La adopción de tecnologías innovadoras como las plataformas de pago están impulsado una transformación significativa en los medios de pago digitales. Estos avances representan una oportunidad para que las pequeñas y medianas empresas (PyMEs) optimicen su gestión financiera y mejoren su competitividad, pero cualquier empresa que gestione transacciones financieras es objetivo de los ciberdelincuentes.
Jairo Parra, experto en ciberseguridad de Akamai, expresó que la adopción de plataformas únicas y API’s digitales por parte de las PyMEs han revolucionado los pagos, optimizando las transacciones financieras y gestionando importantes cantidades de datos de clientes, incluida la información de identificación personal. Las pequeñas y medianas empresas corren el mismo riesgo de sufrir una filtración de datos grave como sus homólogos de mayor tamaño.
Según el 2024 Data Breach Investigations Report (DBIR) realizado por Verizon Business, de un total de 30,458 incidentes, 919 de ellos correspondieron a negocios pequeños (de 1 -1000 empleados), y de un total de 10,626 filtraciones de datos, 617 fueron reportados por este sector empresarial a nivel mundial. Los hackers siguen el dinero, por lo que las transacciones financieras son un foco de actividad de fraude y ciberdelincuencia. Los ciberataques a las API’s pueden poner en peligro estos datos confidenciales, lo que da lugar a filtraciones de datos, interrupción del servicio, pérdidas financieras y daños a la reputación.
El experto de Akamai dijo que las empresas deben salvaguardar los datos de los consumidores, proteger a las personas y mantener su confianza. “El incumplimiento de las medidas de seguridad puede tener consecuencias devastadoras. En el caso de que las API’s transporten cualquier información relacionada con las tarjetas de pago, será muy importante que éstas cumplan con el estándar de seguridad de la información conocido como PCI DSS”.
En Latinoamérica, el 99% de las empresas son micro, pequeñas y medianas empresas (MiPyMEs); son el motor del 60% del empleo formal y contribuyen al 25% del PIB regional, por ello deben estar al tanto de la implementación de cualquier estándar de seguridad. Dado que PCI DSS se aplica a cualquier organización que acepte, procese, almacene o transmita datos de titulares de tarjetas, los siguientes tipos de organizaciones deben demostrar el cumplimiento del estándar: comerciantes de todos los tamaños, instituciones financieras, procesadores de pagos, tanto basados en hardware como en software, y proveedores de puntos de venta (POS).
Jairo Parra informó que PCI DSS aborda una serie de amenazas, entre las que se incluyen las siguientes: malware, phishing, autenticación y control de acceso remoto, contraseñas poco seguras, software heredado y robo de tarjetas. Las organizaciones que cumplen con la norma PCI DSS deben centrarse en proteger los datos financieros.
La seguridad PCI DSS abarca dos clases generales de datos: los datos del titular de la tarjeta y los datos de autenticación confidenciales.
La norma PCI DSS v4.0 considera explícitamente las API’s como un área clave que requiere visibilidad y protección. Entran en juego los cuatro objetivos. Sin embargo, el tercero (flexibilidad para utilizar nuevas herramientas y controles) es particularmente importante debido a los riesgos únicos que presentan las API’s. Por ejemplo:
- Las API’s residen en el centro de todos los productos y servicios digitales que ofrece al cliente. La empresa media tiene entre 15.000 y 25.000 API’s, según su tamaño, diseñadas para facilitar el intercambio ininterrumpido de datos.
- Estos datos incluyen información confidencial del cliente. En cada pago digital entra en juego una API que transmite datos entre aplicaciones, sistemas o terceros, entre otros.
- Una sola API comprometida podría dar lugar al robo, la retención o la publicación de millones de registros para que todo el mundo pueda verlos. Y las API’s expuestas o mal configuradas prevalecen, son fáciles de vulnerar y, a menudo, no están protegidas, pasan desapercibidas o no se gestionan.
Por lo tanto, contar con una certificación PCI y con socios que cumplan con las normas PCI puede aportar beneficios como: mayor nivel de seguridad de los datos, cualidades diferenciadas con respecto a los competidores, reducción de riesgos, aumento de la confianza de los consumidores, facilidad para convertirse en proveedor de grandes empresas que gestionan pagos con tarjeta y adelantarse a los demás y acortar la preparación para las normativas de privacidad como GDPR, LGPD e incluso Open Banking.
A decir de Jairo Parra, cualquier organización cubierta por PCI DSS está sujeta a estrictas sanciones y multas por incumplimiento de la norma. Las multas varían y dependen de la gravedad de la infracción de la normativa. Pero las multas típicas son de unos pocos miles a cientos de miles de dólares, que pueden continuar hasta la rectificación. Sin embargo, el costo para la reputación puede ser mucho mayor. La falta de confianza de los clientes debido a las filtraciones de datos puede provocar la pérdida de clientes.
Por último, Jairo Parra aconsejó a las PyMEs acercarse a empresas certificadas como proveedores de servicios de PCI DSS para estar protegidos y no caer en incumplimientos. De igual manera, existen en el mercado soluciones que ayudan a las organizaciones a cumplir los seis pilares de PCI DSS; destacando la protección de API, no solo para cumplir con la norma PCI DSS v4.0, sino también para proteger continuamente los datos que le confían sus clientes.
