Nicole Contreras intentaba pagar con Khipu su cuenta de teléfono, cuando BancoEstado bloqueó la transacción. Terminó pagando en una Caja Vecina, en forma presencial y en plena pandemia. Esto ocurrió porque BancoEstado habilitó una tecnología anti bot, que decidió bloquear la transacción de Nicole. El banco ha declarado que está bloqueando 150 mil transacciones diarias por que su sistema las marca como generadas por un bot.

Primero decir que ante bloqueos como el sufrido por Nicole, Khipu trabajó en conjunto con BancoEstado y acordamos con su equipo técnico un protocolo de seguridad y un documento a firmar. El objetivo era que su anti bot no bloquee a los clientes del banco que eligen pagar con Khipu. Lamentablemente, el comité ejecutivo del banco decidió que ese acuerdo era insuficiente y optó por que desde el 1 agosto su sistema bloquee a sus clientes que eligen Khipu para pagar. Quiero aclarar que las críticas siguientes apuntan exclusivamente al comité ejecutivo, todo mi reconocimiento al equipo permanente del banco, especialmente al grupo compuesto por más de 12 personas, con las que trabajamos, partiendo desde la desconfianza, pero logrando un acuerdo de gran mérito y un acercamiento en muchos planos.

El miércoles pasado interpusimos un recurso de protección desde Khipu en contra de BancoEstado, porque al bloquear a sus clientes cuando eligen pagar con Khipu, están violando una garantía constitucional de los clientes, que da derecho a la propiedad del dinero custodiado por el banco. No es que les roben los fondos, pero impidiendo el pago de deudas, cuentas y compras, con una solución usada hace años, se limita en forma arbitraria el uso que las personas pueden dar a los fondos de su propiedad. También atentan contra varias garantías constitucionales de Khipu, como el derecho de propiedad, el derecho a emprender y el derecho a no ser discriminados por agentes del estado. En lenguaje informal acabo de citar las garantías 21, 22 y 24 de la constitución, enumeradas en su artículo 19. Les mostraré que no se trata sólo de un atentado al estado de derecho por parte de una empresa pública, sino también de faltas a la libre competencia y falta de criterio en la aplicación de medidas de seguridad. Este comité ejecutivo no debiera creer que puede escudarse en cualquier frase que incluya la palabra seguridad, para justificar las medidas más arbitrarias y hasta la violación de garantías constitucionales. El recurso no fue admitido por la corte y tenemos plazo hasta el martes para reponerlo.

Son varias las empresas Fintech bloqueadas por BancoEstado. En sus declaraciones públicas, sobre el caso particular de Khipu, dijeron que “Estamos dispuestos a trabajar con ellos, en la medida que en conjunto vayamos elevando los estándares de ciberseguridad”. La declaración desconcierta, porque el sábado anterior al bloqueo, habíamos firmado en la plataforma de BancoEstado un memorándum de entendimiento (MOU), subido por su propia fiscalía, que cumplía esa condición. Y el mismo sábado, alcanzamos a compartir claves con el equipo técnico del banco y habilitamos en nuestro lado los protocolos de seguridad que sugiere Akamai, proveedor del banco, para no etiquetar equivocadamente como bot malicioso a una aplicación conocida.

El contrato quedó firmado sólo por Khipu. El comité ejecutivo le quitó el piso a su equipo, pretendiendo que Khipu acepte pagar el costo del auto fraude y el phishing, costos que por ley corresponden al banco y en los que Khipu no tiene responsabilidad ni culpa. Por ejemplo, si una persona es engañada por teléfono y entrega sus claves del banco a un estafador, el delincuente podría usar las claves robadas para pagar con Khipu. La víctima podría pedir la devolución de los fondos según lo establecido en la “Ley antifraude”. Y el banco pretende cobrarle a Khipu los fondos devueltos. Esto es bien importante, una persona nunca usa directamente la página del Banco, siempre usa una aplicación para llegar al banco. Esa aplicación puede ser Google Chrome, Safari de Apple, Microsoft Edge, Khipu u otra de una centena de aplicaciones conocidas como navegadores. Sin embargo, en caso de fraude, el Banco discrimina a Khipu y le exige que pague lo que no le exige a los otros proveedores de navegadores. Reiteramos, nuestros errores los pagamos, siempre, pero no podemos asumir costos injustos y arbitrarios.

El MOU preparado por el banco y firmado sólo por Khipu incluye “(…) BancoEstado declara que se encuentra obligado a dar estricto cumplimiento a los estándares de ciberseguridad (…) adoptando todos los controles y mecanismos que le parezcan necesarios e idóneos (…)”. Esta frase es coherente con las declaraciones de su vocero. Falta un contrapeso respecto a las garantías constitucionales, normas de competencia leal y otros equilibrios mínimos. Básicamente se declara que en nombre de la seguridad pueden hacer lo que consideren idóneo. Revisemos lo que consideran idóneo…

El banco hace público el dato de transacciones bloqueadas por su proveedor externo de tecnología anti bot (Akamai). Dice que todos los días, Akamai bloquea 150 mil operaciones marcadas como bot. ¿Esto les parece idóneo?

Hablé con José Gabriel Carrasco, de Fintonic y me dice que sólo ellos tienen un porcentaje alto de 150 mil clientes de BancoEstado inscritos en su plataforma y que no están pudiendo descargar los datos diarios. Para quienes no lo sepan, la app gratuita de Fintonic se usa para ordenar y controlar mejor sus finanzas, centralizando los datos de todos los bancos en que los clientes tienen cuenta. Uno esperaría que BancoEstado apoye esta iniciativa, en línea con su misión, ya que produce orden e inclusión financiera. El problema es que el modelo de negocio de Fintonic es ofrecer créditos baratos a los clientes de mejor comportamiento, lo que entra en competencia con BancoEstado.

ETPay, Fintonic, Floid y Khipu tienen en común varias cosas: Domicilio y representante legal en Chile, ser empresas Fintech, compiten con BancoEstado y están bloqueadas por el anti bot. Sumando sus transacciones es fácil llegar a un número cercano a las 150 mil operaciones legítimas bloqueadas al día. Por lo tanto, la pregunta obvia es, ¿Además de las 150 mil operaciones legítimas que BancoEstado bloquea en forma diaria a sus competidores, bloquea alguna otra? ¿Les parece idóneo bloquear 150 mil operaciones legítimas de sus competidores?

Para una correcta gestión de la seguridad de la información, es obvio que BancoEstado requiere desbloquear a sus competidores, no sólo por competencia leal, sino para dejar de producir 150 mil falsas alarmas que impiden ver sus verdaderas amenazas. Entendiendo a sus verdaderos enemigos podrá proteger a sus clientes.

Si alguna de las Fintech cometiera algún ilícito, actuando bajo la luz la pueden demandar. De esa forma, el comité ejecutivo simplificaría el trabajo de su equipo de seguridad.

Idóneo.