puede ser la voz, puede ser el ADN y se agrega un cuarto factor, por encima de éste y es cómo me comporto. «Biometría del Comportamiento», la llaman y es cómo utilizo mi computador, a qué velocidad tecleo, desde qué IP me conecto, como presiono mi teléfono para desbloquearlo, qué transacciones hago y utilizando también, todo el rastro digital que dejamos en las distintas aplicaciones, para validar que soy Yo, el que está haciendo estas transacciones, en base a distintos algoritmos de verificación, que me permiten dar un puntaje, una calificación de mi autenticación y salimos del que si pasa o no pasa lo binario y de los falsos positivos o falsos negativos frente a las transacciones, lo cual nos permite a toda la industria enfocarse más en las transacciones potencialmente riesgosas, en vez de tener que evaluar a todas.
IT/USERS: Suponemos que eso no perjudica la privacidad del cliente…
G.P.: No perjudica la privacidad, por un lado, beneficia al tema de la fricción que genera llevar a cabo una transacción, permite concretar más transacciones y permite darle más seguridad a todo el sistema, porque el foco se concentra en las que son aparentemente más dudosas.
IT/USERS: Hace algunos años, Gemalto apostaba por una tecnología llamada Near Field Communication ¿sigue vigente esa tecnología?
G.P.: El NFC, exactamente, son todos los pagos sin contacto…
IT/USERS: Está basado el Contactless en esa tecnología…
G.P.: El Contactless en el teléfono está basado en esa tecnología que es la interacción entre los lectores, los POS en el punto de venta y la transacción que genera a través de una tarjeta virtualizada, en una billetera, en el teléfono móvil, estas tecnologías han sufrido algunas evoluciones porque antes era sobre hardware de la SIM, ahora se está haciendo principalmente sobre software —para teléfonos Android— y los grandes emisores de Crédito, las marcar que administran los sistemas de crédito han definido que además la información que se intercambia desde el teléfono al POS, encripte los números de la tarjeta —se llama tokenización esto— que junto con una serie de llaves, se combinan con este token o Digital PAN [Personal Account Number] para generar un criptograma de única validez.
IT/USERS: Por cada transacción…
G.P.: Efectivamente, quien intercepte esa transacción, no la va a poder volver usar en otra transacción…
IT/USERS: Porque fenece una vez sido utilizada…
G.P.: Sí, porque ese token es único. Lo generan las marcas, principalmente Visa y MasterCard, pero las otras también están trabajando, léase Diners Club, Discovery, American Express, ese token se descarga al teléfono móvil, no es el número real de la tarjeta, las llaves y entonces combinando ese token con esas lleves, lo que se intercambia es un criptograma, que los procesadores de pago van a poder validar.
IT/USERS: Suena consistente, qué pasa si al teléfono móvil le entra un virus, un spyware ¿qué sucede en estos casos?
G.P.: La idea es quien intercepte, hackee o ataque ese teléfono, no pueda o entrar en el ambiente donde se guardan esas cosas, lo que se hace es un Trusted Execution Environment, que es un pedazo de software tremendamente seguro, implica que sería un tremendo esfuerzo de fuerza bruta vulnerarlo; Gemalto trabaja sobre eso y la idea es que se vuelva cada vez más seguro. O, la información está contenida en un pedazo de hardware como si fuera un HSM [Hardware Security Modules] que sea infranqueable y vulnerado aún si el terminal se vio comprometido por una intrusión o ataque. Se usan también otras técnicas como la de ofuscación de código, anti tampering y todas las posibles técnicas de prevención ante un potencial ataque, en nuestra especializad como empresa de seguridad digital.