El mercado FinTech en la India está creciendo rápidamente y cambiando todo el ecosistema del sistema bancario indio y la economía. En este blog hablamos de la seguridad de los pagos desde la perspectiva de la India con dos proveedores de servicios FinTech líderes en el país: CRED e In Solution Global Pvt Ltd. Aquí hablamos con Nitin Bhatnagar, Director Asociado, India, PCI SSC, Himanshu Kumar Das, Jefe de Seguridad, Riesgo y Cumplimiento, CRED, y Adelia Castelino Cofundadora Directora General, In Solution Global Pvt Ltd. sobre las tendencias del mercado FinTech en la India, el panorama de las ciberamenazas y las oportunidades de participación en la industria para la región.
¿A qué se debe el rápido crecimiento de las tecnologías financieras en la India?
Nitin Bhatnagar: El reciente impulso hacia la banca y los pagos digitales por parte del gobierno indio, así como las recientes innovaciones dentro de la industria, han llevado a la mayoría de los bancos de la India a cambiar a la banca digital, así como a avanzar hacia procesos bancarios sin papel y sin efectivo. Al ser el tercer ecosistema de tecnología financiera más grande del mundo, las empresas de este tipo en la India han ganado mucha tracción y han encontrado un ambiente muy incipiente para escalar masivamente debido al fenomenal crecimiento económico que ha experimentado el país en los últimos años.
Himanshu Kumar Das: La tecnología financiera ha revolucionado y transformado por completo el sector bancario y financiero en la India, con una gran adopción de nuevos métodos de pago y una mejor tecnología, como carteras móviles, banca móvil y pasarelas de pago seguras, lo que ha dado lugar a un número muy elevado y cada vez mayor de transacciones y préstamos sin papel. Esta revolución puede atribuirse principalmente a la mejora de la tecnología, el fácil acceso y la penetración de Internet y los teléfonos inteligentes entre el público en general, los mercados favorables, el aumento de la adopción y la concienciación del usuario final, la naturaleza altamente innovadora de la cultura de las empresas emergentes y las iniciativas y promociones respaldadas por el gobierno para el sector de los pagos.
Las recientes innovaciones en Fintech, que ayudan a garantizar transacciones más seguras y rápidas con una mejor experiencia de usuario, han transformado y modernizado completamente las instituciones bancarias y financieras.
Adelia Castelino: La principal razón del rápido crecimiento ha sido la innovación. Las cuatro áreas principales de innovación que son responsables de este crecimiento son: El servicio de atención al cliente hiperpersonalizado, la tokenización, las plataformas de pago nativas de la nube, y el e-converse a través del comercio electrónico. El tema común entre estos impulsores de la innovación es la seguridad de los datos y la comodidad para el consumidor.
¿Cuáles son las tendencias que empresas fintech como la suya ven en el cambiante panorama de los pagos en la India y en el mundo?
Himanshu Kumar Das: En los últimos años, el mercado Fintech, valorado actualmente en 2,30 billones de rupias en 2020 y que se espera que alcance alrededor de 8,35 billones de rupias en 2026 con una tasa de crecimiento anual compuesta (CAGR) esperada de ~24,56%, ha sido uno de los segmentos tecnológicos de mayor crecimiento a nivel mundial y no sólo en la India, y ha tomado el centro de la escena en la industria de servicios financieros globales mediante la introducción de las mejores innovaciones en diversas aplicaciones y campos como pagos, préstamos, puntuación de crédito, comercio de acciones, etc. La India, en particular, tiene la mayor tasa de adopción de fintech, del 87%, y es el mayor destino de los acuerdos de inversión en el espacio Fintech en todo el mundo. Con el mayor apoyo de los gobiernos, el aumento de la penetración de los teléfonos inteligentes, la mayor velocidad de Internet y la cobertura de la tecnología en las masas, se ha producido un fuerte aumento de las asociaciones entre las empresas de fintech y otros proveedores de servicios, lo que ha impulsado directamente su crecimiento.
Adelia Castelino: Un estallido de tecnología en rápida evolución ha revelado una constelación de nuevos habilitadores como la arquitectura nativa de la nube, los microservicios componibles impulsados por las API, la gestión del fraude y el riesgo y el análisis de datos impulsado por la IA y el ML, con cajas de arena público-privadas que permiten una rápida innovación, al mismo tiempo, que apoyan la reforma regulatoria.
La computación en la nube es la piedra angular de la economía post-Covid, apoyando las cadenas de suministro globales y las fuerzas de trabajo remotas. ISG está trabajando con emisores, adquirentes, esquemas y procesadores de terceros para hacer que los servicios heredados sean nativos de la nube para optimizar la portabilidad y la escalabilidad.
La autenticación multifactor y las innovaciones en la gestión de la identidad y el acceso mediante dispositivos de confianza y autenticación biométrica permiten a los proveedores de pagos ir un paso por delante de los delincuentes.
¿Cuáles son los principales retos en materia de seguridad en el cambiante panorama de las Fintech? ¿Cómo lo están superando?
Adelia Castelino: El coste de llevar una existencia digital profunda y diversa es tener que protegerse a uno mismo y a sus clientes de incidentes de ciberseguridad cada vez más frecuentes, costosos y perjudiciales, ya sean resultado de actividades delictivas o de guerras asimétricas por parte de actores estatales y no estatales, que pueden llegar a paralizar servicios e infraestructuras críticas. Con un mayor número de datos en formato digital, los proveedores de servicios financieros y de pago se enfrentan a un reto clave para asegurar la información personal sensible de los individuos, cuya huella y datos digitales se han convertido en un apéndice de su identidad.
Seguridad de la cadena de suministro de software (SSCS) – La gestión de los riesgos de seguridad de terceros es un área de interés clave para los consejos de administración y la alta dirección de todas las organizaciones. En el último año, se ha producido un fuerte aumento de uno de los casos de riesgo de seguridad de terceros: los ataques a la cadena de suministro de software. Otros ejemplos de desafíos de seguridad clave en el espacio de los pagos incluyen la toma de cuentas y el ransomware.
Para superar estos retos, los profesionales de la seguridad de la información están uniendo fuerzas, compartiendo información y participando en mesas redondas. La ciberseguridad ha recibido una mayor prioridad dentro de las organizaciones, tanto a nivel de toma de decisiones como de diseño de productos. Se está contratando a los mejores talentos en materia de ciberseguridad y cumplimiento normativo en todos los niveles de la organización. Se está formando y educando a todos los empleados sobre la amenaza de la ciberseguridad y sobre la necesidad y los medios de informar sobre actividades sospechosas.
Himanshu Kumar Das: El espacio Fintech está creciendo y expandiéndose día a día y ofrece varios servicios y ventajas, pero también viene con su propia cuota de incertidumbres y amenazas. Crear una aplicación o un producto de tecnología financiera seguro y sólido es una tarea extremadamente difícil y complicada y, además, muy costosa y que requiere mucho tiempo. Si no se tiene la experiencia y el conocimiento pertinentes de los requisitos de seguridad de las Fintech, esto se convierte en un obstáculo añadido. La alta sensibilidad de los datos que giran en torno a los servicios financieros ha hecho que la seguridad y la privacidad sean aún más importantes en Fintech. Así, los datos se han convertido en el próximo gran objetivo de los atacantes y son ahora la nueva moneda digital. Con la seguridad y la ubicuidad de los datos convirtiéndose en un gran motivo de preocupación, la protección y el tratamiento de los datos es cada vez más difícil y desafiante.
Las organizaciones tienen que recurrir a las mejores prácticas de seguridad y a soluciones de ciberseguridad para contrarrestar estos retos, como hace CRED para conseguir la mejor seguridad de su clase. El cifrado y la tokenización son una de las soluciones de seguridad más esenciales y eficaces en el espacio Fintech. Todos los datos críticos deberían estar protegidos por la encriptación utilizando algoritmos de encriptación complejos como RSA o 3DES. Y la tokenización es una de las tendencias actuales de implementación de soluciones de seguridad en torno a los datos de pago y los números de las tarjetas de crédito, donde los datos sensibles, como los números de las tarjetas de crédito, se sustituyen por un número generado llamado token.
Nitin Bhatnagar: Parte de los principales retos en materia de seguridad de los pagos es la educación y la formación. El Consejo de Normas de Seguridad de la PCI sigue llevando a cabo programas de formación en la India y reclutando una comunidad de expertos en seguridad de pagos a través de nuestro programa de Organizaciones Participantes (OP). Gracias a los importantes comentarios de las partes interesadas en los pagos, recientemente hemos publicado la norma de seguridad de datos (DSS) v4.0 de la PCI, cuyo objetivo es promover la seguridad como un proceso continuo, añadir flexibilidad para diferentes metodologías de seguridad y mejorar los métodos de validación.
¿Cuáles son las crecientes amenazas cibernéticas para los pagos digitales en la India?
Nitin Bhatnagar: Seguimos viendo que la India ocupa un lugar muy alto en la lista de países que son objetivo de ciberataques. Esto es el resultado de nuestra economía creciente y en expansión, que ha llamado la atención de los ciberdelincuentes. El PCI SSC sigue publicando boletines de amenazas del sector para informar al mercado sobre las amenazas que se avecinan y consejos para defenderse de ellas. Recientemente hemos publicado un boletín de amenazas del sector sobre los ataques de ransomware, que siguen siendo un problema no sólo en la India, sino en todo el mundo.
Himanshu Kumar Das: Algunos de los ciberataques más destacados y comunes a los que se enfrentan los usuarios finales y las organizaciones en el ecosistema de los pagos digitales son: el phishing, los ataques de denegación de servicio distribuidos (DDoS), los exploits de malware, los exploits de vulnerabilidad de aplicaciones, los métodos de ingeniería social, el spam, los robos de identidad y los fraudes a comerciantes, entre otros. Muchos de estos ataques podrían atribuirse a varios factores como:
- La falta de concienciación del usuario final, que es una de las principales causas del éxito de los ciberataques
- Medidas de seguridad inadecuadas en los dispositivos de los usuarios finales
- Aplicaciones crackeadas instaladas en los dispositivos
- Sistemas operativos vulnerables o sin parches
- Controles de seguridad no diseñados exhaustivamente para los productos de pago digitales
- Perímetro indefinido en un gran ecosistema con múltiples interfaces de datos, dispositivos y sistemas
- Múltiples interfaces de datos en los productos, lo que lleva a la exposición de la API a interfaces no probadas/no fiables
- Falta de atención a la seguridad de los proveedores de servicios de terceros
Esto nos lleva a algunas de las áreas clave en las que las organizaciones de esta industria pueden trabajar proactivamente para combatir estos problemas:
- Diseñar y aplicar marcos de ciberseguridad sólidos
- Identificar las “joyas de la corona” y protegerlas
- Establecer medidas adecuadas de protección frente a los riesgos de terceros
- Evaluar el cambiante panorama de las amenazas y alinear las estrategias de tratamiento de los riesgos
- Capacitar a los usuarios mediante una mayor concienciación y defensa de la seguridad
- Establecer medidas sólidas que establezcan la identidad del usuario y la autenticación para las transacciones
- Establecer medidas avanzadas de autenticación basadas en el riesgo/adaptativas
- Desplegar medidas técnicas adecuadas para hacer frente a la ciberguerra
- Establecer un plan integral de respuesta a incidentes y cibernéticos y realizar simulacros periódicos.
Este tipo de iniciativas y medidas pueden llevar a asegurar el ecosistema de pagos digitales tanto para la organización como, principalmente, para los usuarios finales, que son los más vulnerables a los ataques.
Adelia Castelino: La ciberseguridad es el reto más importante al que se enfrentan los actores del ecosistema de pagos digitales en la India. Con un número cada vez mayor de usuarios que prefieren los pagos digitales, también aumentan las posibilidades de verse expuestos a riesgos como el fraude en línea, el robo de información, el malware o los ataques de virus. Los defraudadores trabajan hoy en día con tecnologías avanzadas para manipular a sus objetivos. El libro de jugadas de los ciberataques incluye ahora el compromiso de portales y aplicaciones web, el ransomware, el reconocimiento y los ataques de denegación de servicio distribuidos (DDoS).
Las publicaciones de CERT-In muestran que, entre 2019 y 2020, los reportes de Phishing y DDoS crecieron un 40%, mientras que el robo de identidad, el fraude comercial, el malware y el ciberespionaje crecieron un 20%.
¿Cómo puede la tokenización ser un cambio de juego para la industria de pagos en la India?
Nitin Bhatnagar: La tecnología es tan buena como su aplicación. Para minimizar el riesgo y el fraude, es necesario desensibilizar y devaluar los datos. Aquí es donde las tecnologías que devalúan los datos, como la tokenización, el P2PE, el EMV y el 3DS, pueden desempeñar un papel fundamental a la hora de evitar que los incidentes de robo se conviertan en infracciones. El objetivo de estas tecnologías es eliminar el valor persistente de los datos que se utilizan para realizar una transacción. De este modo, si un delincuente ataca y roba los datos, no existe ninguna amenaza para el sistema, el consumidor y/o el comerciante. El PCI SSC proporciona normas y programas para apoyar la implementación segura de estas soluciones tecnológicas.
- Suplemento informativo: Directrices de tokenización de PCI DSS
- Directrices de seguridad de productos de tokenización: tokens irreversibles y reversibles
Himanshu Kumar Das: La seguridad de los datos de los pagos es uno de los aspectos más críticos de la seguridad para cualquier Fintech. Con el repentino y reciente auge del ecosistema de pagos en la India, se requiere y necesita una mayor protección contra cualquier tipo de fraude, pagos falsos y el uso indebido de cuentas y datos de pago de cualquier tipo. Está claro que la tokenización es el verdadero cambio de juego en el ecosistema de pagos y CRED ya ha adoptado la tokenización para mejorar la seguridad de sus pagos y abordar cualquier preocupación sobre la privacidad del consumidor y mejorar la seguridad de los datos de pago. Con la multitud de aplicaciones que ofrece la tokenización y las aplicaciones inexploradas que podrían surgir en el espacio de la tecnología financiera debido a la tokenización, los límites y las aplicaciones son ilimitados, y esto beneficiará a todo el ecosistema de pagos en la India.
Adelia Castelino: Desde el onboarding, el procesamiento de las transacciones y las comprobaciones de fraude en tiempo real, hasta la liquidación y la conciliación casi en tiempo real, ISG está implementando las últimas tecnologías, incluida la tokenización, para hacer que el ciclo de vida de las transacciones sea más seguro, creando confianza dentro del ecosistema de pagos.