Seguridad en los sistemas de pago

Seguridad en los sistemas de pago:
hechos y reflexiones
Banco Central de Venezuela
Caracas, 2008
Catalogación en fuente de Biblioteca Ernesto Peltzer
Banco Central de Venezuela
Seguridad en los sistemas de pago: hechos y reflexiones / — Caracas: BCV, 2009. — 130 p.
Edición Especial
Publicación que recoge las ponencias exhibidas durante el III Foro de Sistemas de Pago, Seguridad en los Sistemas
de Pago: Hechos y Reflexiones, efectuado el 6 de junio de 2008 en el Banco Central de Venezuela.
CONTENIDO:
Presentación / Pascual Pinto Lentino.— Palabras de apertura / José Manuel Ferrer Nava.—Banca tradicional:
resguardo de los pagos de los clientes / Jean Carlos Bardot, Banco Mercantil.—Tarjetas de crédito: generando
confianza en el uso del dinero plástico / Alejandro Estrada, VISA Internacional. — Comercio electrónico: seguridad, punto de partida para más comercio / Mario Dávila, Cavecom-e.— Banco de México: experiencia en
pagos electrónicos / Alejandro de los Santos, Banco de México.— Usuarios organizados: visión de la seguridad
en los sistemas de pago / Roberto León Parilli, Anauco.— Banco Central de Venezuela y la seguridad en los
sistemas de pago / Luis Alberto Laviosa, Banco Central de Venezuela. —
Incluye índice.
ISBN: 980-xxx-xxx (Ejemplar)
1. Bancos – Venezuela – Procesamiento de datos 2. Cámaras de compensación – Venezuela – Procesamiento
de datos 3. Economía financiera 4. Valores – Pagos 5. Bancos – Servicios al cliente 6. Comercio electrónico
7. Tarjetas de crédito I. TÍTULO II. Foro de Sistemas de Pago Seguridad en los Sistemas de Pago: Hechos
y Reflexiones, Caracas, 6 de junio de 2008. III. Banco Mercantil IV. VISA Internacional V. Cavecom-e VI.
Banco de México VII. Anauco VIII. Pinto Lentino, Pascual IX. Ferrer Nava, José Manuel X. Bardot, Jean
Carlos XI. Estrada, Alejandro XII. Dávila, Mario XIII. De los Santos, Alejandro XIV. León Parilli, Roberto
XV. Laviosa, Luis Alberto
Clasificación Dewey: 332.17 / S456
Clasificación JEL: E41, E50, G20, G21
© Banco Central de Venezuela, 2008
Producción editorial
Gerencia de Comunicaciones Institucionales, BCV
Departamento de Publicaciones
Avenida Urdaneta, esquina de Las Carmelitas
Torre Financiera, piso 14, ala sur, Caracas 1010, Venezuela
Teléfonos: 801.5514 / 8380 / 5235
Fax: 536.9357
[email protected]
www.bcv.org.ve
RIF: G-20000110-0
Diseño, diagramación y corrección
Departamento de Publicaciones, BCV
Impresión
XXXXXXX
Hecho el Depósito de Ley
Depósito legal: lfXXXXx
ISBN: 980-XXXXXxx
Impreso en Venezuela – Printed in Venezuela
Las opiniones expresadas en esta publicación son responsabilidad exclusiva de los autores y no representan el
criterio del Banco Central de Venezuela.
Se prohíbe la reproducción total o parcial sin previa autorización del editor.
Autoridades
DIRECTORIO
Gastón Parra Luzardo
Presidente
Rafael J. Crazut
Bernardo Ferrán
Armando León Rojas
José Félix Rivas Alvarado
José S. Khan Fernández
Haiman El Troudi
(Representante del Ejecutivo Nacional)
ADMINISTRACIÓN
Gastón Parra Luzardo
Presidente
José Manuel Ferrer Nava
Primer Vicepresidente Gerente
Contenido
Presentación
Pascual Pinto Lentino, BCV.......................................................... 9
Palabras de apertura
José Manuel Ferrer Nava, BCV .................................................... 17
Banca tradicional: resguardo de los pagos de los clientes
Jean Carlos Bardot, Banco Mercantil............................................. 23
Tarjetas de crédito: generando confianza en el uso del dinero plástico
Alejandro Estrada, VISA Internacional.......................................... 35
Comercio electrónico: seguridad, punto de partida para más comercio
Mario J. Dávila Z., Cavecom-e..................................................... 61
Banco de México: experiencia en pagos electrónicos
Alejandro de los Santos, Banco de México...................................... 79
Usuarios organizados: visión de la seguridad en los sistemas de pago
Roberto León Parilli, Anauco......................................................... 97
Banco Central de Venezuela y la seguridad en los sistemas de pago
Luis Alberto Laviosa, BCV............................................................ 121
Presentación
Pascual Pinto Lentino
Vicepresidente de Operaciones Nacionales (e)
Banco Central de Venezuela
En la presente publicación se recogen los principales
contenidos de las ponencias exhibidas durante el III Foro
de Sistemas de Pago titulado Seguridad en los Sistemas de
Pago: Hechos y Reflexiones, el cual se llevó a cabo el 6
de junio de 2008, en las instalaciones del Banco Central de
Venezuela. La realización del evento y la presencia de
reconocidos representantes de los sectores involucrados
en los sistemas de pago muestran el profundo interés que
existe en el tema de su seguridad, dentro del Instituto y en
la sociedad en general.
En esta tercera entrega del foro se consideró adecuado abordar el tema de la seguridad en el contexto
de las operaciones de pago que se realizan a diario en la
economía. Dentro de este orden de ideas, debe entenderse
por seguridad la certeza que tienen las partes involucradas
en una transacción de pago de que la misma se realizará
de modo cabal y final, de acuerdo con las condiciones
concertadas y preconocidas por las partes. Esas condiciones están principalmente referidas a la autenticidad de la
instrucción, validez, plazos y costo de la misma.
Presentación
Los beneficios que se obtienen por el logro de
niveles adecuados de seguridad en los sistemas de pago
repercuten positivamente en el dinamismo de la economía y en la confianza que el público deposita sobre las
infraestructuras que permiten la transferencia de fondos.
Esta es una de las razones por las que el Banco Central
de Venezuela, desde 1999, ha impulsado la reforma de
los sistemas de pago del país. Uno de los principales
logros obtenidos es la puesta en funcionamiento de la
Cámara de Compensación Electrónica, la cual brinda
un procesamiento seguro para las operaciones de pagos
minoristas que atiende. Sin embargo, este logro es apenas
uno de los grandes objetivos planteados en la reforma
del sistema de pagos de Venezuela. El Instituto seguirá
promoviendo e impulsando cualquier esfuerzo que contribuya al establecimiento de mejores condiciones para
la realización de los pagos y la consecución de mayores
niveles de seguridad y eficiencia para los mismos.
Las ponencias presentadas a lo largo del III Foro
de Sistemas de Pago abordaron diversas necesidades y
experiencias referidas a la seguridad de los pagos electrónicos. El evento fue introducido por el doctor José
Manuel Ferrer Nava, presidente encargado del Banco
Central de Venezuela, quien destacó el gran interés que
despierta el tema de la seguridad entre los diversos sectores involucrados. Además, enfatizó el propio interés del
Instituto en el tema y señaló algunas de las iniciativas
que se han adoptado para lograr un Sistema Nacional
de Pagos más seguro.
12
Seguridad en los sistemas de pago
Seguidamente, Jean Carlos Bardot, representante
del Banco Mercantil designado por la Asociación Bancaria de
Venezuela, presentó la ponencia “Banca tradicional:
resguardo de los pagos de los clientes” en la cual además
de disertar acerca de lo que se debe entender por banca
tradicional, dio cuenta de los riesgos asociados a los tres
principales grupos de instrumentos de pago ofrecidos por
la banca y de los mecanismos para su mitigación. En tal
sentido, se abordaron los aspectos de seguridad relacionados con los cheques, la infraestructura de tarjetas, que
incluye los puntos de venta y los cajeros automáticos, y
la banca virtual.
Luego, Alejandro Estrada, representante de VISA
Internacional, presentó el tema “Tarjetas de crédito:
generando confianza en el uso del dinero plástico”. En
esta ponencia se mostró el rápido crecimiento que han experimentado los pagos electrónicos a través de tarjetas de
pago en el mundo, los retos que enfrenta hoy la industria
de las tarjetas de crédito y débito, y la estrategia adoptada
por la franquicia para abordar tales desafíos, basada en
la implementación de múltiples niveles de seguridad y en la
evolución tecnológica de la plataforma de pagos.
A continuación, Mario Dávila, representante de la
Cámara Venezolana de Comercio Electrónico, expuso el
tema “Comercio electrónico: seguridad, punto de partida para más comercio”. En esta presentación abordó
el panorama actual del uso de Internet en Venezuela y
resaltó los avances que ha tenido el uso de la red para
13
Presentación
el comercio electrónico y las operaciones bancarias.
Asimismo, mostró algunas definiciones para dar paso a
las reflexiones sobre el rol de la banca en el impulso y
promoción del comercio electrónico.
Posteriormente, Alejandro de los Santos, ponente
invitado del Banco de México, expuso las experiencias
del Banco Central de ese país latinoamericano en la
ponencia “Banco de México: experiencia en pagos electrónicos”. Aquí mostró los avances obtenidos en materia
de seguridad y eficiencia por el sistema de transferencias
electrónicas (Sistema de Pagos Electrónicos Interbancarios). Igualmente, señaló la relevancia que ha tenido en la
generación de confianza la adopción de la infraestructura
de firmas digitales.
Por su parte, Roberto León Parilli, representante
de la Alianza Nacional de Usuarios y Consumidores,
mostró el punto de vista de los usuarios en el tema de la
seguridad, a través de la ponencia “Usuarios organizados:
visión de la seguridad en los sistemas de pago”. En esta
presentación explicó los objetivos de la organización y
el marco jurídico que la ampara. Igualmente, destacó
los logros alcanzados en la defensa de los usuarios que
representa, los riesgos identificados en los instrumentos
de pago y algunas propuestas para alcanzar mayores
niveles de seguridad.
Por último, Luis Alberto Laviosa, gerente de la
Unidad de Análisis del Mercado Financiero del Banco
14
Seguridad en los sistemas de pago
Central de Venezuela, dio por concluido el foro con
un resumen de las ideas sobresalientes abordadas en las
presentaciones previas. Asimismo, señaló la importancia
de alcanzar mayor transparencia en los temas relacionados con la seguridad y con el logro de la cooperación
requerida para la promoción e impulso de las iniciativas
orientadas a alcanzar los niveles deseados de seguridad
para el Sistema Nacional de Pagos.
Es propicio el debido reconocimiento a las autoridades
del Instituto, por el auspicio del evento, a los ponentes,
por ceder parte de su tiempo a la transmisión de sus
conocimientos y experiencias, a los funcionarios de la
Gerencia de Comunicaciones Institucionales, por suministrar el apoyo logístico y a los funcionarios de la Unidad de Análisis del Mercado Financiero, por el diseño,
la organización y la realización del foro, así como por
todas las actividades que hicieron posible la publicación
de este documento.
15
Palabras de apertura
José Manuel Ferrer Nava*
* Economista de la Universidad del Zulia (LUZ) con maestría en
Administración y Economía de los Hidrocarburos de esa misma casa de
estudios, y especialización en Consultoría de Productividad y Calidad
de la Corporación Andina de Fomento-Fondo para la Investigación y
Mejoramiento de la Calidad y la Productividad (CAF). Cuenta con
experiencia en el área de recursos humanos y de consultoría, así como en
el ejercicio de cargos directivos y docentes en distintas universidades del
país. Actualmente se desempeña como Primer Vicepresidente Gerente
del Banco Central de Venezuela.
Es un placer y un gran honor dar la bienvenida al Foro
Seguridad en los Sistemas de Pago: Hechos y Reflexiones,
en el marco de la política de difusión de conocimiento
técnico especializado del Banco Central de Venezuela y
en aras de generar cada vez más espacios de intercambio
constructivo en los temas que a todos nos atañen.
La seguridad en los sistemas de pago se ha convertido en un tópico de interés por parte de académicos,
investigadores, operadores del sistema bancario, reguladores y clientes en general.
Esta motivación se debe a que las transacciones
que se realizan a diario dentro de la economía están
profundamente influenciadas por la confianza o certeza
que tengan los involucrados de que tales operaciones se
ejecutarán de manera cabal bajo condiciones acordadas.
Aumentar este grado de certeza es un objetivo común
que compartimos todos los presentes.
Ahora bien, ¿por qué debería interesarle al Banco
Central de Venezuela este tema de la seguridad? Típi-
Palabras de apertura
camente, el Instituto como ente emisor ha mostrado su
preocupación por el suministro de medios de pago con los
mayores niveles de seguridad. Tal es el caso de la nueva
familia de billetes y monedas, los cuales incorporan los
avances más recientes para evitar que los mismos sean
objeto de fraudes de cualquier índole.
Esta misma preocupación se extiende a las infraestructuras de pago implementadas por el Banco Central,
como la Cámara de Compensación Electrónica, los
sistemas de transferencias interbancarias y de valores, así
como también a todos los sistemas de pago que operan en
nuestro país. Tal interés es la razón principal por la que
el Banco Central de Venezuela ha organizado este foro.
A través de la realización de este evento hemos
querido reunir un conjunto de personas con diversos
enfoques sobre el tema para abarcar los aspectos relacionados con la seguridad en la banca tradicional, en el
creciente mercado de las tarjetas de crédito y en el comercio electrónico. Asimismo, contaremos con la valiosa
experiencia de nuestro invitado del Banco de México,
quien nos mostrará las acciones de la banca central y,
además, con los enfoques de las asociaciones de usuarios
y del propio Banco Central de Venezuela. Todo apunta
a que este encuentro será de gran valor práctico para
todos los presentes.
No obstante, mucho más que entregar un conjunto de definiciones, experiencias y logros particulares, el
20
Seguridad en los sistemas de pago
Instituto desea que el foro contribuya con el establecimiento de una visión compartida de las metas por alcanzar
y de las acciones que se deben realizar para lograrlas. A
este respecto, se reconoce la necesidad de crear espacios
de cooperación y discusión entre los diversos entes involucrados del sector público y privado.
En estas áreas de cooperación resultará fundamental el accionar de los organismos reguladores debido a que
los mismos son, por un lado, los custodios y garantes de la
estabilidad y solidez del sistema financiero, pero también,
por su condición y naturaleza, pueden allanar el camino
para que más venezolanos disfruten de las ventajas de un
sistema financiero y de pagos eficiente y seguro.
Esto resulta prioritario si consideramos que los
continuos avances tecnológicos y su aplicación permiten
que cada día se puedan proveer más y mejores servicios
a los clientes, a un costo cada vez menor. Sin embargo,
esta continua evolución también impone nuevos retos
para los organismos reguladores, los operadores, los bancos y los usuarios quienes hoy se enfrentan a situaciones
complejas que no habrían sido previsibles una o dos décadas atrás. Situaciones tales como el resguardo de los datos, la
protección contra el robo de identidad, las clonaciones y
otros tipos de fraudes electrónicos. Esto ha originado una
gran cantidad de iniciativas para contener los potenciales
peligros en el uso de los avances electrónicos.
21
Palabras de apertura
Pese a ello, en cuanto a seguridad en los sistemas
de pago, se reconoce que aún queda camino por recorrer.
Es el deseo del Instituto que este foro contribuya con el
establecimiento de esa ruta que indicará la dirección que
en el futuro cercano seguiremos todos los involucrados
y así contribuir además con la consecución de nuevos
niveles de beneficio social y crecimiento económico, con
equidad y justicia social.
22
Banca tradicional: resguardo
de los pagos de los clientes
Jean Carlos Bardot*
* Ingeniero de computación egresado de la Universidad Simón Bolívar (USB).
Programa Avanzado de Gerencia del Instituto de Estudios Superiores de
Administración (IESA). Cuenta con amplios conocimientos y experiencia en las
áreas de desarrollo de sistemas, pruebas y control de calidad, telecomunicaciones,
sistemas de información y se ha especializado en el área de riesgo y seguridad
de información en el sector financiero. Actualmente se desempeña como
Coordinador de Seguridad de la Información en Mercantil Banco Universal.
Resumen
Los procesos principales de la banca consisten en intermediar fondos y administrar sistemas de pago. Estos
procesos se han mantenido durante el transcurso del
tiempo pero lo que ha cambiado es la forma de ejecutarlos. Al adoptar tecnologías en procesos tradicionales y
añadir el apetito comercial por la automatización de los
pagos, se puede evidenciar el surgimiento de riesgos y el
planteamiento de estrategias de resguardo. Esta realidad
justifica el establecimiento de un conjunto de retos con la
finalidad de disponer de sistemas de pago seguros y donde
es primordial tomar conciencia de las responsabilidades
en el resguardo de la información y en la construcción
de una ética virtual de las personas.
Palabras clave: autenticación y validación, banca tradicional, ética e identidad virtual, ingeniería social.
Banca tradicional: resguardo de los pagos de los clientes
Es normal escuchar hablar sobre aspectos de la
“banca tradicional” o referencias en cuanto a sus procesos,
pero es recomendable hacer una pausa para entender el
marco que limita lo que diferentes sectores denominan
de esa forma. Dependiendo de la historia particular de
cada persona se podría entender por banca tradicional
aquella que usaban sus padres o abuelos, por no decir ellas
mismas, en la que se debían trasladar hasta una oficina
y en algunos casos, a una oficina en particular (“donde
usted abrió la cuenta”). Desde un punto de vista más contemporáneo, se podría afirmar que la banca tradicional es
aquella que realiza las funciones de captación y colocación
de capitales de forma conservadora o hasta de carácter
personal, es ese “cara a cara”, en el cual se establece el
trato individualizado entre la banca y su cliente. Para la
bibliografía moderna, la banca tradicional es aquella que
se caracteriza por intermediar fondos y administrar los
sistemas de pago.
Son muchas las formas de definir la banca tradicional, el problema es que cada época ha tenido su propio
estilo o procesos “tradicionales”. Hoy en día no se puede
pensar en un banco sin elementos de autoservicio, centro
de llamadas, banca en línea o mecanismos de operación
las 24 horas del día.
Los cajeros automáticos (Automatic Teller Machines, ATM) y los puntos de venta (Point of Sales, POS)
son elementos básicos de partida de cualquier concepto
de negocio bancario con miras a las masas de clientes.
26
Seguridad en los sistemas de pago
En la banca actual no se piensa en elementos aislados y
por el contrario se imaginan mecanismos que permiten
la movilización e interoperabilidad con los sistemas financieros de todo el mundo. No en vano existen servicios
transaccionales vía respuesta de voz interactiva (Interactive Voice Response, IVR), servicios de mensajes cortos
o sistemas de mensajes de texto para teléfonos celulares
(Short Message System, SMS), kioscos de servicios financieros, puntos de venta donde se pueden pagar servicios
o retirar dinero, acceso por Internet a las cuentas y la
capacidad para operarlas.
Si todo esto es así y se considera como banca tradicional, entonces, qué se puede esperar en el futuro o
qué se puede entender como “no tradicional”. En este
sentido, se puede considerar que la banca tradicional es
ésta, la que día a día se redefine, se adapta a las exigencias
del mercado y explota las bondades tecnológicas que
tiene a la mano, con una gran sensatez de mantener la
confianza de sus clientes en los sistemas de operación (o
pago) que le ofrecen.
Es esa misma banca la que ha aumentado el potencial de los instrumentos financieros ya existentes para darles
uso y valor en los diferentes canales o medios de comunicación con sus clientes, pero en esta carrera de servicios y
elementos tecnológicos, se ha hecho presente cada vez más
la variable de seguridad o manejo de riesgo con el objeto
de garantizar la confianza y la operatividad del servicio y
minimizar las probabilidades de fallas o pérdidas.
27
Banca tradicional: resguardo de los pagos de los clientes
A continuación se hace referencia a las estrategias
planteadas por la banca para el uso de los instrumentos
financieros y se trata de sopesar los riesgos que actualmente pueden existir.
Si se habla de los cheques como un instrumento de pago, de uso moderado y evolución de muchos
años, se puede observar cómo la banca ha establecido
mecanismos de seguridad en el papel, estructuras de
control entre los datos en las cuales se vincula producto
y cliente, proceso de conformación de fondos o veracidad
de la emisión de dicho valor. Sin embargo, no se puede
dejar de mencionar que estos procesos y controles son
básicamente los mismos que existían hace muchos años,
con la variante que prevalece hoy en día en materia de
automatización. Entonces, ¿qué ha pasado con los riesgos
de este proceso de pago?, se mantiene la custodia sobre el
título valor, acción que recae sobre el cliente, pero no se
pueden obviar los procesos de generación, distribución
y operación, puesto que si bien es cierto que al cliente le
pueden robar cheques y suplantar su identidad, no menos
cierto es que existe data sensible expuesta en cada uno de
los tres procesos antes mencionados.
Por ejemplo, en el caso de una conformación de
cheque por IVR, donde quien llama es un estafador que
logró apoderarse de un cheque y de los datos personales
del cliente, sólo necesita conocer el saldo que dispone
la cuenta para poder llenar el cheque y cobrarlo. En ese
momento, puede llamar reiteradamente para conformar
28
Seguridad en los sistemas de pago
el cheque por montos diferentes, iniciando por un valor
muy alto e ir disminuyendo hasta que sea conforme y así
posteriormente llenar del cheque. ¿No se supone que los
cheques están llenos cuando llaman para conformarlos?
En relación con los instrumentos estrellas, las tarjetas de débito o de crédito, medios de pago por excelencia,
dotados de elementos de seguridad como el número de
identificación personal (Personal Identification Number,
PIN), el código de seguridad, la fecha de vencimiento,
entre otros, y que para operar, en algunos casos se pide
información que sólo debería conocer el cliente, lo que
se ha denominado como “pregunta de desafío”. Lo
cierto es que la banca, tradicionalmente ha lidiado con
los reclamos sobre las transacciones de estos productos
y lucha contra la clonación, fachadas, cámaras, robos y
“bailaítos”, entre otros, pero, ¿cuál es el mayor riesgo que
vive hoy en día la banca? Actualmente, se enfrenta al procesamiento masivo de data comprometida o al temor de
un cambio o intervención en los sistemas de aprobación.
Ambos casos recientemente vividos, con mucha suerte, en
el sistema financiero nacional. Ya no es el robo o ataque
puntual en un ATM o a un comercio, ejecutado por
una pequeña banda de malhechores, ahora la banca se
enfrenta a mafias internacionales que hacen inversiones
de hasta cinco años en recursos humanos para capacitarlos
e introducirlos en las instituciones o en los proveedores de servicio y los colocan en los puntos neurales de
los procesos que desean controlar para, de esa forma,
hacerse de grandes volúmenes de datos y operaciones.
29
Banca tradicional: resguardo de los pagos de los clientes
Igualmente, la naturaleza de la operación requiere
el enlace entre muchas redes, switches y adquirentes. La
data que transita desde un punto de adquirencia es manejada por cada uno de los intermediarios hasta llegar
al emisor, y la data necesaria para clonar una tarjeta está
viajando y no se tiene garantía de quién la ve o manipula
en cada etapa. Si a esta exposición se le agrega la posibilidad de ingeniería social, o lo que es igual, la exposición de
las personas a suministrar información que comprometa
el proceso de pago o hasta su propia vida, se puede presentar el escenario ideal para una película muy taquillera.
Ya se tiene experiencia en Venezuela de fraudes masivos,
que afectaron todo el sistema financiero. Destacan casos
como: programas que autorizan cualquier operación sin
importar los parámetros o evidencias de base de datos con
información sensible sin el debido nivel de protección,
que ya forman parte de la historia.
En los medios virtuales, tales como la banca en
línea, los IVR y los teléfonos celulares, la estrategia de
seguridad se basa exclusivamente en confiar en la identificación y autenticación del cliente. Dado el potencial de
los canales virtuales en cuanto a los costos para la banca y
la capacidad de funciones y portabilidad para los clientes,
suena incongruente que con sólo una identificación y en
la mayoría de los casos una clave simple, se pueda tener
acceso a casi todos los servicios de la banca tradicional.
Sin embargo, la tecnología permite cada vez más mitigar
los riesgos inherentes al uso de este medio. Algunos de los
mecanismos de uso común son las técnicas de cifrado,
30
Seguridad en los sistemas de pago
las autenticaciones robustas y las autorizaciones fuera
de banda.
El problema de los medios virtuales es que las operaciones se realizan en dispositivos que no están bajo el
pleno control de la banca. Los computadores personales,
los teléfonos y las telecomunicaciones son dispositivos
conformados por infinidad de componentes de diferentes
fabricantes, interconectados funcionalmente para prestar
un servicio: “comunicar”. Esta comunicación no necesariamente ocurre sin espías o elementos no deseados de
por medio. Por lo tanto, se requiere una autenticación
entre los interlocutores. Esto sólo para minimizar el
riesgo, como bien lo demostró recientemente el hacker1
Kevin Mitnick, el pasado mes de abril, cuando demostró
la suplantación de IVR o llamadas telefónicas. Desde el
año 2006, se ha visto un incremento en la cantidad y
el uso de la tecnología, sobre los incidentes de phishing2
focalizados en la banca venezolana. A escala internacional,
proveedores de servicio especializados reportan incremen1
Término utilizado para referirse a un experto en varias o alguna rama técnica
relacionada con la informática: programación, redes de computadoras, sistemas
operativos, hardware de red/voz, etc.
2
Término informático que denomina un tipo de delito encuadrado dentro del
ámbito de las estafas y que se comete mediante el uso de un tipo de ingeniería
social caracterizado por intentar adquirir información confidencial de forma
fraudulenta (como puede ser una contraseña o información detallada sobre
tarjetas de crédito u otra información bancaria). El estafador, conocido como
phisher, se hace pasar por una persona o empresa de confianza en una aparente
comunicación oficial electrónica, por lo común un correo electrónico, o algún
sistema de mensajería instantánea o incluso utilizando también llamadas
telefónicas.
31
Banca tradicional: resguardo de los pagos de los clientes
tos considerables, con variaciones de más del 100% en la
cantidad de ataques de seguridad. En el sector financiero
se mantiene la ocurrencia en un 30% de ese total.
Si se quisiera definir el problema, se debería revisar
qué tan rápido se han adaptado los procesos tradicionales
internos frente a los medios o técnicas de comunicación y
uso de los clientes. Todavía se siguen manejando firmas
manuscritas en papel para canales virtuales. El mercado
exige cada vez más a la banca la apertura de servicios
o delegación de partes del proceso hacia empresas de
servicio como las de telecomunicaciones o ventas. Los
comercios leen y manipulan los instrumentos financieros,
establecen segmentos y estrategias de ventas sobre indicadores económicos que son potestad y responsabilidad
del cliente y de la banca. En resumen, la data requerida
para la operación de pago se encuentra dispersa por todas
partes. Es muy sencillo obtener la cédula de la persona,
manipular la tarjeta de debito o crédito, conocer las
preferencias y gustos personales. Algunos puntos de
exposición, son:
• Cédula de identidad y domicilio para comprar
en cualquier comercio.
• Estado civil, fecha de nacimiento, nombres
de familiares en cualquier campaña de acumulación de puntos, rifas, encuestas públicas,
páginas de comunicación escrita a través de
32
Seguridad en los sistemas de pago
Internet entre dos o más personas que se realiza
instantáneamente (chat3, blogs4).
• Historia personal, colegios, estudios y trabajos
en cadenas de correo, sitios de comunidades
(www.facebook.com, www.myspace.com),
etcétera.
• Sitios oficiales como el CNE, Seniat, Cantv.
• Troyanos enviados en cadenas de correo.
En el año 2007 se vivió en Venezuela la evidencia
del interés internacional, al hacerse presente mutaciones
de troyanos bancarios provenientes de otros países. El caso
más reciente fue con técnicas de inyección de código para
hacer un solapamiento u overlaping en los sitios reales de
banca en línea. El cliente es contaminado con un correo
con elementos anexos o por mensajería instantánea y
al momento de entrar en su sitio de banca en línea, no
puede detectar la presencia de campos falsos destinados
a capturar su información de autenticación.
Resulta evidente que el reto para la banca tradicional debe enmarcase en la actualización de sus procesos
para manejar el dinamismo de los canales modernos
a fin de poder cerrar las brechas creadas por la misma
3
Cibercharla. Anglicismo que usualmente se refiere a una comunicación escrita
a través de Internet que se realiza instantáneamente.
4
Sitio en la red que se actualiza periódicamente.
33
Banca tradicional: resguardo de los pagos de los clientes
tecnología. Establecer un patrón de consumo y uso de
sus clientes para poder detectar variaciones sobre dicho
patrón y vincular al mismo cliente en la participación
preventiva de los eventos de seguridad, el resguardo de
sus datos e instrumentos financieros y el cuidado sobre su
“identidad virtual”, constituyen mecanismos adecuados
para salvaguardar sus datos personales.
Si lo más normal es que las personas se cuidan al
caminar, hacer amistades, comer y están pendientes de
su salud, reputación e integridad, ¿por qué entonces no
se tienen los mismos cuidados con su identidad virtual al
recibir un correo, al entrar en un sitio de Internet (site)
o al entregar información de instrumentos financieros a
un tercero?
Ciertamente los sistemas financieros ofrecen cada
día más alternativas de movilización y actuación sobre
activos y crecen en ofertas y canales de comunicación.
Lo contradictorio es que todo ese potencial se mantenga
protegido con sólo un usuario y una clave.
34
Tarjetas de crédito: generando
confianza en el uso del dinero plástico
Alejandro Estrada*
* Ingeniero industrial del Tecnológico de Monterrey con maestría de la Escuela
de Negocios de la Universidad de Harvard. Cuenta con experiencia en las áreas de
riesgo del sistema de pagos, riesgo crediticio, riesgo empresarial y en programas
de cumplimiento corporativo. Actualmente se desempeña como responsable del
Área de Riesgo VISA Inc., para la región América Latina y el Caribe.
Resumen
En virtud de la relevancia que han adquirido los pagos
electrónicos en el mundo, garantizar su seguridad se
ha convertido en un elemento fundamental para su
desarrollo y consolidación. Por ello, en esta ponencia
se presenta una breve descripción sobre la corporación
VISA, para luego abordar los retos que tiene en materia
de seguridad y la estrategia diseñada para atender este
importante tema.
Palabras clave: adquirentes, comercios, emisores, franquicia, pagos electrónicos, seguridad, tarjetas de crédito
y débito.
Tarjeta de crédito: generando confianza en el uso del dinero plástico
Dimensiones del negocio
Empezaremos definiendo qué es VISA, para lo cual tal
vez sea útil comenzar diciendo las actividades a las que no
se dedica esta organización. VISA no emite tarjetas sino
que son sus clientes (los bancos o entidades financieras
que están alrededor del mundo) los que se encargan de
esta tarea. Igualmente, no otorga crédito a los comercios
ni a los tarjetahabientes, aunque sí lo hace de alguna
manera en el caso de los bancos que intermedian en una
transacción. Por tal motivo, no está expuesta a riesgo
crediticio.
Ahora bien, ¿qué es VISA? Es una compañía que
se hizo pública recientemente, a la cual muchos llaman
“franquicia”. Asimismo, es la mayor red internacional de
intercambio de valor y un proveedor de soluciones y productos de tecnología de pagos. Debido al hecho de que
los productos ofrecidos a los bancos son luego ofrecidos
por éstos a los clientes, puede decirse que VISA tiene una
relación “negocio a negocio” (business to business) con sus
socios, más que una relación directa con consumidores
y tarjetahabientes.
Algunas estadísticas relacionadas con la operación
pueden dar una idea de la extensión de este negocio.
Los clientes directos de VISA son entidades financieras
que reciben la denominación de adquirentes, que son
los bancos que afilian a los comerciantes así como los
38
Seguridad en los sistemas de pago
bancos emisores, que son aquellos que emiten las tarjetas.
A escala global, existen 16.600 instituciones que fungen
en calidad de emisores. Por otro lado, también a escala
mundial, existen alrededor de 1.600 millones de tarjetas,
lo que equivale a un plástico por cada cuatro personas.
Aunque, obviamente, la realidad es que hay mercados en
los que una persona tiene múltiples tarjetas y otros en los
cuales la penetración todavía es muy baja.
En 2007 se realizaron 50.000 millones de transacciones, en unos 29 millones de comercios afiliados, por
un valor de 3,8 billones de dólares5. Todo esto conforma
lo que se denomina VISANet o red de pagos VISA, que es
una red privada, administrada por VISA, que cuenta con
una serie de políticas de seguridad y manejo de marca.
Más allá de la fuerte migración que se ha visto
hacia los pagos electrónicos, este mercado comenzó hace
cerca de 35 años con las primeras tarjetas de crédito. Se
les llamó “tarjetas” porque eran físicas y sólo eran utilizadas para ciertas transacciones, principalmente de viajes
y entretenimiento, en zonas geográficas muy limitadas.
Claro está, si se habla de los orígenes de estas tarjetas
habría que remontarse a principios del siglo pasado. La
empresa conocida como Western Union emitió el primer
instrumento que podría ser considerado como una tarjeta
de crédito. El mismo fue concebido para el pago de los
telégrafos y era un dispositivo de pago que poseían las
5
Debe entenderse billones por millones de millones (trillion en inglés).
39
Tarjeta de crédito: generando confianza en el uso del dinero plástico
empresas o personas naturales. No obstante, poco queda
de aquellos mecanismos basados en medios físicos. Hoy,
han evolucionado y se han convertido en medios cada
vez más electrónicos. Con tal evolución, VISA ha podido
ofrecer más servicios a sus clientes.
¿Qué es lo que ofrece la red de pagos de VISA? En
el mercado de las tarjetas, ofrece mucho valor a los tarjetahabientes. ¿Por qué? Por la conveniencia de no tener
que traer efectivo consigo y de poder acceder a crédito de
manera inmediata en un amplio rango de tipos de comercio. Asimismo, existen múltiples programas de beneficios
y recompensas al tarjetahabiente, tales como seguros de
vida, seguros de equipaje y seguros médicos. Todo esto
constituye más que el simple valor económico intercambiado. Como vemos, existen muchas otras ventajas para
los poseedores de tarjetas que les aportan valor.
Por el lado de los comercios, VISA les ofrece un
mecanismo para recibir pagos de manera más segura
que con los mecanismos tradicionales. Asimismo, les
permite realizar ventas a personas extranjeras debido a
que las tarjetas actualmente constituyen un mecanismo
de pago a través del cual se adquieren bienes y servicios
como una moneda única a escala internacional, sin la
necesidad para el viajero de tener múltiples tipos de
moneda en los bolsillos.
40
Seguridad en los sistemas de pago
Y, por el lado de los negocios y Gobiernos, VISA
agrega eficiencia en las transacciones comerciales porque
permite que los dineros y créditos empleados en las
mismas estén administrados por entidades financieras
y sean productivos. De otra forma, tales transacciones
se realizarían en efectivo y el intercambio se produciría
sólo en el momento del pago. Gracias a los mecanismos
de pago a través de tarjetas se ofrece una administración
mucho más eficiente de la recolección y la administración
del efectivo, aumentando la seguridad de los pagos. Esto
constituye el principal beneficio para negocios y Gobiernos como sistema de pagos.
¿De qué tamaño es el negocio de VISA con relación a su competencia y a las demás formas de pago? Al
evaluar las cifras del año 2006, se observa que el efectivo
representó el 39% de todos los pagos a escala internacional, cayendo del 41% que tenía en 2001. Esto era
de esperarse debido a que una mayor penetración de las
tarjetas de crédito permite un mayor reemplazo de pagos
principalmente realizados mediante efectivo o cheque.
Este último, por cierto, ha sido desplazado también por
el incremento en la penetración de los dispositivos de
débito. Hoy en día, el 18% de los pagos mundiales son
hechos con cheques, aun cuando hace cinco años constituían el 27%. Dicha tendencia se ha dado con fuerza a
escala internacional, incluyendo los mercados de América
Latina y Estados Unidos.
41
Tarjeta de crédito: generando confianza en el uso del dinero plástico
Estos datos indican que los pagos electrónicos siguen avanzando de una manera muy importante a escala
internacional. Sin embargo, es conveniente destacar que
en mercados como América Latina, casi todos los países
tienen una penetración inferior al 10% en relación con
todos los medios de pago electrónicos. Esto lleva a concluir que todavía hay mucho camino por andar.
Retos de la industria
¿Qué retos tiene hoy la industria? La globalización,
los nuevos dispositivos como el teléfono celular, los pagos
por proximidad de microcircuitos, la World Wide Web
(www) como herramienta para el comercio electrónico
y las transferencias bancarias, los dispositivos de seguridad digital como los token y un sinnúmero de avances
financieros y tecnológicos hacen cada vez más complejo y
sofisticado el negocio de las tarjetas de crédito y, al mismo
tiempo, aportan más valor y conveniencia de pago para
los clientes. El reto primario es garantizar la seguridad de los
pagos ante toda esta evolución tecnológica de canales,
dispositivos y cambios de hábito del consumidor.
Con respecto a los retos que se presentan desde la
óptica del consumidor, destacan que la segmentación de
los tarjetahabientes, meramente fundada en la condición
económica, ya no es útil para las instituciones emisoras.
Actualmente, puede haber gente muy joven que utiliza
tarjetas de prepago o monederos electrónicos, así como
42
Seguridad en los sistemas de pago
gente adulta que utiliza tarjetas de crédito y de débito.
Por tanto, la segmentación de estos instrumentos debe
ser mucho más fuerte y se deben considerar estas nuevas
realidades en cada uno de los mercados atendidos.
Por otro lado, la movilidad se ha convertido en
algo muy importante. La gente espera que su medio de
pago sea aceptado a escala doméstica, estatal, nacional
e internacional, independientemente de quién emita
la tarjeta o en dónde esté el consumidor comprando.
También, espera que sea posible emplear su mecanismo
de pago en nuevos canales electrónicos como Internet y
la banca electrónica.
Es una realidad que el consumidor cada vez es
mucho más proclive al uso de tecnología. Obviamente,
esto depende también de las generaciones pero no se
puede decir simplemente que los jóvenes se sienten más
cómodos con el uso de la tecnología y que los adultos no.
Es una mezcla de hábitos mucho más compleja.
El consumidor cada día valora más su tiempo, exige
confianza, seguridad y se siente cada vez más sofisticado
y con más fortaleza para exigir sus derechos. Esta es una
realidad internacional. Hoy todos esperan más valor en
los servicios que consumen y los bienes que adquieren.
Asimismo, tienen mucha más preocupación por la seguridad de todo tipo, física, personal, en los pagos, en la
información y por la privacidad de su identidad. Esas son
condiciones que se presentan en los consumidores que
43
Tarjeta de crédito: generando confianza en el uso del dinero plástico
afectan tremendamente los medios de pago y cualquier
otra industria, sea de entretenimiento, comunicaciones
o cualquier tipo.
En otro punto de la ecuación de los pagos se encuentran los comercios, que son los encargados de recibir
los pagos. Los pagos electrónicos son aceptados cada vez
con mayor proactividad por parte de los establecimientos
comerciales y por receptores de pago de otra índole (como
Gobiernos, empresas y personas naturales). Sin embargo,
la prioridad del comerciante sigue siendo ofrecer servicio
a sus clientes y hacer negocios. El mecanismo de pago
es un instrumento que es parte de la transacción, pero
no es el fin último. Este es un factor importante que ha
de ser tomado en consideración para la oferta de mecanismos de pago que den mayor valor y seguridad a estos
receptores.
Se debe reconocer que los comercios son diferentes. Éstos varían su función según dónde están, quién es
su cliente y cuál es su objetivo. Existen comercios que
sustentan su éxito completamente en el mundo virtual
como, por ejemplo, los sitios de subasta que han ganado
mucha popularidad en Internet. No obstante, la mayoría
de los comercios están en algún lugar intermedio. Existen
categorías de negocio que están cambiando de los pagos
cara a cara a pagos a través de Internet, tal es el caso de
las aerolíneas. Asimismo, otras categorías, como las compañías automotrices, están realizando un buen porcentaje
de sus ventas a través de pagos con tarjeta, ya sea para
44
Seguridad en los sistemas de pago
pagos de enganches o anticipos (iniciales) en la compra.
Esto quiere decir que, sin importar si una empresa es
netamente oferente de productos físicos o virtuales, la
aceptación de los pagos electrónicos es cada vez mayor.
Otro punto que hay que reconocer es que estas
compañías utilizan múltiples canales de venta, que
pueden ser Internet, un mostrador físico, el teléfono,
catálogos o visitas a domicilio. En todos los casos el
común denominador es que cuando se requiere la realización de un pago, el comercio espera que su proveedor,
en este caso el banco que lo atiende, esté en la capacidad
de procesar sus transacciones recibidas por todos estos
diferentes mecanismos o canales.
En este sentido, al consolidar todos estos retos que
muestra la industria, podemos elaborar un conjunto de
consideraciones que los actores de este mercado deberán
tener en cuenta en materia de seguridad.
La primera es que la seguridad y la confianza en
los medios de pago son claves para la existencia de éstos.
Considere una situación en la que un consumidor saca
su tarjeta para pagar en un establecimiento, pero tiene
desconfianza por su percepción de fraude; o un comercio
que no está seguro de recibir pagos con tarjeta porque no
tiene certeza de que esos pagos sean honrados. Sin duda,
en poco tiempo la gente dejaría de usar ese mecanismo.
Si no hay seguridad en los pagos electrónicos, no existen
los pagos electrónicos.
45
Tarjeta de crédito: generando confianza en el uso del dinero plástico
La segunda consideración de seguridad es que el
fraude ha crecido y evolucionado. Desde el principio
de la civilización el comercio involucra gente que ofrece
productos y servicios y gente que los requiere. Es el medio que utiliza para acceder a esos bienes lo que indica si
es legítimo o no. Esto es parte de la condición humana,
sea que existan pagos electrónicos o que los mismos se
efectúen por medio del trueque. Obviamente, hoy en
día, esa forma de romper la seguridad para hacerse de
bienes y servicios ha evolucionado. Se ha hecho mucho
más sofisticada. El tipo de defraudador es cada vez más
internacional y probablemente cuenta con información
de la industria. El reto de todos los que se dedican a la
seguridad en los medios de pago es estar por encima del
nivel de estos defraudadores.
Otra consideración, que va más allá de la seguridad
del pago, tiene que ver con el manejo de la información.
Esta tercera consideración es muy importante porque,
aunque un pago haya sido realizado de manera segura,
pudieran existir peligros en fases del proceso como la
transmisión de la información, su almacenamiento en
bases de datos, o su impresión, en cualquier lugar donde
ésta radique, ya sea en las oficinas del comercio o en las
bases de datos de los bancos. Por ello, es muy importante que el manejo de esta información sea totalmente
certificada.
La cuarta consideración se relaciona con el reto de
autenticación de las transacciones y de los usuarios. Existe
46
Seguridad en los sistemas de pago
un crecimiento importante en los canales utilizados para
realizar transacciones, sobre todo en canales que no son
físicos. Es necesario contar con una estrategia de atención a estas necesidades que sea reactiva y proactiva. De
nada servirá entender cómo se ha realizado un fraude.
La industria tiene que estar un paso adelante y de hecho
lo está. Hoy en día, el problema del nivel de fraude representa fracciones de un punto porcentual del total de
los casi tres billones de dólares que maneja VISA a escala
global. Aunque podría parecer alto, se debe recordar que
el fraude existe en otros mecanismos de pago como los
cheques y el efectivo. Es una realidad que la visibilidad del
fraude en el mercado de los pagos electrónicos es mayor,
tal vez debido a lo sofisticado del mundo electrónico. Por
ello, aunque el nivel de fraude es sumamente pequeño,
tiene un impacto muy importante.
Estrategia de seguridad de VISA
La estrategia que se ha planteado VISA para
abordar los retos y consideraciones esbozados en torno
a la seguridad consta de cinco pilares. El primero es la
definición de la estrategia misma. El objetivo es que todo
lo que se haga garantice la seguridad y confianza de los
pagos, sabiendo que sin esto no existirían las condiciones
necesarias para la realización de los mismos. Además,
es bien conocido que la seguridad conlleva a la confianza,
y la confianza a mayor utilización del sistema de pagos.
Aunque VISA considera que el proceso de migración de
47
Tarjeta de crédito: generando confianza en el uso del dinero plástico
los pagos hacia mecanismos electrónicos es irreversible,
reconoce que lo que se haga en términos de seguridad
incidirá en la velocidad de ese proceso.
Como se observó previamente, el enfoque de la
seguridad no debería estar sólo sobre el pago propiamente sino también sobre el manejo de la información.
Para ello, se han desarrollado una serie de programas y
tecnologías orientados a resguardar los datos en todas
las fases del proceso de pagos. Asimismo, este enfoque
debe extenderse a todos los involucrados en la cadena
de valor, abarcando no sólo a los tarjetahabientes, sino
también a los proveedores de soluciones, procesadores
de operaciones, bancos y comerciantes. Esto último
resulta de gran importancia si se considera que cada día
la seguridad depende más de terceros.
Por otro lado, la estrategia de VISA se sustenta en
múltiples niveles de seguridad, con lo cual se reconoce que
tal vez no sea suficiente contar con un solo mecanismo de
protección para todos los ambientes posibles. Por ejemplo, si solamente se contara con el chip como elemento
de seguridad en las tarjetas, tal vez éste resultaría muy
firme en ciertos ambientes pero en el ambiente virtual
tal vez se requeriría de algún otro medio de protección.
Esto no es muy diferente a la estrategia de seguridad que
utilizamos en nuestras casas. Hay personas que se sienten
cómodas con tener solamente un portón con una llave
para acceder a su hogar desde la calle. Sin embargo, hay
otros que tienen cerraduras con llave para entrar a la casa,
48
Seguridad en los sistemas de pago
para pasar por el jardín, que tienen perros o alarmas y
que –aun así– una vez adentro, no deja los elementos de
valor puestos en la mesa o en cualquier lugar, sino que
hay lugares especiales en los que se guardan tales objetos.
Esto nos ayuda a ver que la seguridad no está en una sola
parte externa, sino que hay múltiples mecanismos de
seguridad posibles para cada ambiente.
Por supuesto, también se reconoce que en la medida en la que se incrementan los niveles de seguridad se
hace más complicado, menos eficiente y menos práctico
el proceso de pagos. Por ejemplo, si se exigiera una seguridad demasiado alta en los pagos que se realizan en
un comercio o un restaurante, entonces se afectaría la
conveniencia. Esto representa una ecuación nada fácil
de equilibrar porque lo que le podría resultar aceptable
a algunos usuarios podría ser completamente rechazado
por otros. Por ello, la estrategia de VISA se basa en permitir que la tecnología, los protocolos y los programas
desarrollados brinden la flexibilidad de poder ser implementados en la medida en que lo demanden los clientes
de un mercado particular.
El segundo pilar de la estrategia es una serie de
programas destinados a los diferentes elementos en la
cadena de valor. En este contexto, existen programas
para emisores y para adquirentes que tratan de autorizar
que las políticas de implantación de los mecanismos de
49
Tarjeta de crédito: generando confianza en el uso del dinero plástico
seguridad, como el PIN o el CHIP (circuito integrado)
estén completamente validados. VISA cuenta con un
programa de certificación orientado a las entidades
financieras así como también a los proveedores y a los
diferentes elementos de la cadena.
Un buen ejemplo de estos programas orientados
a los adquirentes son las herramientas sofisticadas que
permiten identificar puntos comunes de compromiso.
Estas herramientas recopilan la información de fraudes en
una base de datos de gran tamaño, la procesan y tratan de
identificar puntos comunes a través del análisis de códigos
postales o hasta de establecimientos muy puntuales que
son los orígenes de los puntos de compromiso. Con ello,
el banco adquirente puede ir al comercio y realizar una
investigación para identificar qué es lo que ha sucedido.
Claro está, esto sólo puede lograrse cuando se cuenta con
toda la información de todas las transacciones dentro de
un mercado, incluyendo tarjetas de crédito, de débito, el
banco en que se originaron y si son tarjetas de empresas
o de consumidores.
También existen programas de certificación de
proveedores. Hay múltiples actores que procesan transacciones, fabrican tarjetas, terminales electrónicos,
cajeros automáticos, entre otros. Ellos son un elemento
fundamental y, por tanto, existen programas de seguridad
para estos proveedores. En el caso de VISA, consiste en
visitas periódicas a las oficinas, donde se evalúan todos
los aspectos de seguridad, como los lugares de almacena50
Seguridad en los sistemas de pago
miento de los plásticos, los métodos de encriptamiento
de la información y los procesos de personalización
de las tarjetas. Igualmente, existen programas equivalentes para fabricantes de cajeros y terminales, lo cual
asegura que los niveles mínimos de seguridad de VISA
son cumplidos y que estas entidades o proveedores de
servicios están certificados para ofrecer sus productos y servicios al sistema VISA.
Asimismo, como parte de estos programas, VISA
cuenta con un conjunto de relaciones con entidades externas proveedoras de capacitación, consultorías y asesorías,
a través de las cuales llega a una masa mucho más grande
de involucrados. En oportunidades, esa capacitación es
impartida a comercios o en foros que cuentan con la
participación de los tarjetahabientes. Con ello se abordan
todos los elementos de la cadena de valor.
El tercer pilar de la estrategia lo constituyen las
herramientas para monitorear y detectar transacciones
fraudulentas. Esto ha implicado la actualización de la
plataforma tecnológica. Hace 30 años se vivía en el
mundo de las tarjetas físicas, se creaban vouchers de papel que se transferían físicamente hasta el banco emisor
y luego hacia la compensación y liquidación a través de
las entidades que estaban designadas geográficamente.
Hoy en día el proceso es mucho más complejo. Esta es la
principal razón para seguir la tendencia de uso de mecanismos de seguridad avanzados, probados y disponibles
en el mercado.
51
Tarjeta de crédito: generando confianza en el uso del dinero plástico
Estas soluciones tecnológicas deben constituir
estándares en la industria. Es decir, los mismos deben
ser soluciones probadas, de amplia aceptación. Así como
para algunas industrias los sistemas de estandarización de
ISO (International Organization for Standardization)
son muy importantes, para la industria de las tarjetas de
crédito, tecnologías estándar como PCI (Payment Card
Industry o industria de tarjetas de pago), para el manejo
de información, EMV (estándar de interoperabilidad de
tarjetas IC, “tarjetas con chip”) para los microcircuitos
en las tarjetas, 3DES (Triple Data Encryption Standard
o Estándar de Cifrado de Datos Triple) para el encriptamiento estándar o CVV (Card Verification Value) para la
generación de dígitos de verificación son extremadamente
útiles. Con ello no se busca que ninguna tecnología de
autenticación y seguridad esté basada en estándares propietarios, debido a que finalmente éstas tendrán que ser
de uso genérico para que beneficie a todo el sistema de
pagos. Claro está, el uso de estas herramientas también
dependerá del canal, el mercado y las necesidades particulares de los usuarios.
De igual forma, debe darse continuidad a la migración hacia dispositivos inteligentes. La banda magnética
de las tarjetas de crédito fue una evolución tecnológica
sumamente importante hace 25 años, la cual se fue adoptando gradualmente en diferentes mercados. Sin embargo, esa tecnología ya cuenta con décadas de servicio.
52
Seguridad en los sistemas de pago
Por ello, actualmente se adelanta la migración hacia
tarjetas con microcircuitos de manera bastante fuerte
a escala internacional. Obviamente, tal migración tendrá
diferentes velocidades dependiendo de las condiciones de
cada mercado. Y, tal vez, es mejor esta gradualidad debido
a que los costos de migrar a tarjetas que costaban 10
dólares cada una, cuando empezó esta tecnología hace
10 años, es mucho menor el día de hoy.
Pese a ello, existen otros elementos que también
determinan el costo de la migración como la funcionalidad y la capacidad de almacenamiento del microcircuito,
la flexibilidad para almacenar programas de lealtad, la
autenticación y la información del tarjetahabiente. También deberán considerarse los costos de migración de los
dispositivos en los que se leerán estas tarjetas, como cajas
registradoras en establecimientos comerciales, cajeros automáticos, sistemas de Internet y otros.
Otras herramientas importantes en esta estrategia
son las soluciones de autenticación. Uno de los grandes
retos para la industria es autenticar a las partes que están haciendo la transacción. Para ello, la firma calígrafa
evolucionó al PIN y a otros métodos de autenticación
virtual. En este campo, cada vez con más fuerza se escucha hablar sobre biometría pero lo cierto es que para
ello aún no existen estándares internacionales y los dispositivos siguen siendo todavía muy costosos. Incluso,
puede que ya existan soluciones firmes o eficientes pero
no necesariamente estándares. Esto representa un gran
53
Tarjeta de crédito: generando confianza en el uso del dinero plástico
obstáculo para su adopción por parte de una industria
que está acostumbrada a ser muy cuidadosa y que acoge
las innovaciones no cuando salen, sino en el momento en
que están adecuadas a la necesidad y son convenientes.
Por último, VISA cuenta con una plataforma
tecnológica que procesa transacciones internacionales
y domésticas. VISA es sumamente robusta, segura y
permite identificar las transacciones, monitorearlas,
calificarlas y determinar parámetros de seguridad, de tal
manera que los bancos adquirentes y emisores reciban
información oportuna, no sólo de la aprobación de un
pago sino también de la calificación que pudiera tener
esa transacción en términos de seguridad.
El cuarto pilar de la estrategia es el soporte. VISA
ofrece servicios consultivos a los clientes para la prevención del fraude. Gran parte del trabajo de VISA va
más allá del establecimiento de estándares y programas
de cumplimiento de los mismos. Se ha dado un énfasis
particular a la capacitación en cuanto a las mejores prácticas de la industria a escala doméstica e internacional,
con lo cual se busca crear y compartir el conocimiento y
la experticia en la materia.
Una muestra de la importancia que tienen el entrenamiento y la capacitación es la constante participación
de VISA en eventos organizados por bancos individuales,
asociaciones bancarias y bancos centrales, así como en
eventos abiertos, como congresos con la asistencia de
54
Seguridad en los sistemas de pago
consumidores, comercio y público en general. Con ello
se cubre la necesidad de difundir y compartir la estrategia,
el enfoque y las prioridades de VISA para el aumento de
los niveles de seguridad.
Asimismo, se mantiene una intensa comunicación
con los proveedores enfocada en la prevención del fraude.
Esto implica compartir información estadística. La única
manera de saber cuán efectivas han sido las medidas que
hemos tomado es midiendo continuamente los niveles
de fraude. Por ejemplo, niveles de fraude de 50 puntos
base son extremadamente altos y éstos llegaron a existir
en ciertos momentos en algunos mercados. Hoy en día es
mucho más bajo que eso y esta cooperación en compartir información permite hacer comparaciones con otros
mercados similares, entre países latinoamericanos, entre
bancos de un mismo mercado. Todo esto contribuye a
determinar dónde se está gestando el compromiso a la
seguridad, en qué canales, en qué tipo de productos y en
qué tipo de establecimientos o categorías, lo cual resulta
sumamente útil tanto en la previsión del fraude como en
la atención que se da a los diversos segmentos.
Finalmente, el quinto y último pilar de la estrategia
es la coordinación de los jugadores de esta enorme industria. Como se ha mencionado antes, esta coordinación
se efectúa no sólo con las entidades que VISA atiende
directamente, sino también con otros socios. Abarca
sobre todo la definición de estándares que garanticen la
interoperabilidad y otros aspectos importantes. Además,
55
Tarjeta de crédito: generando confianza en el uso del dinero plástico
VISA tiene un interés particular en acercarse a las entidades gubernamentales involucradas en la regulación,
supervisión o definición de lineamientos de seguridad
para el sistema de pagos. Asimismo, el diálogo con jugadores como la industria de comunicaciones resultará
vital en los próximos años, de cara a la evolución de los
pagos hacia los dispositivos móviles.
Conclusiones
Al analizar todos los aspectos de la estrategia de
seguridad de VISA, se pueden realizar algunas conclusiones. En primer lugar, no cabe ninguna duda de que
existen múltiples beneficios de migrar hacia los pagos
electrónicos. Este es un proceso irreversible. Desde ya
se podría inferir que los usuarios a escala global exigirán
dispositivos de pago abiertos, que sean seguros y ampliamente aceptados a escala internacional.
En segundo lugar, es muy importante que las entidades financieras y todos los jugadores de la industria
tengan conciencia de que el elemento clave para el éxito
es la seguridad. Puede que se realicen esfuerzos para que
las tarjetas sean aceptadas en más lugares y comercios. Sin
embargo, si no se garantiza la confianza y la seguridad
del pago, todos los esfuerzos por obtener reconocimiento,
aceptación, interoperabilidad, no serán suficientes para
darle valor a los pagos electrónicos.
56
Seguridad en los sistemas de pago
Como tercera conclusión, se debe reconocer que el
fraude evoluciona y migra, no solamente desde la perspectiva del defraudador, sino también de las herramientas
que ellos utilizan en este tipo de labores ilícitas. Por tanto,
se debe asegurar que la estrategia de seguridad se focalice
hacia el uso de diferentes dispositivos, diferentes canales,
diferentes tecnologías y diferentes niveles de seguridad.
Se debe continuar en la evolución de la plataforma tecnológica. Por ejemplo, en Venezuela se está evaluando la
migración a tarjetas con microcircuitos. Por ahora se está
definiendo una estrategia de migración que cubra los comercios, tarjetahabientes, normativa y proveedores. Ésta
será una iniciativa muy grande, que implicará esfuerzo y
compromiso por parte de todos los jugadores.
Por último, se debe reconocer que sin la participación de todos, sociedad e industria, sin información y
sin mejores prácticas no se puede garantizar la seguridad.
Éste es un sistema de pagos muy grande y complejo, y
el trabajo que se ha realizado para generar confianza y
seguridad ha sido extraordinario, lo que muestra que
esto tiene la máxima prioridad. Ese esfuerzo se ha visto
reflejado en el nivel de fraude que sigue siendo pequeño.
En cualquier caso, la industria deberá seguir su trabajo
para que se mantenga así, esforzándose por mejorar la
comunicación y la percepción que el mercado tenga sobre
los pagos electrónicos.
57
Tarjeta de crédito: generando confianza en el uso del dinero plástico
Cada día los pagos electrónicos comprenden un mayor
porcentaje de los pagos físicos y virtuales que realizan las
personas y las empresas en todo el mundo. Estos pagos
electrónicos son hechos a través de millones de tarjetas de
crédito, débito o comerciales en millones de comercios
físicos y virtuales alrededor del mundo.
Los tarjetahabientes o compradores demandan de estos
pagos conveniencia, seguridad, servicios de valor agregado
y programas de recompensa. Por otro lado, los comercios
o receptores de pagos requieren de sistemas seguros y
eficientes que incrementen sus ventas y ofrezcan valor a
sus consumidores.
Garantizar la seguridad de los pagos electrónicos es uno de
los pilares fundamentales del sistema VISA y un elemento
esencial para el continuo y sostenido desarrollo de todos
los sistemas de pago electrónicos.
Los esfuerzos de VISA y de sus bancos se enfocan en
asegurar la seguridad de los compradores y comercios,
de la red electrónica y de los diferentes intermediarios
financieros y no financieros que participan en la cadena
de valor y en el flujo de la transacción.
Estos esfuerzos de VISA van desde asegurar la seguridad
física de las tarjetas, terminales y otros dispositivos de
captura de la transacción, hasta los sistemas electrónicos
de transferencia y procesamiento.
También es una realidad que la convergencia de nuevas
tecnologías, canales y dispositivos inteligentes de pago generan nuevas oportunidades, y serán clave para el continuo
desarrollo de los pagos electrónicos en el mundo físico y
58
Seguridad en los sistemas de pago
en el virtual. Asimismo, esta convergencia demandará de
los pagos electrónicos soluciones flexibles e innovadoras
de seguridad de pagos que atiendan estos nuevos retos.
En esta presentación se compartieron las iniciativas VISA
para asegurar la seguridad y el crecimiento de los sistemas
de pago VISA, a través de la implementación de una
estrategia basada en múltiples niveles de seguridad, que
incluye, entre otros, la seguridad de los dispositivos físicos
para realizar una transacción, los sistemas de transferencia
de información y procesamiento, la seguridad de datos y
la implementación de sofisticados sistemas predictivos
y preventivos para procesar y calificar las transacciones.
Por último, será muy importante continuar con campañas
de educación y programas de entrenamiento entre las diferentes partes involucradas en el desarrollo de los pagos
electrónicos, a fin de asegurar su adecuado funcionamiento, mantener la integridad de los sistemas electrónicos de
pago y sostener el crecimiento futuro de los mismos.
59
Comercio electrónico: seguridad,
punto de partida para más comercio
Mario J. Dávila Z.*
* Diplomado en Mecánica en el Instituto Universitario Tecnológico (IUT)
Región Capital con el Programa Avanzado de Gerencia del Instituto de Estudios
Superiores de Administración (IESA) culminado. Miembro del equipo fundador
de la empresa MercadoLibre.com. Actualmente se desempeña como gerente
general de las operaciones de MercadoLibre.com en Venezuela y Colombia
y es director principal de la Cámara Venezolana de Comercio Electrónico
(Cavecom-e).
Resumen
En este trabajo se muestra en cifras la penetración que
ha alcanzado Internet en Venezuela y su creciente uso
para actividades de comercio electrónico y operaciones
financieras. Además, se identifican, por un lado, algunas
carencias de las actuales plataformas y, por otro, varias propuestas para mejorar los temas relacionados con la seguridad en los pagos originados en el comercio electrónico.
Palabras clave: comercio electrónico, Internet, operaciones bancarias, seguridad.
Comercio electrónico: seguridad, punto de partida para más comercio
En los últimos años, el acceso a Internet ha venido creciendo de manera sostenida así como su uso para
la realización de operaciones bancarias y de comercio
electrónico. A continuación se compartirán cifras que
describen este crecimiento, definiciones asociadas al tema
y reflexiones sobre el rol fundamental que los aspectos de
seguridad y la banca tienen en el desarrollo de la actividad
comercial en línea.
Acceso a Internet en Venezuela
De acuerdo con estimaciones suministradas por la
Comisión Nacional de Telecomunicaciones (Conatel),
desde el año 2000 se ha experimentado un incremento
en el número de venezolanos con acceso a Internet
(5.940.426 habitantes en 2007, lo cual representa un
21,55% de penetración). No obstante, pese al crecimiento obtenido, aún la penetración de Internet en Venezuela
se encuentra por debajo del 24%, cifra promedio de la
región.
64
Seguridad en los sistemas de pago
�����
����������� �����
���
�����
����
�����
�������
��������
�����
����
�����
�����
�����
����
�������������������
������������ �����
���
����
�����
����������� �����
���
����
�����
����
�����
����
����
���� �����
����
���
����
���� �����
�����
�����
��������
��������
Gráfico 1
Panorama actual de Internet en Venezuela
�����
���������������������
(*) Cifras preliminares basadas en la Encuesta Trimestral Agregada de los
Principales Indicadores del Sector. Conatel.
1/ Valores estimados en función de suscriptores.
Fuente: Observatorio Estadístico. Comisión Nacional de Telecomunicaciones.
Este crecimiento ha estado fuertemente sustentado
en el uso de la red por parte de los usuarios más jóvenes.
Alrededor del 63% de los internautas tienen menos de
24 años de edad.
65
Comercio electrónico: seguridad, punto de partida para más comercio
Gráfico 2
Distribución de usuarios por edad
������
������
������
������
����������
������
�����
������
�������
�������
�������
�������
��������
����
Fuente: Tendencias digitales, www.tendenciasdigitales.com.
En cuanto a los lugares donde las personas se conectan a la red, los usuarios emplean diversas alternativas
como el cybercafé, que es el más común, seguido por el
hogar y el trabajo. En ello es particularmente interesante
el crecimiento del acceso en los hogares. Actualmente,
37% de los internautas venezolanos accede a Internet
desde su casa, lo que muestra interés creciente en la
contratación de servicios de banda ancha. Esta inclinación ha estado sustentada en el impulso que ha dado el
Gobierno y los proveedores de servicios de Internet (ISP,
por sus siglas en inglés) en materia de oferta y calidad de
las conexiones.
66
Seguridad en los sistemas de pago
Gráfico 3
Lugares de conexión a Internet
��
��
��
�����������
���
��
��
����������
��
������������
��
���������
������������
���������������
��
�
������ ������ ������ ������ ������ ������ ������ ������ ������ ������ ������ ������
Fuente: Tendencias digitales, www.tendenciasdigitales.com.
Ahora bien, ¿qué actividades se realizan a través
de Internet en Venezuela? En términos de uso, se han
observado cambios importantes en los últimos años.
Actualmente, “buscar información para los estudios” es
la mayor razón de empleo de este medio, seguido por la
utilización de correo electrónico, mensajería y chat. Sin
embargo, con relación al uso de Internet para la realización de operaciones bancarias, se ha podido apreciar un
incremento en el porcentaje de empleo, especialmente
durante los años 2006 y 2007, lo cual muestra la disposición de los venezolanos a usar la web para ir al banco.
Un crecimiento igualmente significativo se pudo observar
en el uso de la red para la compra y venta de productos
y servicios. Si bien es cierto que la extensión del uso del
comercio electrónico todavía no es tan significativa,
67
Comercio electrónico: seguridad, punto de partida para más comercio
hay evidencias de que ha experimentado un importante
crecimiento en los últimos dos años.
Gráfico 4
Principales usos de Internet en Venezuela
������
�����������������������������
������
������
������������������������
������
������
�����������������������������
������
������
���������������������������
������
�������������
������
������
�����������������������������
������
������
������������������
��������������
���������������������
�����������������������������
������
�����
�����
�����
������
�����
�����
����������
����
��������������
������
��
�����
����
����
����
����
Fuente: Tendencias digitales, www.tendenciasdigitales.com.
En el contexto mundial, la región latinoamericana
ha alcanzado gran relevancia y reporta 137 millones de
internautas dentro del universo de 1.407 millones a escala global. Este hecho debe tenerse en consideración a
la hora de hablar de negocios electrónicos en una región
que cuenta con una penetración de Internet del 24%, la
cual es superior a la penetración mundial que se ubica
en 21%.
68
Seguridad en los sistemas de pago
Comercio electrónico
Ahora bien, después de revisar las cifras generales
de utilización de Internet, se describe el comercio electrónico, que de acuerdo con la definición aportada por
Watis.com, es el intercambio de bienes y servicios, en el
cual todo o parte del mismo se realiza a través de medios
electrónicos. Esta definición resalta en un punto muy
interesante. La mayoría de las personas se imagina que
cuando se habla de comercio electrónico es necesario que
el proceso completo se efectúe de manera electrónica. Sin
embargo, tal como se menciona en la definición, basta
con que sólo una parte del proceso se ejecute electrónicamente para que el mismo sea considerado como tal.
Este tipo de comercio puede ser tipificado de
acuerdo con los entes involucrados en las operaciones.
De esta forma, se consigue comercio de cliente a cliente
(C2C), de negocio a cliente (B2C), de cliente a negocio
(C2B) y de negocio a negocio (B2B). Más recientemente
se ha comenzado a incorporar a los Gobiernos en estos
tipos de transacciones.
En términos generales, el comercio electrónico
posee características singulares que lo hacen muy atractivo. Por un lado, un emprendimiento de esta naturaleza implica tener una tienda abierta las 24 horas, los
365 días del año. Además, tal tienda puede ser visitada
por clientes sin necesidad de moverse de sus hogares,
negocio u oficina. Por otro lado, las barreras de entrada
69
Comercio electrónico: seguridad, punto de partida para más comercio
a este negocio son relativamente bajas, puesto que es
sencillo y económico comenzar a emplearlo como canal
de ventas y existen diversas alternativas para procesar los
pagos derivados de las operaciones comerciales. Además,
el comercio electrónico permite extender el alcance del
negocio, lo que posibilita el acceso a mercados nacionales
e internacionales. El comerciante puede contar con mecanismos de promoción de amplio rango y a muy bajo
costo. Asimismo, se encuentran disponibles un cúmulo
de opciones para hacer entrega, pronta y precisa, de los
productos ofertados.
Pero el comercio electrónico no sólo beneficia a
los vendedores sino también a los compradores. A través
de él, se pueden conseguir productos que no se ofrecen
típicamente en un centro comercial o en un negocio
tradicional. Posiblemente se consigan a un mejor precio,
lo cual es resultado de la reducción de costos y la competencia del lado de los oferentes. Además, se rompen
las barreras geográficas permitiendo comprar bienes en
sitios remotos sin la necesidad de moverse del hogar u
oficina.
Existen varios factores que potencian, ahora y en
el futuro, el comercio electrónico. Primero, existe una
generación joven de internautas que no conoce el mundo
sin Internet y posee medios de conexión alternativos a las
computadoras (celulares, por ejemplo). Éstos son usuarios
más confiados y están acostumbrados al uso intensivo de
la tecnología. Además, hay otra generación de adultos que
70
Seguridad en los sistemas de pago
sí conocen el mundo sin Internet y sin celulares. Éstos
han aprendido a confiar en los mecanismos electrónicos
y se han adaptado a los mismos con rapidez. Por otro
lado, está el incremento en el número de computadores
personales o dispositivos que permiten la navegación en
la web y el número de conexiones de banda ancha. Tecnologías como los celulares con capacidad de navegación
en la red y WiMAX6 potenciarán aún más el comercio
electrónico en los próximos años. Sin embargo, resultará
fundamental el impulso que den a este tema dos importantes sectores: el Gobierno y la banca.
Muchos Gobiernos han adoptado los temas
relacionados con el acceso a Internet como una política de Estado, fomentando el acceso de un mayor número
de personas. Dichas políticas son luego asumidas por los
ISP, quienes logran ofrecer conexiones de banda ancha
con mayor calidad y a un costo menor para los usuarios.
Por otro lado, y relativo a la banca, se plantea la siguiente
reflexión: ¿está la banca enfocada en potenciar el comercio
electrónico? A continuación se presentan algunos hechos
relacionados con este punto.
6
WiMAx (acrónimo de Worldwide Interoperability for Microwave Access, que en
español quiere decir: “Interoperabilidad Mundial para Acceso por Microondas”).
Es un estándar de transmisión por ondas de radio de última generación
orientada a la última milla que permite la recepción de datos por microondas y
retransmitirla por ondas de radio (protocolo 802.16 MAN-Metropolitan Area
NetWork, Red de Área Metropolitana) que proporciona accesos concurrentes,
varios repetidores de señal superpuestos que ofrecen siempre total cobertura,
en áreas de hasta 48 km de radio y a velocidades de hasta 70 mbps y utiliza
tecnología que no requiere visión directa con las estaciones base (a diferencia
de las microondas). WiMax es un concepto parecido a Wi-Fi pero con mayor
cobertura y ancho de banda.
71
Comercio electrónico: seguridad, punto de partida para más comercio
La banca y el comercio electrónico en Venezuela
De 37 bancos universales y 22 entidades financieras
existentes en Venezuela, sólo tres han realizado desarrollos
importantes, en algún momento, para ofrecer herramientas funcionales para comercio electrónico y sólo una de
ellas aún mantiene interés. El hecho resulta contradictorio a todas luces para un mercado que se duplica año
tras año e inquietante para los entes relacionados con el
desarrollo y fomento del comercio electrónico, debido
a que los temas de seguridad en los pagos son una de
las principales preocupaciones que encuentran quienes
desean hacer una incursión en este sector.
No obstante, se reconoce que en la banca existen
herramientas potenciales que se podrían desarrollar para
apoyar el comercio electrónico. Un ejemplo de ello son
las transferencias electrónicas, las cuales se podrían modificar para que tuvieran un número universal único de
referencia que permitiera a los comerciantes identificar
un pago realizado por un cliente. Actualmente, cuando un
usuario efectúa una transferencia a través del sitio web de
su banco, éste le devuelve un número de referencia que
es distinto al que verá el comerciante como referencia
de la operación cuando los fondos lleguen a su destino.
Realizar esta adecuación implica cooperación entre las
instituciones bancarias para empezar a utilizar herramientas existentes en el desarrollo del comercio electrónico.
72
Seguridad en los sistemas de pago
Por otro lado, con relación a los pagos con tarjetas de crédito, existen comercios que optan por crear
enormes departamentos de seguridad para la verificación
de las operaciones debido a que reciben poco o ningún
apoyo de la banca para el control de fraude electrónico.
Usualmente, el banco que presta el servicio sólo puede
ayudar al comerciante en estos aspectos de verificación
si la tarjeta empleada en la operación es emitida por ese
mismo banco. Si la tarjeta fuera emitida por otra entidad,
el comerciante queda inhabilitado para efectuar la verificación. Los comercios en esta situación experimentan
un incremento en sus costos de operación y típicamente
terminan retirándose del emprendimiento.
Igualmente, y aunque es un problema en toda Latinoamérica, en la actualidad es conocido que no existe
un mecanismo seguro para la realización de un pago en
línea a través de las tarjetas de débito. Este es un punto
aún no resuelto pero al cual hay que dar atención debido
al hecho de que muchas personas son proclives a realizar
sus pagos con este tipo de instrumentos.
En este sentido, en Venezuela existen infraestructuras que pueden ser aprovechadas para motorizar el
desarrollo de los pagos originados en el comercio electrónico. Tal es el caso de la Cámara de Compensación
Electrónica que opera desde hace poco. Los avances en
la utilización de esta infraestructura para las soluciones
de comercio electrónico han sido tímidos. Se entiende
que este sistema de pagos quizás no fue concebido bajo
73
Comercio electrónico: seguridad, punto de partida para más comercio
esta premisa; pero, no cabe duda de que podría ser utilizada como medio de pago electrónico en apoyo a este
tipo de operaciones. Tal vez los comerciantes consideren
aceptables los plazos de acreditación de fondos de 24 a
48 horas a cambio de obtener el procesamiento de sus
pagos a más bajo costo y con mayor seguridad.
De hecho, la utilización de las cámaras de compensación como infraestructuras de apoyo al comercio
electrónico no es materia novedosa. En Colombia existe
el sistema denominado “Proveedor de Servicios Electrónicos” (PSE), el cual simula una cámara de compensación
electrónica y procesa pagos casi de manera inmediata.
Éste descuenta el dinero de una cuenta de un usuario
y deposita esos fondos a la cuenta de una empresa en
otro banco, permitiendo que la gente pueda usar un
“pseudodébito” bancario pero a través de una cámara
de compensación.
Ahora bien, para que la banca pueda ejercer un
rol como propulsor del comercio electrónico, se deben
romper los paradigmas en torno a esta actividad. El
comercio electrónico no es del todo electrónico. Éste
es una proyección de un comercio tradicional que se
apoya en una infraestructura relativamente nueva como
lo es Internet. Luego, al igual que el comercio de local
a la calle, la mayoría de las transacciones se realizan con
medios de pago tradicionales. Resulta paradójico que
los bancos inviertan gran esfuerzo en el tema de fraude
en línea mediante tarjetas de crédito, mientras existen
74
Seguridad en los sistemas de pago
medios que pueden ayudar a que el comercio electrónico
siga su curso.
Otro paradigma que se debe romper es la creencia
de que el comercio electrónico es más rápido y económico. En oportunidades es un poco más lento y quizás no
tan barato, dado los gastos que se tienen que asumir por
temas de control de fraude. En el comercio electrónico los
usuarios están acostumbrados a tiempos más dilatados.
Una transacción típica de este tipo, en cualquier parte
del mundo, puede tardar un par de días en liquidarse.
Esto es un factor importante que se debe tener en cuenta
debido a que tal vez la preocupación por la rapidez e inmediatez de los pagos esté presionando a la banca a tener
sistemas de seguridad muy avanzados y a la vez costosos.
La velocidad de los pagos no es tan importante como la
seguridad de los mismos.
Pese a todo esto, hay que recalcar que actualmente
el comercio electrónico no es menos seguro que el comercio tradicional. Incluso, puede que en algunos aspectos
hasta resulte más confiable. Por ejemplo, considere el
monitoreo del fraude en el comercio electrónico. Éste es
mucho menor que el que tienen que tener los comercios
tradicionales. Obviamente, debido a lo nóvel del negocio
y a su crecimiento tiene un impacto visual mucho mayor
al que nosotros estamos acostumbrados a ver. Es decir, es
más notorio aunque los niveles de fraude son más bajos
que en el comercio común.
75
Comercio electrónico: seguridad, punto de partida para más comercio
Ahora bien, en Internet se puede constatar la condición de los medios de pago en Latinoamérica y compararlos con lo que tenemos a disposición en Venezuela.
Sistemas de pago disponibles y comercio electrónico
Latinoamérica
Venezuela
3
Pago en línea con tarjeta de crédito
3
Pago en línea con tarjeta de crédito
3
Pago en línea con tarjeta de débito
5
Pago en línea con tarjeta de débito
3
Transferencias en línea con número
único de referencia
5
Transferencias en línea con número
único de referencia
3
Débito inmediato a cuenta, no
importa el banco (Colombia) PSE
5
Débito inmediato a cuenta, no
importa el banco (Colombia) PSE
3
Depósito referenciado
3
Depósito referenciado (limitado)
3
Empresas recaudadoras
5
Empresas recaudadoras
3
Recaudación en comercios
5
Supermercados
Agencias de lotería
3
Recaudación en comercios
5 Supermercados
5 Agencias
Pago a través de cajeros electrónicos
3
de lotería
Pago a través de cajeros electrónicos
Resulta muy interesante lo que se ha hecho en la
región a través de la recaudación en comercios que se
convierten en corresponsales no bancarios. Estos comercios, que pueden ser supermercados, abastos o agencias de
lotería, reciben los fondos de los usuarios y –a través de los
sistemas de pago tradicionales– realizan la transferencia de
los mismos. Esto es, sin duda, un mecanismo provisional
pero muy útil mientras la bancarización se profundiza
en nuestros países. De hecho, la clave del desarrollo del
76
Seguridad en los sistemas de pago
comercio electrónico en países como Venezuela, con
baja bancarización y baja penetración de las tarjetas de
crédito, no radica en realizar grandes esfuerzos orientados a la seguridad del medio de pago a través de tarjetas,
sino en los esfuerzos que se dediquen a la adecuación y
modernización de los medios de pago tradicionales.
Potenciando el comercio electrónico
¿Qué viene o debería venir para potenciar el comercio electrónico? En primer lugar, como se ha mencionado
previamente, se requiere realizar esfuerzos que permitan
que los sistemas de pago tradicionales evolucionen hacia formas “utilizables” por el comercio en línea. Esto
implica la implementación de referencias universales y
únicas para las transferencias electrónicas, mecanismos de
débito electrónico interbancario como los que ya existen
en otros países de la región y pleno aprovechamiento de la
Cámara de Compensación Electrónica, hasta ahora poco
utilizada para ofrecer soluciones a los pagos originados
en el comercio electrónico.
Además, por parte de la banca se requerirá una
mayor comprensión de la realidad nacional en cuanto a
la bancarización y a la penetración de las tarjetas de crédito. Tal comprensión deberá derivar en el desarrollo de
productos populares de pago que puedan ser empleados
en las operaciones de comercio electrónico. Igual comprensión deberán demostrar sobre la naturaleza misma del
77
Comercio electrónico: seguridad, punto de partida para más comercio
negocio y de los paradigmas en torno a esta actividad.
En este mismo contexto, las empresas telefónicas
también podrán jugar un rol importante, especialmente
en los aspectos relacionados con la recaudación, debido
al alcance y masificación de los dispositivos móviles y de
las tarjetas de prepago. Hoy en día, la penetración de la
telefonía celular en Venezuela alcanza el 98% y la mayoría de los kioscos son puntos de venta de las tarjetas
prepagadas. Esto les da una condición favorable para
potenciar los sistemas de pago a través de mecanismos
como la transferencia de saldo.
Finalmente, se debe impulsar la descentralización
de la recaudación y de los medios a través de los cuales se
inician los pagos. Este punto implicará que se promueva
la creación de empresas especializadas dedicadas a estos
aspectos de recaudación y de pagos. Con ello, se dará
continuidad a una tendencia creciente en toda la región
latinoamericana pero que aún en Venezuela no ha sido
abordada.
78
Banco de México: experiencia
en pagos electrónicos
Alejandro de los Santos*
* Licenciado en Actuaria de la Facultad de Ciencias de la Universidad Autónoma
de México (UNAM) con una maestría del Departamento de Matemáticas de
la Universidad de Toronto y un doctorado en Filosofía del Departamento
de Matemáticas de esa misma casa de estudios. Cuenta con amplios
conocimientos y experiencia en materia de sistemas de pago. Actualmente está
encargado de la Oficina de Alto Valor de la Gerencia de Sistemas de Pago en
el Banco de México.
Resumen
Desde hace algunos años el Banco de México ha estado
haciendo esfuerzos importantes por impulsar el uso de
pagos y medios electrónicos entre la población, pues
considera que éstos representan ventajas en términos de
conveniencia, rapidez y bajos costos para el público. En
esta nota se tratan algunos temas relativos a transferencias
electrónicas que el Banco de México ha detectado que
son importantes para la población, se enuncian algunos
retos identificados y se muestra la visión que tiene este
Banco Central para afrontarlos. Como introducción se
describe, a grandes rasgos, el principal sistema de transferencias electrónicas en México, conocido por sus siglas
como SPEI.
Palabras clave: firma electrónica, pagos y medios electrónicos, Sistema de Pagos Electrónicos Interbancarios.
Banco de México: experiencia en pagos electrónicos
El Sistema de Pagos Electrónicos Interbancarios
(SPEI)
Las principales características del SPEI son:
• Es un sistema de liquidación en tiempo real
desarrollado y operado por el Banco de México
(Banco Central).
• El SPEI originalmente fue usado para pagos de
alto valor pero su capacidad permite a los clientes de los bancos hacer transferencias el mismo
día a bajos costos. Por lo cual, los pagos de
bajo valor representan actualmente el principal
volumen de operación del sistema.
• En el SPEI no se da crédito por parte del Banco Central o de los propios participantes. El
sistema no acepta sobregiros en las cuentas de
los participantes, sus cuentas inician en cero y
terminan en cero.
• Es un sistema que por su tipo de liquidación
se clasifica como híbrido. Hace compensación
multilateral en ciclos de 20 segundos y afecta
inmediatamente las cuentas de los participantes.
Esto le permite recuperar las ventajas de definitividad de los sistemas de liquidación en tiempo
real y al mismo tiempo, la eficiencia en manejo
de liquidez de los sistemas de compensación.
82
Seguridad en los sistemas de pago
• Desde su creación el SPEI ha sido catalogado
como de importancia sistémica para México y,
por tanto, está protegido por la Ley de Sistemas de Pago de ese país. Una vez liquidadas,
sus operaciones son irrevocables, definitivas y
oponibles frente a terceros.
• Actualmente, el sistema tiene 76 participantes
entre bancos comerciales, instituciones financieras no bancarias y, recientemente, el CLS
Bank.
Transferencias electrónicas: aspectos, retos y visión
del Banco de México
Los aspectos identificados por el Banco de México
como críticos para la promoción y uso de medios electrónicos son: confianza (o seguridad), rapidez, atención
personalizada y comodidad.
Confianza
Por parte de los usuarios, se pueden identificar
dos retos importantes que se deben vencer para lograr
su confianza en los medios electrónicos:
• Cultural. La población está acostumbrada a cierto
uso de los medios de pago que no es electrónico (ir al
83
Banco de México: experiencia en pagos electrónicos
banco, pagar con cheques, etcétera). Es natural que
tengan desconfianza de los medios electrónicos.
Sin embargo, se cree que esto es un problema
principalmente generacional que disminuirá
conforme los niños y jóvenes acostumbrados
a Internet, teléfonos celulares y demás dispositivos electrónicos, requieran de los sistemas de
pago. Un reto importante para los bancos centrales es que la infraestructura esté disponible en
el país para cuando estas generaciones crezcan y
la demanda de pagos electrónicos aumente.
• Accesibilidad. El número de personas bancarizadas y con acceso a los servicios
bancarios aún es limitado en Latinoamérica.
Por tanto, hay que ser muy cuidadosos en
promover las ventajas de medios electrónicos
para no crear animadversión entre la población que
no tiene acceso a estos medios ni a la banca. Si
se cuida este aspecto y se vinculan los medios
de pago con temas de bancarización se podría
atraer más gente al sistema.
Con respecto a infraestructura y sistemas, el principal reto es cuidar la seguridad informática de las aplicaciones. A fin de abordar tal reto, el Banco de México
ha empleado varias herramientas, las cuales se describen
a continuación.
84
Seguridad en los sistemas de pago
Firmas electrónicas
Para el Banco de México ha sido muy importante utilizar y desarrollar los mecanismos de seguridad
electrónicos más avanzados a escala mundial. Esto se
basa, principalmente, en el uso de firmas electrónicas o
digitales.
Una firma electrónica es un número (muy grande)
que está relacionado con un documento electrónico que
se firma y tiene una clave privada que sólo el generador
de la firma conoce. Sus principales características son:
• La “firma” de una persona es distinta para cada
documento.
• Un documento firmado no altera el contenido
del archivo original. Su firma es un dato electrónico “anexo”.
• Todo se maneja en medios electrónicos que se
pueden copiar tantas veces como se desee, enviar
por correo electrónico, borrar, etcétera.
Ventajas:
• La firma no coincidirá si: se alteró el documento original (integridad) o si la persona
que generó la firma no es quien debía firmar
(autenticidad).
85
Banco de México: experiencia en pagos electrónicos
• El proceso es totalmente electrónico. No es
necesario intercambiar físicamente ningún
documento.
• En los sistemas de pago, a través de las firmas
electrónicas se da sustento formal a las instrucciones intercambiadas (órdenes de pago, avisos
de liquidación, etcétera).
Desventajas:
• El archivo que contiene la llave privada del originador debe mantenerse bien resguardado.
• El archivo que contiene la llave pública del originador, debe ser distribuido y almacenado por
un “tercer confiable” (autoridad certificadora).
El Banco de México impulsa activamente el uso
de firmas electrónicas como el mejor medio de seguridad
electrónico.
Factores de autenticación
Además de firmas electrónicas, es importante usar
combinaciones de los denominados “factores de autenticación”. Estos “factores” se clasifican en: algo que el
usuario conoce (clave PIN, clave o password), algo que
86
Seguridad en los sistemas de pago
el usuario posee (número de identificación, generador de
claves) y algo que el usuario es (huellas, biométricos).
En México, a partir de septiembre de 2006, “además del identificador de usuario y su clave de acceso o
contraseña respectiva, los bancos requieren a sus clientes
el uso de un segundo factor de autenticación con información dinámica” para hacer operaciones monetarias a
través de Internet7.
Definitividad
Los sistemas de pago basados en procesos electrónicos deben prestar especial cuidado a la definitividad
de las operaciones en:
• Procesos. Los sistemas deben enviar información
de regreso a sus usuarios, únicamente después de
que se hayan asegurado de que no la perderán
(copias remotas de mensajes, respaldos de avisos
de liquidación, etcétera).
• Certeza. La información intercambiada entre el
sistema y sus usuarios debe manejar alguno de los
esquemas de seguridad electrónica descritos.
7
Ley de Instituciones de Crédito, México. Artículo 52 relativo a las Disposiciones
Generales para operaciones de banca electrónica.
87
Banco de México: experiencia en pagos electrónicos
En el Banco de México, gracias a la Ley de Sistemas de Pago, estos esquemas de seguridad se consideran
autorizaciones legales, con carácter jurídico de definitivas,
irrevocables, exigibles y oponibles frente a terceros.
Rapidez
De acuerdo con el Principio Básico VII del BIS,
todo sistema de pagos “deberá asegurar un alto grado de
seguridad y fiabilidad operativa y deberá contar con mecanismos de contingencia para completar puntualmente
el procesamiento diario de sus operaciones”8.
El Banco de México considera que es absolutamente necesario diseñar todo sistema de pagos pensando
en que:
• Va a fallar en algún momento.
• Se deben construir los componentes necesarios
para que el sistema se restablezca en un tiempo
razonable.
• Sea capaz de responder al crecimiento y cambios
de la economía sin modificaciones mayúsculas de
diseño (número de operaciones, número de
participantes, capacidad aritmética, etcétera).
• Incentive la automatización de procesos (STP)
de los participantes.
8
Principios Básicos para los Sistemas de Importancia Sistémica, CPSS-BIS,
2005.
88
Seguridad en los sistemas de pago
Se han hecho esfuerzos muy importantes para
cuidar que los sistemas de pago en México cubran estos
aspectos del diseño y, con miras a cumplir con el Principio Básico VII se está trabajando en los siguientes para
garantizar la fiabilidad operativa de los sistemas:
• Telecomunicaciones. Se debe contar con
infraestructura que tenga canales alternos de
comunicación, replicación de operaciones en
sitios alternos, etcétera.
• Continuidad operativa. Se deben fijar planes
y objetivos de forma que los sistemas de pago
tengan:
Tiempos de disponibilidad muy altos.
Procesos bien definidos en caso de contingencias (Planes de Continuidad de Negocio)
por parte del operador y los participantes.
El plan debe incluir pruebas periódicas de:
procesos, distintos escenarios, componentes
e involucrar a todos los participantes.
• Diseño. Impulsar sistemas host-to-host y eliminar procesos manuales. Para operar el SPEI,
las instituciones participantes tienen que desarrollar su propia conexión y terminales de
operación. Sólo se permite una conexión por
participante. Esto las obliga a conectar un servidor al servidor del SPEI, lo cual ha redituado en
implementaciones muy cercanas al denominado
Straight Through Processing (STP).
89
Banco de México: experiencia en pagos electrónicos
Atención personalizada
Si bien algunas personas continúan prefiriendo
que les ofrezcan un trato personal cuando requieren de
servicios financieros y, por lo tanto, prefieren acudir a las
sucursales bancarias, se puede apreciar que esta tendencia
está cambiando.
En México, 22 de 45 bancos de primer piso ofrecen
muchos de sus servicios a través de portales en Internet.
Como se puede apreciar en las siguientes gráficas, el uso
de canales electrónicos aumenta constantemente. Cada
día son más las personas que no requieren de atención
personalizada, sino de medios rápidos y de fácil acceso
para hacer sus operaciones.
Gráfico 5
Comparativo de medios de pago distintos al efectivo
Número de operaciones totales
(Millones)
����
���
����
���
���
����
���
���
�
���
���
���
���
���
���
���������������
���
���
�������
��
��
����
����
��������������
Fuente: Banco de México.
90
��
����
����
���������������
����
Seguridad en los sistemas de pago
Comodidad
El Banco de México está impulsando, por distintos
mecanismos, incrementos en las operaciones interbancarias. Actualmente, si un cliente tiene necesidad de manejar eficientemente sus pagos o servicios financieros, lo
más cómodo es que abra cuentas en los distintos bancos
del país. El Banco de México busca que el público no
tenga que manejar varias cuentas bancarias ni trasladarse
entre sucursales. Se tienen como objetivos prioritarios
impulsar el incremento de operaciones e interconexiones
interbancarias y, por otro lado, la disminución de operaciones que suceden entre cuentas del mismo banco.
Las siguientes gráficas muestran que aún hay mucho por
hacer en este sentido.
Gráfico 6
Volumen de transferencias electrónicas
(Millones)
����
���
����
��
���
����
��
���
����
��
���
��
����
���
��
����
���
��
�
��
���
���
���
�����������
���
��������������
Fuente: Banco de México.
91
���
���
���
Banco de México: experiencia en pagos electrónicos
Gráfico 7
Volumen de domiciliaciones
(Millones)
����
�
��
����
�
��
����
�
��
����
�
��
����
��
����
���
�
�
���
�
��
��
��
�����������
��
��
��
��
��
��������������
Fuente: Banco de México.
Conclusiones
En el Banco de México se han identificado los
aspectos mencionados en esta nota como algunos de
los retos que permitirían mayor penetración de pagos
electrónicos en la economía del país y se considera que
sólo atendiendo estos aspectos se podrían alcanzar las
principales ventajas de los pagos electrónicos: comodidad,
rapidez y seguridad.
Los medios electrónicos continuarán evolucionando, por tanto es importante que los bancos centrales no
escatimen esfuerzos en el desarrollo de infraestructura y
procesos que permitan su mayor utilización por el bienestar del público y la eficiencia del sistema financiero.
92
Seguridad en los sistemas de pago
A continuación se presenta información acerca del mensaje
publicitario que elaboró el Banco de México en la promoción del uso de transferencias electrónicas en general
y el SPEI en particular.
El mensaje se estructuró en tres partes. La primera hace
un breve recuento histórico acerca de las transferencias
electrónicas de fondos, la segunda recoge un conjunto de
respuestas que suministraron un grupo de personas ante
la pregunta de qué opinaban acerca de los pagos electrónicos y la tercera muestra la entrevista realizada en torno
al tema a Ricardo Medina Álvarez, Director de Sistemas
Operativos y de Pagos.
Parte I: recuento histórico acerca de las transferencias
electrónicas de fondos.
La tecnología en las comunicaciones avanza vertiginosamente y revoluciona la actividad humana. Las transferencias de dinero no podían quedar atrás.
Desde hace 200 años en Europa, las oficinas postales
brindan servicios de transferencia de fondos por medio
de giros. A México estos servicios llegaron unas décadas
después. En 1884 se estableció el sistema mexicano de
giros postales, después aparecieron los giros telegráficos
y el 1 de abril de 1898 se pone en marcha el servicio de
giros telegráficos.
Pasó prácticamente medio siglo antes de que en el mundo surgieran avances significativos en los sistemas para
transmitir fondos. A finales de 1980, estas operaciones
cobraron fuerza y mayor penetración.
93
Banco de México: experiencia en pagos electrónicos
Ahora que Internet comunica a todo el mundo, las transferencias electrónicas de fondos se convierten en el nuevo
instrumento de pago.
Parte II: opinión del público.
¿Qué opina de los pagos por vía electrónica?
– Son muy efectivos, ahorran muchos pasos, muchas
incomodidades de ir a las sucursales.
– Te facilita mucho porque de repente no tienes tiempo
para estar yendo a los bancos, es rapidísimo.
– Facilita mucho en tiempo y esfuerzos.
– La verdad es que no son nada confiables.
– No es confiable.
– Son buenos, eficientes y ahorran tiempo.
– Son buenísimos, ahorran tiempo, es sencillo de hacer,
desde tu casa o desde donde estés. Son rápidos y más
seguros.
– Son eficaces pero prefiero la atención personalizada.
– Tengo un tanto de desconfianza, a lo mejor es porque
no tengo la información suficiente.
Parte III: entrevista realizada a Ricardo Medina Álvarez.
P. ¿Cómo se envía un pago por el SPEI?
R. Quien quiere enviar dinero, instruye a su banco para
que haga un pago por el SPEI y le da la siguiente información: monto del pago, nombre, número de cuenta y
banco del beneficiario. Una leyenda de hasta 40 caracteres
94
Seguridad en los sistemas de pago
que describe la razón por la que se hace el pago y un
número de referencia de hasta siete dígitos. Este servicio
lo ofrecen los bancos principalmente a través de su banca
por Internet.
P. ¿Cuáles son las principales características del SPEI?
R. Permite a los clientes de los bancos transferir dinero
hacia cualquier cuenta bancaria del país, de manera segura,
rápida y sobre todo cómoda.
P. ¿Cómo se logra la seguridad para las personas que usan
el SPEI?
R. La seguridad se basa principalmente en las claves personales de seguridad conocidas como passwords, que los
bancos proporcionan a los clientes para operar en Internet.
Estos passwords son muy seguros y fuertes pues tienen que
cumplir con la regulación vigente la cual es muy estricta.
El concepto de seguridad es total en el SPEI y podemos
afirmar que transferir recursos por el SPEI es bastante más
seguro que el cheque o que transportar efectivo.
P. Mencionaba que otra característica del SPEI es la rapidez. ¿Qué nos puede decir al respecto?
R. Una vez que el banco del cliente que desea transferir
los recursos haya revisado y validado la solicitud, en
cuestión de minutos la transferencia debe concluirse y la
persona beneficiaria del pago deberá tener depositado los
recursos en su cuenta. Además, déjame comentarte que en
la página de Internet del Banco de México se encuentra
una herramienta para que los usuarios del SPEI puedan
consultar el estado de sus pagos en línea. Comentaba que
95
Banco de México: experiencia en pagos electrónicos
la transferencia de recursos se lleva a cabo cómodamente.
Esta es una característica muy importante. A diferencia
de los cheques o de los pagos con efectivo, las personas
que intervienen en la transferencia no tienen que transportarse para encontrarse el uno con el otro ni tampoco
tienen que acudir a las sucursales de los bancos. Todo lo
pueden hacer a través de Internet. Claramente no todos
los clientes de los bancos tienen acceso a una computadora
segura con Internet, por lo cual el Banco de México junto
con los bancos, estamos explorando la posibilidad de que
se ofrezca el servicio a través de los teléfonos celulares.
P. ¿Desea concluir con algo más?
R. Solamente decir que los pagos a través del SPEI tienen ventajas considerables con respecto a los cheques y
al efectivo. Así que a todas las personas interesadas les
recomendamos acercarse a sus bancos para solicitar el
servicio del SPEI. Quienes usan servicios bancarios tienen
un nuevo instrumento que es rápido, cómodo y seguro.
Con el SPEI el uso de tecnología informática de punta y
el procesamiento en línea de las operaciones de pago están
al alcance de quien quiera usarlo.
96
Usuarios organizados: visión de la
seguridad en los sistemas de pago
Roberto León Parilli*
* Abogado egresado de la Universidad Santa María (USM) con estudios de
postgrado en Derecho Procesal de la Universidad Católica Andrés Bello (UCAB)
y el Programa de Desarrollo Gerencial del Instituto de Estudios Superiores de
Administración (IESA). Actualmente se desempeña como Presidente de la Alianza
Nacional de Usuarios y Consumidores (Anauco), editor del periódico Mercado
de Dinero Venezuela y es representante de la Red Internacional de Defensa de
los Usuarios de Servicios Bancarios.
Resumen
El desarrollo de los instrumentos de pago y los beneficios que generan no han sido aprovechados de manera
generalizada ya que parte de los usuarios tienen miedo
de utilizarlos y/o desconocen las medidas de seguridad
asociadas a su funcionamiento. Por ello, la Alianza Nacional de Usuarios y Consumidores (Anauco) presenta
una breve reseña de la organización, alguno de los éxitos
obtenidos, los principales problemas y amenazas que han
identificado y un conjunto de propuestas en términos de
medidas y acciones que pueden prevenir o atenuar los riesgos derivados de la utilización de los medios de pago.
Palabras clave: atención a usuarios, clonación de tarjetas,
fraude electrónico, medios de pago, pagos electrónicos.
Usuarios organizados: visión de la seguridad en los sistemas de pago
Introducción
Con el aprovechamiento de las nuevas tecnologías y
tendencias, el sector bancario ha incorporado importantes
cambios en los medios de pago tradicionales. De esta
forma el pago a través del cheque está siendo sustituido
por el pago electrónico en diversas modalidades.
El usuario y consumidor del mundo moderno puede pagar cualquier servicio u obligación o comprar cualquier producto, cómodamente desde su casa o cualquier
otro lugar, sin importar la distancia física que lo separa
del receptor del pago. Esta posibilidad está hoy al alcance
de cualquier persona, poco importa si tiene o no una
computadora, cada día son más los sitios desde donde
pueden efectuarse estos pagos (teléfonos con Internet,
cafés, etcétera).
Esta realidad que hoy vivimos, sin duda alguna
agrega valor para mejorar la calidad de vida del ciudadano, ya no hay que trasladarse de un lugar a otro, ni hacer
largas colas para efectuar un pago, todo lo cual se traduce
en un mejor aprovechamiento del tiempo del usuario, en
mayor fluidez en las agencias bancarias y mayor rentabilidad de los servicios a menor costo para el cliente.
Sin embargo, todas estas ventajas y muchas otras
que no hemos mencionado, no son suficientes para
convencer a millones de usuarios para que utilicen estos
mecanismos de pago. El miedo al fraude y el desconoci100
Seguridad en los sistemas de pago
miento de las medidas de seguridad, constituyen la causa
de este rechazo. Los temores y las verdaderas amenazas,
sumados a mitos y relatos de víctimas, como una especie
de marketing viral, contagian a muchos usuarios que se
niegan a aprovechar las bondades del pago electrónico
y continúan con las viejas usanzas, incluso sin tomar en
cuenta los riesgos de fraude que tienen los cheques o el
traslado de dinero en efectivo.
En esta presentación se quiere hacer una reseña
histórica de la Alianza Nacional de Usuarios y Consumidores (Anauco), para luego entrar en materia y hacer
énfasis especial en los problemas y amenazas que se han
detectado mediante el contacto directo con los usuarios,
sus vivencias y sus denuncias. Luego del diagnóstico se
plantearán, desde la perspectiva de esta organización, algunas propuestas y sugerencias, como posibles soluciones
para prevenir el fraude y atenuar la percepción negativa
y el rechazo de los usuarios. Finalmente, se hará una
breve referencia a la sentencia dictada por el Tribunal
Supremo de Justicia el 10/07/07, que declaró con lugar
la demanda interpuesta por Anauco en defensa de los
usuarios de tarjetas de crédito, sólo en lo concerniente a
la seguridad en medios de pago (cuadro 1).
La Alianza Nacional de Usuarios y Consumidores
Anauco es una asociación civil sin fines de lucro
que comenzó su actividad en Venezuela en el año 2000,
101
Usuarios organizados: visión de la seguridad en los sistemas de pago
a raíz de un grave problema que atravesaron miles de
familias titulares de una modalidad de créditos bancarios
denominados créditos doble indexados, mejor conocidos
como créditos mexicanos, para la adquisición de viviendas y otro numeroso grupo de personas con similares
créditos, para la adquisición de vehículos, denominados cuota balón. Estos créditos capitalizaban intereses
automáticamente y su premisa de funcionamiento era
que los deudores tenían que ir mejorando sus ingresos
para ir aumentando progresivamente la cuota de pago
mensual, hasta comenzar a amortizar. Esta premisa no
era una constante en nuestro país donde las personas
usualmente no mejoran sus ingresos en las proporciones
adecuadas, con lo cual, sus deudas crecieron hasta duplicar o triplicar el valor del bien en el mercado, mientras
eran demandadas en ejecución de hipoteca por sus bancos
acreedores. Esta cruzada permitió que Anauco, incorporado como tercero en un proceso judicial ante el Tribunal
Supremo de Justicia, coadyuvara con la declaratoria de
inconstitucionalidad de los créditos y con el proceso
de ejecución del mandato, para recalcularlos a tasas sociales sin capitalización de intereses. La sentencia significó que 29.000 familias salvaran sus hogares y 350.000
personas sus vehículos.
Luego de este contundente éxito, en el año 2002,
Anauco fue refundada. En ese momento se entendió que
la vocación y objetivos no terminaban con la solución del
caso que justificó su origen, se confirmaba que de la unión
nace la fuerza y que el usuario, concebido como débil
102
Seguridad en los sistemas de pago
jurídico, no es débil cuando se organiza y une esfuerzos.
De esta forma, nació Anauco con ánimo de permanencia,
para atender a los usuarios en general y no sólo a los que
adolecen de un problema o caso determinado.
En adelante, fundamentados en las facultades de
representación individual y colectiva que confiere la
Carta Magna y la Ley de Protección al Consumidor y al
Usuario, además de otras leyes especiales, se ha venido
creciendo sostenidamente, al igual que se ha hecho en
el ámbito de la legitimidad, hoy por hoy reconocida en
reiteradas jurisprudencias de la Sala Constitucional del
máximo tribunal de justicia; se cuenta con estructuras
propias en Venezuela y por cooperación inmediata con
estructuras en 13 países, a través de la suscripción de
acuerdos con 40 organizaciones de defensa de los consumidores y usuarios.
Anauco se circunscribe dentro del llamado movimiento consumerista mundial. Se trata de expresiones de
la sociedad civil organizada, que bajo la figura de asociaciones civiles o similares, especializan su actuación en la
formación y defensa de los consumidores. De esta forma,
en la actualidad existen asociaciones de consumidores en
diversos países, que bajo la premisa de la unión, logran
superar la debilidad jurídica que caracteriza al consumidor individualizado.
103
Usuarios organizados: visión de la seguridad en los sistemas de pago
Por otra parte, Anauco promueve un periódico,
Mercado de Dinero, que se consolida ante su autosostenimiento desde hace tres años en Venezuela. Es un medio
impreso en papel color salmón (color que caracteriza
mundialmente a los medios especializados en economía
y finanzas) para el consumidor, que se edita en cinco países contando el nuestro (España, Reino Unido, Estados
Unidos, Colombia y Venezuela).
Algunos éxitos obtenidos por la Alianza
Además del éxito que dio origen a la organización
(caso de los créditos indexados), Anauco ha venido
desarrollando campañas exitosas para la defensa de los
usuarios, entre ellas:
1. La solución para los deudores de créditos
hipotecarios en dólares para la adquisición o
remodelación de viviendas. A través de una
gran campaña se logró la promulgación de una
ley que ordenó suspender todos los juicios y
convertir a bolívares los contratos, a la tasa de
cambio que existía en la fecha de firma de cada
uno de ellos.
2. Participación exitosa en el proceso abierto ante
Procompetencia sobre la solicitud de venta de
Digitel a Movilnet.
104
Seguridad en los sistemas de pago
3. Sentencia de la Sala Constitucional del TSJ
del 10 de julio de 2007, que declaró con lugar
la demanda de Anauco a favor de todos los
usuarios de tarjetas de crédito, ordenando la
adecuación del sistema, prohibiendo malas
prácticas bancarias e incorporando importantes
beneficios para el cliente (cuadro 1).
4. Incorporación de opiniones y solicitudes de
Anauco en distintas leyes, dentro del proceso
de discusión y/o promulgación de las mismas.
5. Participación en comisiones, mesas de trabajo
y numerosos foros de discusión nacionales e
internacionales.
6. Incorporación y aportes en distintos procesos
ante Comisiones y Subcomisiones de la Asamblea Nacional.
7. Incorporación ante Fondonorma en Comité
Espejo ISO 9000 para Tecnologías de Información.
8. Instalación de plataforma tecnológica que
atiende aproximadamente a 500 afiliados diariamente.
9. Solución a numerosos problemas de los consumidores mediante el ejercicio de las facultades
de mediación por representación; acuerdos de
cooperación con distintas entidades públicas y
privadas, organizaciones, empresas y cámaras,
etcétera.
105
Usuarios organizados: visión de la seguridad en los sistemas de pago
Los medios de pago y sus problemas asociados
Las tarjetas de crédito y débito no son los únicos
medios de pago electrónico, existen además algunos
métodos tradicionales para pagar y cobrar, entre los que
podemos contar los sistemas de domiciliación de pagos
y las transferencias bancarias que no necesariamente se
tienen que asociar a una tarjeta. Se tratará en esta oportunidad de hacer referencia fundamentalmente a los medios
de mayor uso e importancia en nuestro país:
Tarjetas de crédito
Las tarjetas de crédito constituyen uno de los medios de pago electrónico por excelencia en nuestro país,
ello se debe a que es el único mecanismo aprobado por
las autoridades competentes para realizar pagos en el extranjero, bien sea durante un viaje o a través de compras
por Internet. Sumado a este condicionamiento especial,
las tarjetas de crédito son la llave para la utilización de
un crédito rotativo que las hace atractivas, sobre todo
porque otorga a su titular un poder adquisitivo más allá
de sus ingresos reales.
De esta forma las tarjetas de crédito, ante su importancia y beneficios, constituyen uno de los productos más atacados por la delincuencia organizada, bien sea, mediante
el fraude electrónico (pagos por Internet) o mediante su
clonación o sustitución, para lo cual el delincuente utiliza
diversos métodos:
106
Seguridad en los sistemas de pago
Fraude electrónico
Las tarjetas de crédito, a diferencia de las de débito, no requieren de ninguna clave o PIN para la
aprobación de sus cargos, por lo tanto, todos los
datos necesarios para procesar los mismos están
impresos sobre el plástico, son de acceso directo
para quien manipule la tarjeta, es decir, cuando el
usuario entrega su tarjeta de crédito en cualquier
punto de venta, el receptor puede ver su número,
su fecha de expiración y el número de seguridad
que está al reverso (tres últimos dígitos), con estos
elementos es suficiente para que en una fecha
posterior alguien realice un pago con cargo a esa
tarjeta de crédito en forma fraudulenta.
Se observa con preocupación que se ha convertido
en una práctica o costumbre que en los distintos
comercios se crean bases de datos de los usuarios,
donde se incorporan todos estos elementos mencionados, incluido el número de seguridad del reverso de las tarjetas de crédito. Se puede considerar
que esta práctica no tiene fundamento porque una
vez aprobado el pago, ya el comerciante no corre
ningún riesgo, ni tendrá que utilizar los datos para
nada más, en contraposición el acceso a esas bases
de datos constituye una amenaza frente al usuario.
Cualquier empleado del comercio, técnico de mantenimiento, puede acceder a los datos recolectados
y hacer uso fraudulento de los mismos.
107
Usuarios organizados: visión de la seguridad en los sistemas de pago
Clonación de tarjetas
No se pretende explicar en detalle todos los métodos usados por la delincuencia organizada para
clonar tarjetas de crédito, en virtud de que son muy
variados, por lo que se prestará atención especial a
los que constituyen debilidades de los sistemas de
seguridad que se presentan en Venezuela. Es importante tener en cuenta que las tarjetas de crédito
no requieren de claves o PIN tal como se explicó
en el punto anterior, lo que las hace vulnerables,
un tercero podrá usar una copia simplemente con
pasarla por un punto de venta sin tener que averiguar ninguna clave secreta:
• Puntos de venta fijos: uno de los grandes problemas o debilidades que presenta nuestro
sistema, tiene que ver con el uso generalizado
del punto de venta fijo (no inalámbrico). Esta
implementación obliga a los usuarios a desprenderse de sus tarjetas de crédito para que un
tercero (receptor del pago) la manipule y realice
la operación correspondiente. De esta forma es
muy frecuente que mientras el usuario pierde de
vista su tarjeta de crédito, ésta es deslizada por
un artefacto electrónico (pescador) que copia
la información contenida en la cinta magnética
de la tarjeta y luego puede realizarse una copia de
la misma para su posterior uso fraudulento.
El punto de venta inalámbrico resuelve este
108
Seguridad en los sistemas de pago
problema en un altísimo porcentaje. Se trata de
un punto de venta que puede trasladarse al lugar
donde se encuentre el usuario (mesa, barra, recinto, etcétera) y permite que el propio usuario
sea quien desliza su tarjeta por ese punto de
venta, sin manipulaciones de terceras personas.
Las razones por las cuales se ha generalizado el
uso de los puntos de venta fijos están asociadas
a que resulta más costoso para el comerciante
la instalación y uso del inalámbrico. La preocupación principal del comerciante es vender sus
productos y mercancías, para lo cual le funciona
el punto de venta fijo igual que el inalámbrico,
su tendencia es abaratar costos y por ello ha
preferido el punto de venta fijo, muy a pesar
de que es más inseguro. • Muchos puntos de venta en cada comercio:
es usual que cada comercio tenga muchos
puntos de venta, ello se debe a que quien
vende o dota al comerciante de los mismos es
el banco. Por lo tanto, cada banco exige a los
comerciantes usar sus puntos de venta para
obtener beneficios implícitos, representados
en menores comisiones o mejores condiciones.
Esta existencia múltiple de puntos de venta,
impide tomar medidas básicas para la prevención del delito, como por ejemplo, suspender o
bloquear aquéllos en los que sea detectado o se
presuma la comisión de fraudes, sencillamente
109
Usuarios organizados: visión de la seguridad en los sistemas de pago
porque al suspender un punto de venta determinado, el comercio cuenta con otros puntos
de venta y el delincuente seguirá cometiendo
sus fechorías.
• Falta de previsiones asociadas a fenómenos culturales: a diferencia de las personas de algunos
países, el venezolano suele molestarse cuando
alguien le solicita su documento de identidad
para verificar si se trata del titular de una tarjeta
de crédito. Esta previsión de seguridad es fundamental para impedir que el portador ilegítimo
de una tarjeta clonada, pueda usarla, pues será
más difícil que además de la tarjeta clonada disponga de una cédula de identidad de su titular.
Para mejorar este comportamiento, es importante establecer reglas que produzcan consecuencias al comerciante que reciba un pago de
una persona distinta al titular de una tarjeta.
Hasta ahora los únicos que responden y en
consecuencia pierden ante un fraude son el
usuario y el banco, el comerciante ha quedado
exonerado frente a estos hechos, a pesar de ser
quien manipula las tarjetas de crédito y quien
administra el uso de los puntos de venta.
En la medida en que se haga al comerciante
solidariamente responsable por su negligencia
o cooperación para delinquir, éste adoptará mayores controles para evitar el fraude.
Otra medida que puede contribuir en la preven110
Seguridad en los sistemas de pago
ción del uso fraudulento de tarjetas clonadas es
la incorporación en el plástico de una fotografía
del titular de la tarjeta.
Transferencias bancarias
En los últimos tiempos ha proliferado el fraude
mediante la sustracción de haberes de las cuentas de
los usuarios, a través de transferencias realizadas por
Internet.
Uno de los grandes avances del sistema bancario
está constituido por la banca electrónica, muchos son
los beneficios y facilidades que proporcionan al usuario
e incluso a los mismos bancos que operan sin tener que
atender al cliente personalmente. Pero hay que tener
presente que la delincuencia organizada se vale de diversos métodos para apoderarse de las claves y demás datos
asociados a las cuentas bancarias y al acceso web.
Uno de los métodos delictivos más frecuentes es el
phishing, que consiste en el envío masivo de comunicaciones simuladas, en las cuales el sujeto activo, haciendo
creer que se trata de una comunicación del banco, invita
al usuario a actualizar sus datos a través de un enlace falso, que le conduce a una página clonada de la respectiva
institución financiera y con ello se apodera de los datos
necesarios para hacer una transferencia o pago desde
la cuenta de la víctima. Esta modalidad se ha venido
perfeccionando y ahora existe además del tradicional, el
111
Usuarios organizados: visión de la seguridad en los sistemas de pago
phishing telefónico, se trata de una llamada que simula
ser del banco y convence al usuario, bajo una trama bien
concebida, para que revele los datos necesarios.
Los mecanismos de prevención de este delito se enfocan fundamentalmente en una adecuada información
dirigida al usuario, en su mayoría estos ataques prosperan
por desconocimiento o negligencia del cliente bancario
quien no conoce el modus operandi delictivo y se hace
presa fácil del mismo. Muchas veces estas campañas de
formación no son profundizadas por sus características
de tema tabú. Algunas instituciones bancarias prefieren
manejar el tema con gran discreción antes que reconocer
que el problema existe y que existe con sus clientes.
También resulta conveniente que los sistemas de
seguridad implementados por las instituciones financieras, evolucionen con la rapidez necesaria para ir un paso
adelante en relación con el delincuente, por ejemplo, la
implantación de una doble clave para operaciones especiales debería ser una constante.
Domiciliación de pagos
Uno de los problemas fundamentales que presenta
nuestro sistema financiero en cuanto a atención al cliente
es el alto tráfico de usuarios en las agencias bancarias, este
fenómeno impide en forma real brindar una atención
personalizada como el cliente lo merece y fundamentalmente atenderle en un tiempo breve.
112
Seguridad en los sistemas de pago
Luego de un trabajo de campo acompañado de la
opinión de muchos usuarios, se ha concluido que un gran
porcentaje de visitantes de las agencias van para cancelar
servicios (electricidad, teléfonos, cable, etcétera), todos
estos pagos son susceptibles de ser realizados de forma
fácil mediante la domiciliación a cuentas bancarias o
tarjetas de crédito.
Se ha podido diagnosticar que el factor que ha impedido el uso masificado de la domiciliación de pagos es
la desconfianza del usuario, esta vez no está asociada sólo
al fraude, sino más bien al temor de un cobro indebido a
favor de los prestadores de servicios, ya sea por error o
por aumentos no autorizados.
Este problema que impide a los usuarios aprovechar este mecanismo tan cómodo y conveniente, que
al mismo tiempo representa una mayor fluidez en los
servicios bancarios, tiene posibles soluciones de carácter
regulatorio, como por ejemplo: el requerimiento obligatorio de una autorización telefónica o conformación
antes de procesar el pago, con lo cual, el usuario estará
seguro de que siempre le serán debitadas las cantidades
correctas y nunca se le podrá cobrar de más. Esta simple
medida resultaría menos onerosa para el banco (llamada
telefónica) que atender personalmente a alguien para
procesar un pago o depósito, los beneficios del descongestionamiento serán enormes también para las instituciones
financieras.
113
Usuarios organizados: visión de la seguridad en los sistemas de pago
Propuestas de Anauco
Son muchas las medidas y acciones que pueden
prevenir o atenuar los riesgos derivados de la utilización
de los medios de pago, entre ellas se quiere dejar a la
consideración del público las siguientes:
• Establecimiento de un PIN de seguridad secreto:
al igual que las tarjetas de débito, sería conveniente establecer un PIN o clave secreta para la
aprobación de los pagos con tarjetas de crédito.
En su defecto es importante prohibir la riesgosa
práctica de incorporación de datos sensibles en
ficheros particulares de los comercios.
• Fotografía del cliente en el plástico de las tarjetas
de crédito y débito: hoy en día se hace más fácil
implementar mecanismos para la digitalización de fotografías de los usuarios, las cuales
deben reposar en los sistemas del banco para
que por ejemplo el cajero sepa que realmente
está hablando con el cliente. De igual forma
una fotografía impresa en la tarjeta serviría
para que el comerciante reconozca al titular de
la misma.
• Unificación de los puntos de venta: valdría la pena
analizar la posibilidad de prohibir la existencia
de varios puntos de venta en cada comercio,
sólo uno o los que la dinámica del comercio
114
Seguridad en los sistemas de pago
amerite (previo estudio de tráfico y flujo) serían
suficientes si se condiciona a los bancos a aceptar tal disposición. De esta forma, al detectar
un ilícito en algún comercio, se puede ordenar la suspensión del o los puntos de venta y
evitar que se sigan cometiendo fraudes, mientras
dura el proceso de investigación.
• Uso obligatorio de puntos de venta inalámbricos:
la única forma de lograr el uso masivo de estos
sistemas más seguros es mediante regulaciones
que los establezcan para hacer desaparecer
los riesgosos puntos de venta fijos, algo similar
a la sustitución de los dispositivos de los cajeros
automáticos que absorbían las tarjetas, abolidos
por el propio sistema bancario ante sus probados riesgos de fraude.
• Regulación preventiva y sancionatoria sobre
puntos de venta: es importante regular adecuadamente el uso de los puntos de venta, a fin de
garantizar su correcta utilización y las medidas
necesarias en caso de detectarse o presumirse
fraudes en algunos de ellos. De esta forma, la
responsabilidad debe ser compartida entre el
banco y el comercio respectivo, toda vez que
los sistemas de seguridad son responsabilidad
del banco y quien manipula el punto de venta
es el comerciante (buen padre de familia).
115
Usuarios organizados: visión de la seguridad en los sistemas de pago
• Regulación sobre domiciliación de pagos: resultaría conveniente establecer, mediante normas
adecuadas, garantías para los usuarios sobre
los pagos efectuados con domiciliación en cuentas bancarias o tarjetas de crédito. Es necesario
que el usuario sepa, ya sea mediante conformación telefónica u otro medio, el monto de los
pagos, antes de que se carguen a sus cuentas.
Ello le permitirá aprobar o rechazar el pago si no
se está conforme con el mismo. Esta medida se
traduciría en confianza para el usuario y por lo
tanto, se contribuiría con la masificación de este
medio de pago que descongestiona las agencias
bancarias, contribuye con la bancarización y
brinda comodidad a los usuarios.
• Promulgación de una ley de protección de datos y
habeas data: la mayoría de los riesgos de fraude
que presentan los medios de pago electrónico
están relacionados con el apoderamiento indebido de los datos de los usuarios, lo cual se
debe fundamentalmente a procedimientos de
recolección, almacenamiento y transferencia
de datos que son inconvenientes e inseguros.
Una ley que regule estos procedimientos, que
tipifique algunos delitos e imponga penas, sería
un elemento indispensable para la prevención
del delito y el resguardo de la integridad de los
titulares de los datos.
116
Seguridad en los sistemas de pago
• Incorporación obligatoria de elementos de seguridad: existen elementos de seguridad que algunos
bancos han incorporado a sus sistemas voluntariamente, los cuales deberían ser obligatorios
para los demás, entre ellos:
– Doble clave para la realización de operaciones
especiales de banca electrónica (débitos, pagos,
transferencias, etcétera).
– Obligación para el usuario de establecer una
clave la primera vez que usa sus tarjetas y obligación de cambiarla periódicamente, para evitar
que el usuario trabaje con la clave asignada
directamente por el banco.
– Sistemas de claves aleatorias mediante sistemas electrónicos (token) o manuales.
– SMS de notificación al usuario, cada vez que
se efectúa un pago.
Conclusiones
Una vez identificadas algunas de las más importantes problemáticas implícitas en los medios de pago,
se puede señalar que los medios tradicionales sufren
numerosos problemas de seguridad (falsificación de billetes y de firmas, cheques sin fondo). Por otro lado, los
medios electrónicos presentan riesgos adicionales, pues
117
Usuarios organizados: visión de la seguridad en los sistemas de pago
a diferencia del papel, los documentos digitales pueden
ser copiados perfectamente y cuantas veces se desee, las
firmas digitales pueden ser falsificadas por cualquiera
que conozca la clave privada del firmante, la identidad
de una persona puede ser suplantada al ser asociada de
forma inequívoca con la información relacionada en
cada pago, las operaciones se pueden realizar a distancia
(impunidad), etcétera.
Sin embargo, las nuevas tecnologías constituyen
una herramienta muy importante para el mejoramiento
de la calidad de vida de los ciudadanos. Como todo lo
demás, las tecnologías tienen riesgos implícitos, entre
ellos el fraude constituye la principal amenaza.
Para minimizar el impacto de los riesgos y demás
aspectos negativos de los medios de pago, es fundamental la adopción de medidas necesarias para garantizar
la debida seguridad de los integrantes del sistema; una
renovación tecnológica constante, en concordancia con
los avances de la ciencia, y la formación de los usuarios,
mediante el desarrollo de adecuadas campañas de información.
Estas tareas son de trascendental importancia,
en ellas debemos contribuir todos los sectores, en la
búsqueda de un correcto y seguro aprovechamiento de
los avances tecnológicos al servicio de nuestro país y
fundamentalmente de sus habitantes.
118
Seguridad en los sistemas de pago
Sentencia del TSJ a favor de Anauco
El 10 de julio de 2007 fue declarada por la Sala Constitucional del Tribunal Supremo de Justicia, parcialmente
con lugar la demanda intentada por Anauco en defensa
de los usuarios de tarjetas de crédito.
La sentencia se refirió, entre otros aspectos, a las clonaciones y demás fraudes relacionados con las tarjetas de crédito.
De esta forma, el TSJ estableció la inversión de la carga
de la prueba que la costumbre mercantil bancaria había
depositado en el usuario. Sobre la base de esta apreciación
la Sala expresó en el numeral 8 de la dispositiva:
“Se ORDENA a la SUPERINTENDENCIA DE BANCOS Y OTRAS INSTITUCIONES FINANCIERAS
fije mediante Resolución, que en los contratos de apertura de crédito, especie tarjetas de crédito, se incluya que
los cargos productos de la utilización de la tarjeta por
personas diferentes al tarjetahabiente, no se cobrarán a
éste, por ser indebidos, a menos que se compruebe su
culpabilidad en el hecho, ya que quien corre el riesgo de
la operación crediticia masiva es quien introduce en la
sociedad el sistema y quien, en consecuencia, debe correr
con los riesgos del negocio que está explotando y quien
debe asumir todos los sistemas de seguridad que impidan
estos ilícitos, pues dichos riesgos no pueden trasladarse al
tarjetahabiente, quien no tiene ningún control sobre los
sistemas de seguridad de los bancos y los comercios.
Se considerará negligencia y por tanto, culpa del tarjetahabiente, no denunciar ante el emisor, de inmediato, el
extravío o pérdida de la tarjeta”.
119
Usuarios organizados: visión de la seguridad en los sistemas de pago
En consecuencia, no es suficiente la declaratoria de improcedencia de un reclamo o denuncia por parte de una
entidad bancaria. Ahora, la respectiva institución deberá
demostrar que hubo culpabilidad o negligencia del tarjetahabiente, en caso contrario no le podrán cobrar a éste
tales cargos por ser considerados indebidos.
120
Banco Central de Venezuela
y la seguridad en los sistemas de pago
Luis Alberto Laviosa*
* Economista egresado de la Universidad Santa María (USM) con maestría en
Economía con especialización en Economía Pura y Economía Internacional
en American University, Washington, DC. Cuenta con amplios conocimientos y
experiencia en el sistema financiero así como en sus instituciones. Actualmente se
desempeña como Gerente de la Unidad de Análisis del Mercado Financiero de la
Vicepresidencia de Operaciones Nacionales del Banco Central de Venezuela.
Resumen
En esta ponencia final se repasan las principales ideas
abordadas en el III Foro de Sistemas de Pago, comenzando por las responsabilidades de los reguladores y
supervisores, los clientes y comercios, y las instituciones
financieras para luego abordar las expectativas del Banco
Central de Venezuela con relación a la realización del
evento.
Palabras clave: banco central, foro permanente, seguridad.
Banco Central de Venezuela y la seguridad en los sistemas de pago
¿Qué determina el éxito de un foro como el que
ha realizado el Banco Central de Venezuela? Algunos
podrían decir que la calidad de las opiniones técnicas o
el nivel de las personas que en él participan. Y, aunque
eso no deja de ser cierto, tal vez lo que verdaderamente
determina el éxito es la oportunidad de formar una red
de cooperación con todos los involucrados y forjar una
agenda de acciones conjuntas que conduzca a mejores
niveles de seguridad y fiabilidad en los sistemas de pago
del país. Esta es la principal expectativa que tiene el Banco
Central de Venezuela con la realización del III Foro de
Sistemas de Pago: Seguridad en los Sistemas de Pago:
Hechos y Reflexiones.
Un tema con múltiples caras
¿Qué conclusiones se derivan de la realización del
foro? Sin menospreciar cualquier otra opinión, sin duda,
queda claro que la seguridad es un tema en el cual todos
tienen una responsabilidad. Sin embargo, tratemos de resumir dichas responsabilidades en tres grandes sectores.
Primero, sobre los organismos reguladores y supervisores recaen dos importantes responsabilidades. Por un
lado, deben brindar a la sociedad, al sistema financiero y
de pagos del país un marco jurídico sólido que garantice
las operaciones que en él se realizan. Ésta no es una labor
fácil. Hay que equilibrar adecuadamente los incentivos
para que se protejan los intereses de los venezolanos, pero
124
Seguridad en los sistemas de pago
también los del sistema financiero. Asimismo, se deben
propiciar mejores niveles de eficiencia sin descuidar los
aspectos de seguridad, que tanto inciden en las decisiones
de los usuarios finales. Por otro lado, los reguladores deben propiciar la existencia de infraestructuras seguras que
sirvan de plataforma para la provisión de más y mejores
servicios a la población. Tal es el caso de infraestructuras
como la Cámara de Compensación Electrónica.
El segundo gran sector involucrado corresponde a
los comerciantes y los clientes, quienes utilizan día tras
día los instrumentos de pago para realizar sus transacciones. Sobre éstos también recaen responsabilidades. Ellos
tienen la función de desarrollar conciencia con respecto
al uso de los pagos basados en lo electrónico y los riesgos
a los que se exponen. Sólo al conocer estos riesgos, los
usuarios serán capaces de protegerse contra delitos como
el robo de identidad, clonaciones o el conocido método
de phishing. Asimismo, las asociaciones que agrupan los
intereses de usuarios y comerciantes también desempeñan
una labor fundamental en velar por la justa distribución
de las responsabilidades y la resolución de conflictos.
Finalmente, en el tercer grupo, se encuentran las
instituciones bancarias o proveedoras de servicios de
pago. En términos operativos, ésta es la punta que recibe tal vez la mayor cuota de responsabilidad. De ellos
se espera que realicen las inversiones necesarias para blindar sus servicios contra cualquier uso fraudulento de los
mismos. Esto implica valerse al máximo de la tecnología
125
Banco Central de Venezuela y la seguridad en los sistemas de pago
disponible para dar la mayor seguridad posible a sus
usuarios. Asimismo, sobre ellos recae la responsabilidad
de educar a los usuarios, para lo cual se deben profundizar
las campañas de divulgación y los esfuerzos por generar
confianza en los servicios que prestan, dar claridad sobre
los cobros y los plazos, responder efectivamente a los
reclamos y proteger los datos de sus clientes.
Tendencias
El tema de la seguridad no es, en modo alguno, un
tema de preocupación exclusivo del mercado venezolano.
Con los avances de la tecnología de la información, ha
venido el desarrollo de sistemas de pago innovadores.
No obstante, ello ha venido acompañado también de
nuevos riesgos a escala mundial. Ésta es la razón por la
cual muchos entes internacionales han estado trabajando
sobre estándares que permitan manejar y controlar tales
riesgos.
Por ejemplo, el Banco Internacional de Pagos ha
emitido un compendio de 10 principios básicos para
mitigar riesgos en los sistemas de pago de importancia
sistémica. Entre ellos, el principio 7 aborda directamente
los temas relacionados con la seguridad y la fiabilidad de los
servicios de este tipo de pagos.
Otro ejemplo del interés generalizado que despiertan estos temas es la reciente emisión de las Normas de
126
Seguridad en los sistemas de pago
Seguridad de Datos de la Industria de Tarjetas de Pago
(conocido también por sus siglas en inglés PCI DSS).
Este grupo de requerimientos, aplicables para los bancos y
los comerciantes que manipulan información electrónica
de las tarjetas de pago, es una guía para la protección de
la información sensible en el proceso de pagos con este
tipo de instrumento.
La adopción de estos estándares y normas será
un aspecto clave en la generación de confianza entre los
usuarios y, por ende, en el desarrollo local del sistema de
pagos, avanzando en campos como la terminalización y
la tarjetización, creando las condiciones necesarias para
un mayor comercio electrónico.
¿Qué ha hecho el BCV?
En este sentido, consciente de sus responsabilidades
como supervisor del sistema de pagos, el Banco Central
de Venezuela ha puesto un especial esfuerzo en la entrega de infraestructuras seguras, como la ya mencionada
Cámara de Compensación Electrónica. Para la implementación de este sistema de pagos se consideraron con
sumo cuidado los estándares internacionales relacionados
con continuidad, fiabilidad y seguridad operativa. Ello
ha potenciado los pagos a través de Internet, brindando
mayor seguridad para los clientes bancarios.
127
Banco Central de Venezuela y la seguridad en los sistemas de pago
No obstante, la labor del Instituto no termina
allí. Por ello –en su rol de supervisor de los sistemas de
pago del país–, realiza evaluaciones sobre los sistemas e
instrumentos que se operan en el país a fin de identificar
riesgos y generar acciones orientadas a contenerlos.
Un cuidado similar ha desplegado en su rol de
regulador de las tarifas bancarias, lo cual ha conllevado
a la realización de los más escrupulosos análisis a fin de
determinar que las regulaciones en temas tarifarios no
tengan impactos negativos sobre los aspectos de seguridad
en los sistemas de pago ofrecidos por las instituciones
financieras.
Por último, es una muestra de gran interés por
parte de las autoridades del Banco Central de Venezuela
propiciar la realización de eventos, como el III Foro de
Sistemas de Pago, para tratar asuntos de tanta relevancia
como la seguridad en estos sistemas.
Expectativas
El Banco Central de Venezuela reafirma su profundo interés en conseguir la vía para el establecimiento
de agendas conjuntas que nos ayuden a lograr mejores
niveles de seguridad y eficiencia. En tal sentido, se enfatiza que existe la necesidad de trabajar en alcanzar una
mayor transparencia en la información relacionada con
la seguridad. El primer paso en la mitigación de un riesgo
128
Seguridad en los sistemas de pago
es su identificación y dimensionamiento. Si no conocemos los tipos de riesgo involucrados y su impacto, poco
efectivos serán los mecanismos que se desarrollen para
la protección contra tales riesgos. En cualquier caso, el
apoyo de los entes reguladores y de la banca será de gran
importancia para alcanzar la transparencia que se requiere
para mejorar la toma de decisiones.
Asimismo, se puede identificar la necesidad de
crear un foro permanente capaz de hacer converger a
todos los involucrados en los temas relacionados con los
sistemas de pago. En tal instancia, se podrían considerar
no sólo los temas relacionados con la seguridad y los
estándares, sino también temas de eficiencia, tales como
el truncamiento, la tecnología en los puntos de venta y
las tarifas de intercambio. Todo ello apuntará al logro de
los objetivos y características planteados para el desarrollo
del Sistema Nacional de Pagos.
129