La implementación de nuevas tecnologías –como APIs digitales– está provocando un cambio considerable en los métodos de pago electrónicos. Estas innovaciones constituyen una ocasión para que las pequeñas y medianas empresas (Pymes) perfeccionen su administración financiera y aumenten su capacidad competitiva, aunque cualquier entidad que maneje pagos es vulnerable a los ataques de los criminales cibernéticos.
Jairo Parra, experto en ciberseguridad de Akamai, señaló que la implementación de plataformas integradas y APIs digitales en las pequeñas y medianas empresas ha transformado la forma en que se realizan los pagos, mejorando las transacciones monetarias y manejando grandes volúmenes de información de sus clientes, incluyendo datos personales. Las Pymes enfrentan el mismo peligro de experimentar una filtración de datos significativa que sus equivalentes más grandes.
Según el 2024 Data Breach Investigations Report (DBIR) de Verizon Business, de un total de 30.458 incidentes, 919 se relacionaron con pequeñas empresas (con entre 1 y 1.000 empleados), y entre 10.626 filtraciones de datos, 617 fueron registradas por este sector a nivel mundial. Los delincuentes informáticos tienden a seguir el rastro del dinero, haciendo que las transacciones financieras sean un objetivo principal para el fraude y el cibercrimen. Los ataques cibernéticos dirigidos a las APIs digitales pueden comprometer estos datos sensibles, lo que podría resultar en filtraciones, interrupciones en el servicio, pérdidas económicas y perjuicios a la imagen.
De acuerdo con el experto de Akamai, las empresas deben resguardar los datos de los consumidores, proteger a las personas y mantener su confianza. “El incumplimiento de las medidas de seguridad puede tener consecuencias devastadoras. En el caso de que las APIs transporten cualquier información relacionada con las tarjetas de pago, será muy importante que éstas cumplan con el estándar de seguridad de la información conocido como PCI DSS”.
En América Latina, el 99% de las empresas son consideradas micro, pequeñas y medianas (MiPymes), representan el sostén del 60% del empleo formal y aportan el 25% al PIB de la región, por lo tanto, es crucial que estén informadas sobre la adopción de cualquier norma de seguridad. Dado que la norma PCI DSS se aplica a todas las entidades que aceptan, procesan, almacenan o transmiten información de titulares de tarjetas, los siguientes tipos de entidades deben evidenciar su adherencia a este estándar: comerciantes de todos los tamaños, entidades financieras, procesadores de pagos que operan tanto con hardware como con software, y proveedores de sistemas de punto de venta (POS).
Jairo Parra indicó que PCI DSS aborda diversas amenazas, incluyendo malware, phishing, autenticación y control de acceso remoto, contraseñas poco seguras, software heredado y robo de tarjetas. Las empresas que se rigen bajo la norma PCI DSS deben enfocarse en resguardar los datos financieros.
La normativa de seguridad PCI DSS incluye dos categorías principales de datos: la información del portador de la tarjeta y los datos sensibles de autenticación.
La norma PCI DSS v4.0 identifica claramente a las APIs digitales como un sector fundamental que necesita supervisión y defensa. Se involucran los cuatro objetivos. No obstante, el tercero (adaptabilidad para implementar herramientas y controles novedosos) tiene un papel destacado debido a los peligros específicos que conllevan las API. Por ejemplo:
• Las APIs son fundamentales para todos los productos y servicios digitales que proporciona a los usuarios. Una empresa promedio cuenta con un rango de entre 15.000 y 25.000 APIs, dependiendo de su escala, creadas para permitir el flujo continuo de información.
• Estos registros contienen detalles sensibles sobre los clientes. En cada transacción electrónica, se utiliza una API que facilita la comunicación de información entre aplicaciones, sistemas o terceros, entre otros.
• Una única API vulnerada podría resultar en el robo, la pérdida o la difusión de millones de registros accesibles para todos. Adicionalmente, las APIs que están expuestas o configuradas de manera incorrecta son comunes, son sencillas de atacar y, por lo general, carecen de protección, pasan desapercibidas o no se administran adecuadamente.
Por consiguiente, poseer una certificación PCI y establecer relaciones con aliados que adhieran a las normas PCI puede ofrecer ventajas tales como: un incremento en la protección de la información, características que destacan frente a la competencia, disminución de amenazas, un aumento en la confianza por parte de los consumidores, simplificación para ser proveedor de grandes corporaciones que manejan pagos con tarjeta y adelantarse a otros, así como reducir el tiempo de preparación para regulaciones de privacidad como GDPR, LGPD e incluso Open Banking.
Según Jairo Parra, toda organización cubierta por PCI DSS está sujeta a severas penalizaciones y multas por no cumplir con la regulación. Los importes de las multas son diversos y están relacionados con la gravedad de la violación de la normativa. Sin embargo, las sanciones comunes oscilan entre varios miles y cientos de miles de dólares, y pueden persistir hasta que se realice la corrección. No obstante, el daño a la reputación podría ser significativamente más alto. La desconfianza de los clientes como resultado de las filtraciones de información podría ocasionar la pérdida de clientela.
A modo de conclusión, Jairo Parra recomendó a las Pymes contactar a compañías certificadas como proveedores de servicios de PCI DSS, lo que resulta esencial para garantizar la seguridad y evitar cualquier tipo de incumplimiento. Asimismo, en el mercado hay opciones que asisten a las entidades en la satisfacción de los seis principios de PCI DSS; resaltando la seguridad de las API, no solo para adherirse a la normativa PCI DSS v4.0, sino también para salvaguardar de manera constante la información que sus clientes les han proporcionado.
