En Brasil, donde las tarjetas de crédito son una de las principales formas de pago y los datos digitales tienen un valor comparable al del efectivo, los riesgos de fraude en línea se hacen cada vez más presentes, exigiendo una atención especial por parte de consumidores y empresas.
Para tener una idea de la magnitud del problema, cuatro de cada diez brasileños ya han sido víctimas de estafas y fraudes financieras en el país, lo que representa al 42% de los brasileños. Los datos son del "Informe de Identidad Digital y Fraude 2024", un estudio realizado por Serasa Experian.
Otro estudio, ahora de la Confederación Nacional de Dirigentes Comerciales (CNDL) y del Servicio de Protección al Crédito (SPC Brasil), en colaboración con Sebrae, muestra que alrededor de 8,4 millones de consumidores reportaron fraudes en instituciones financieras en los últimos 12 meses. Entre los fraudes, la clonación de tarjetas de crédito y débito figura como el principal tipo de fraude.
Aunque aproximadamente el 70% de los brasileños poseen tres o más tarjetas, según indica Serasa, la percepción de riesgo aún es baja. Alrededor del 69% de los brasileños siguen subestimando el peligro de registrar datos financieros en sitios web y aplicaciones, lo que deja a una gran parte de la población expuesta a fraudes digitales y ataques cibernéticos.
En medio de la creciente alerta sobre seguridad digital, buenas noticias surgen: nuevas iniciativas y avances tecnológicos están haciendo que el entorno en línea sea más seguro cada día.
Recientemente, el Consejo de Normas de Seguridad de PCI (PCI SSC) propuso nuevas directrices para el desarrollo continuo y la mejora de los estándares de seguridad, aplicables a empresas que almacenan, procesan o transmiten datos de pago, así como a desarrolladores y fabricantes de software y dispositivos utilizados en las transacciones. La PCI es una organización global que reúne a los principales actores de la industria de pagos para impulsar el uso de recursos en transacciones seguras.
“A medida que las amenazas y la tecnología evolucionan, también lo hacen los estándares PCI DSS. “Por lo tanto, es necesario prestar atención, ahora, a los nuevos requisitos y realizar los ajustes necesarios”, advierte Wagner Elias, CEO de Conviso, desarrollador de soluciones de seguridad de aplicaciones.
Entre las actualizaciones están las del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), creado para proteger toda la cadena de valor de los pagos con tarjeta. Sus requisitos de cumplimiento abarcan desde el almacenamiento de datos de los titulares de tarjetas hasta la seguridad en el acceso a información sensible de pago.
“En definitiva, es necesario reforzar la protección de los datos de los clientes, implementando medidas adicionales para evitar accesos no autorizados”, afirma el experto.
Así, las empresas necesitarán adaptarse e invertir en nuevas tecnologías. Para tener una idea, algunas de estas soluciones son capaces de proporcionar una visión completa de los riesgos relacionados con cada aplicación. Estas herramientas integran diferentes sistemas, centralizando información y ayudando en la priorización de las acciones, todo de forma continua", explica el CEO de Conviso, sobre su plataforma Conviso Platform Application Security Posture Management (ASPM), lanzada en 2010.
Sin embargo, el especialista destaca que muchas empresas aún adoptan una postura reactiva respecto a la seguridad de sus sistemas, priorizando el tema solo después de sufrir un ataque. Este comportamiento, según él, es preocupante, ya que fallos de seguridad pueden causar pérdidas financieras significativas y daños irreparables a la reputación de la organización, que podrían ser evitados con medidas preventivas.
Para él, al considerar la creación de un nuevo software, es esencial que la empresa incorpore la seguridad en cada fase del ciclo de creación, desde la recopilación de requisitos (primera fase que analiza lo que la aplicación realizará) hasta el despliegue (producción y entrega final).
“Para evitar estos riesgos, la gran diferencia es adoptar prácticas de Seguridad de Aplicaciones desde el inicio del desarrollo de la nueva aplicación. Esto garantiza que se incluyan medidas de protección en todas las etapas del ciclo de vida del software. Además de ser significativamente más rentable que remediar los daños después de un incidente, invertir en seguridad preventiva es mucho más efectivo. “Esto nos permite prevenir ataques, proteger datos sensibles, asegurar el cumplimiento de la legislación y las directrices, y garantizar que la aplicación sea segura y confiable para los usuarios desde el principio”, afirma el experto.
Wagner explica que la empresa desarrolla soluciones que integran seguridad en DevOps, permitiendo que cada línea de código sea desarrollada con prácticas de protección, además de servicios como pruebas de intrusión y mitigación de vulnerabilidades. Realizar análisis continuos de seguridad y automatización de pruebas permite que las empresas cumplan con las normas sin comprometer la eficiencia, destaca Wagner.
Además de la implementación de tecnologías robustas, el CEO de Conviso enfatiza la importancia de las consultorías especializadas, que ayudan a las empresas a adaptarse a las exigencias del PCI DSS 4.0 y otras regulaciones. Servicios ofensivos como Penetration Testing, Red Team y evaluaciones de seguridad de terceros promueven un enfoque de seguridad proactivo y completo, identificando y corrigiendo vulnerabilidades antes de que puedan ser explotadas.
Las inversiones deben acelerarse
Esta transformación en la seguridad digital no solo refuerza la confianza de los consumidores en un entorno en línea seguro, sino que también acompaña el crecimiento acelerado del mercado de seguridad de aplicaciones, que se espera que pase de 11,62 mil millones de dólares en 2024 a 25,92 mil millones de dólares en 2029, según Mordor Intelligence. Implementar tecnología de punta marca un giro en la protección digital y refuerza la confianza en un mercado que depende, más que nunca, de la seguridad para prosperar», concluye Wagner.
Consulte la lista de 12 requisitos de PCI DSS que debe cumplir la verificación de cumplimiento 4.0:
- Instalar y mantener un firewall
- Eliminar la configuración predeterminada del proveedor
- Proteger los datos almacenados del titular de la tarjeta
- Cifrar la transmisión de datos de pago
- Actualice periódicamente su software antivirus
- Implementar sistemas y aplicaciones seguros
- Restrinja el acceso a los datos del titular de la tarjeta según sea necesario
- Asignar ID de acceso de usuario
- Restringir el acceso físico a los datos
- Seguimiento y monitoreo del acceso a la red
- Probar continuamente los procesos y sistemas para detectar vulnerabilidades
- Crear y mantener una política de seguridad de la información
La implementación de las directrices PCI DSS 4.0 se está realizando en dos fases:
- La primera fase, con 13 nuevos requisitos, tenía como fecha límite el 31 de marzo de 2024.
- La segunda fase, con 51 requisitos adicionales, deberá implementarse antes del 31 de marzo de 2025.
