MERCADOS
La empresa chilena Khipu reaccionó frente a lo que considera una medida unilateral de parte de la entidad bancaria que, según señalaron, «arbitrariamente impidió sus operaciones y busca traspasar el costo del phishing y el ‘auto fraude’ a estas soluciones de pago». Pablo Correa, vicepresidente de BancoEstado, afirmó que una de las medidas que tomaron tras un hackeo que sufrieron, fue elevar los estándares de ciberseguridad incorporando «un software que trata de detectar ataques de bots».
La plataforma chilena de pagos Khipu interpuso este miércoles un recurso de protección en contra del Banco Estado, «por impedir unilateralmente en sus sistemas que los usuarios puedan utilizar dicha solución de pago para procesar sus transacciones en el comercio».
A través de un comunicado, desde la app de pago online señalaron que «la entidad bancaria ha intentado condicionar el desbloqueo de Khipu obligándola a asumir los costos asociados a las prácticas conocidas como phishing y ‘auto fraude’, pese a no ser de responsabilidad de dicha plataforma, incurriendo —según los directivos de Khipu— en prácticas que atentan contra una sana competencia y derechamente contra diversas garantías constitucionales».
«Esto es visto como un intento abusivo de BancoEstado por traspasar su obligación de pago a Khipu y otras plataformas», declararon.
Khipu es una plataforma chilena dedicada al procesamiento de pagos en línea y que funciona hace 10 años ofreciendo a los comercios una interfaz que conecta su sistema de venta con la solución de pago, facilitando las transacciones entre estos y los usuarios, brindando un sistema simple y que se notifica automáticamente.
Roberto Opazo, director ejecutivo de la plataforma, indicó que «Banco Estado nos comenzó a bloquear hace 6 semanas, pero cuando estábamos listos para iniciar acciones judiciales, el banco nos propuso instaurar una mesa de trabajo e intentar llegar a un acuerdo, estableciendo como plazo máximo el 1 de agosto».
«El problema es que, en el marco de tales conversaciones, a último minuto ellos decidieron unilateralmente que nosotros, como plataforma, debíamos hacernos cargo del costo asociado a prácticas de las que no somos responsables, como el phishing y el auto fraude. Nunca ha estado en duda la disposición de Khipu a responder por sus fallas», agregó.
Para el director ejecutivo de Khipu, la situación no es justa, «ya que siempre nos hemos hecho cargo de la responsabilidad que nos atañe, pero no nos podemos ocupar de situaciones en que no es Khipu quien las provoca, ni quien por ley expresa es responsable. Por ejemplo, una persona engañada por teléfono y que entrega sus claves a un estafador, podría encontrarse con que el estafador usó las claves para transferir en el portal de Banco Estado, para lo que puede usar Google Chrome, Khipu y otros navegadores. En este caso, la Ley obliga al banco a devolver los fondos al cliente y no pretende que Khipu o a ningún otro fabricante de soluciones que permiten realizar transferencias lo haga. Banco Estado nos quiere endosar esa obligación en forma arbitraria, ya que no se lo exige a Google, Apple, Microsoft y otros 100 fabricantes de navegadores que permiten hacer lo mismo. Incluso pretende traspasarnos el costo cuando el cliente del banco realiza un auto fraude. No se atreven a cobrarle a un gigante como Google y creen que a una PYME como Khipu le pueden exigir cualquier condición».
De acuerdo a la empresa, se había llegado a un memorándum de entendimiento entre los equipos de trabajo del Banco y Khipu, pero el comité ejecutivo de Banco Estado le quitó el piso a su propio equipo, que ya había subido el acuerdo a la plataforma de firma del banco e incluso había sido firmado por Khipu el pasado sábado 31 a las 22:00 horas. Esto reactivó el bloqueo, sin previo aviso, a la plataforma de pago. Además, desde la compañía afirman que realizaron todos los esfuerzos para implementar seguridades adicionales a las que cuentan para disminuir este tipo de fraudes y establecer en conjunto con el banco un modelo operacional, lo que éste no aceptó si no se cumplían sus exigencias.
«Estamos presentando este recurso de protección frente a la actitud anticompetitiva de Banco Estado y la violación de garantías constitucionales, como el derecho a realizar una actividad económica lícita, el derecho a no ser discriminados por agentes del estado y el derecho de propiedad de los clientes de Banco Estado, que ya no pueden elegir libremente cómo usar su dinero para pagar los bienes y servicios que solían pagar usando Khipu. Intentar revertir la decisión unilateral del banco ha sido durísimo, es como negociar teniendo la pistola en la cabeza, ya que se nos exigía pagar los costos de fraude ajenos a nuestra responsabilidad. Cada día con el servicio bloqueado nos representa un costo enorme, tanto por los pagos que dejamos de procesar, lo que afecta casi a 500.000 clientes de Banco Estado, como por los 3.000 comercios que dejan de recibir el servicio de recaudación», concluyó Roberto Opazo.
Cabe mencionar que Pablo Correa, vicepresidente de BancoEstado, afirmó ayer, en entrevista con Pulso que una de las medidas que tomaron tras el hackeo que sufrió la entidad, fue elevar los estándares de ciberseguridad incorporando «un software que es de clase mundial, que no solo lo ocupa el banco, es un proveedor mundial que lo ocupan muchas instituciones alrededor del mundo. Se llama Akamai, que trata de detectar ataques de bots», y que «desde entonces estamos bloqueando cerca de 150 mil entradas de bots diarios al banco. Esa es las magnitud de bloqueos que este nuevo sistema de ciberseguridad nos ayuda a bloquear. ¿Cómo funciona? Es un software que busca comportamientos, y cuando detecta que lo que está detrás no es un humano sino que un bot, lo bloquea de forma preventiva porque no puede distinguir ex-ante si es un bot que está tratando de robar credenciales desde Corea del Norte, está tratando de introducir un troyano desde Moscú y quiere tomar control de los sistemas del banco, o es un bot de una empresa que está haciendo operaciones como las que hace Khipu».
Y añadió: «les planteamos a ellos que durante un periodo transitorio, para que pudieran seguir operando con nosotros, entendiendo su situación, podíamos trabajar en una solución transitoria, donde le podíamos generar una suerte de excepción dentro de esta barrera de Akamai, donde podíamos identificar cuáles eran los bots de Khipu, sujeto a que ellos se hicieran responsables si a través de los bots de Khipu se generaba algún daño patrimonial para el banco».
