Edición Exclusiva / Julio 2017
Especial Banca Rich Bolstridge, Servicios Financieros Akamai:
“La Banca tuvo que redefinir su estrategia de negocios”
Transformación digital: banca móvil y experiencia del usuario Chile: Aprendizajes tras 6 años de eventos “Cyber”
Una mirada a los ciberataques en Chile y Latinoamérica
Exceda Insights / Edición Exclusiva para Banca / Julio 2017
Contenidos
04
TENDENCIAS:
Experto norteameircano de Servicios Financieros de Akamai, habla sobre los nuevos desafíos de la banca.
Rich Bolstridge:
“La banca tuvo que redefinir su estrategia de ciberseguridad”
07
Alineados en busca de una mejor experiencia digital
12
Chile es el quinto país en América con más intentos de ciberataques
www.exceda.com
2
Rodolfo Labarca:
08
Generación “Millennials” como aliada de la Banca
14
Hablan los expertos
Director Ejecutivo: Vinicius Agostini Coordinador editorial: Mariela Rodríguez Editora periodística: Andrea Riquelme Diseño y diagramación: Carolina Schwartz Contacto Exceda Insights: vagostini@exceda.com
06
Desarrollo de la banca móvil en Latinoamérica
10
La industria del ciberataque y su estrategia maliciosa contra la banca
20
Protagonismo de la comunidad móvil
Revista Exceda Insights es desarrollada por el equipo de Comunicaciones y Marketing de Exceda. Derechos reservados. Las opiniones vertidas son de exclusiva responsabilidad de quienes las emiten.
Exceda Insights / Edición Exclusiva para Banca / Julio 2017
EDITORIAL
Hacia una Banca Digital segura, ágil, amigable y efectiva Con más de 15 años de experiencia y presencia en Brasil, Argentina, Colombia, México, Chile, Perú, Estados Unidos y España, Exceda se ha convertido en un referente como proveedor de tecnologías de performance web, desde nuestros inicios hemos potenciado una red que nos permite acceder a 210.000 servidores en 125 países, lo que sin duda se traduce en una mayor velocidad de entrega o performance; y en temas de seguridad, la detección y mitigación de ataques DDoS o de aplicaciones web, en su punto de origen, sea en medio oriente, Europa o en el Cono Sur. Con un portafolio de clientes en las industrias de eCommerce, Financiero/Banca, Educación, Media, Corporativo y Sector Público o Gobierno, hemos aprendido de todo tipo de negocio y hemos agregado el componente de seguridad y performance, fidelizando por años a marcas internacionales, así como a pequeña y mediana empresas. Gracias a una enorme red de capital humano experto y conocimiento distribuido en el mundo entero, Exceda es una compañía basada en el conocimiento, y por ende es un profundo conocedor de la tecnología y ha aprendido a sacar provecho de los avances, y en los aportes y ventajas de la generación basada en la nube, de forma de soportar
el umbral de cualquier riesgo evitando la intervención maliciosa de toda red privada. Asimismo, hemos estudiado el comportamiento evolutivo de los usuarios, para proveer soluciones adaptadas a las necesidades de cada negocio, pero manteniendo al usuario en su centro, y garantizando la mejor experiencia, desde la navegación cotidiana multicanal, hasta la transmisión en vivo de torneos FIFA y Juegos Olímpicos, hasta mega eventos de eCommerce como Black Friday y Cyber Monday sin caídas ni ataques concretados. Cada trimestre, a través de nuestra alianza con Akamai, accedemos a reporte de Internet, seguridad y conectividad, colaborando en la construcción de una cultura de transformación digital, identificando brechas y posibles soluciones, con indicadores certeros en mano. Le invitamos a asumir los desafíos del sector Banca y Finanzas, de su modernización y fortalecimiento de ambientes virtuales y móviles, de forma de colaborarle en el diseño de su estrategia comercial y de marketing, así como en el progreso hacia una Banca Digital segura, ágil, amigable y efectiva. Bienvenidos!
Claudio Baumann, co-fundador de Exceda
3
TENDENCIAS
“La banca tuvo que redefinir su estrategia de ciberseguridad” Rich Bolstridge, Jefe Estratégico de Servicios Financieros en Akamai Technologies
En el histórico ataque DDoS a Dyn que afectó a marcas de la talla de Twitter, Amazon, Airbnb, Spotify y Netflix, pocos saben que impactó indirectamente a 24 de 42 bancos, además de aseguradoras y tarjetas de crédito. La banca ha debido adecuar sus medidas de seguridad desde entonces. La plataforma de ataques dirigidos a instituciones financieras ha cambiado considerablemente desde el histórico ataque DDoS de 2016 y el ahora reciente ransomware Wanna Cry, redefiniendo la concepción de la seguridad en la cultura organizacional, así como la estrategia orientada a la escalabilidad de ataques de mayor volumen y tácticos en diversas industrias. Cada año las instituciones se enfrentan a ataques de mayor magnitud e impacto, lo que representa una serie de riesgos para las compañías y sus usuarios, en especial para aquellas compañias que manejan datos sensibles y fondos financieros. “Antes la escala de ataques era muy menor y hablábamos de seguridad a nivel de PC´s, mientras que hoy las botnets, el Internet de las Cosas y los dispositivos hiperconectados, suponen un mayor riesgo y un mayor desafío para controlarlos.”, explica Rich Bolstridge, Jefe Estratégico de Servicios Financieros en Akamai Technologies.
4
Los ataques DDoS dirigidos a Dyn DNS del 21 de octubre de 2016 que afectaron a Twitter, Netfix, Amazon y Spotify entre otros, pocos saben que impactaron gravemente a la industria de servicios financieros y aseguradoras, dándonos una clara enseñanza de los verdaderos riesgos tecnológicos. Si buscamos indicadores aún más fuertes, Bolstridge asegura que algunos bancos tuvieron sus sitios caídos hasta por 3 horas, con un costo altísimo en sus operaciones y en su imagen de marca. Un reporte de Dynatrace señaló que 24 de 42 bancos fueron impactados producto del ataque del 21 de octubre. También incluyó la muestra a 25 firmas de seguros, mientras que 6 de 13 tarjetas de crédito fueron impactadas. “Los aprendizajes tras este hito son muchos, pero todos coinciden en que ninguna tecnología de monitoreo o gerencia de riesgos puede evitar este tipo de problemas,”, añade. Vivimos en tiempos de una industria del ciberdelito cada
Exceda Insights / Edición Exclusiva para Banca / Julio 2017
vez más compleja. No obstante, para el experto en seguridad para la banca, algunos consejos se resumen en: analizar los riesgos, no solo la tecnología; establecer estándares mínimos que al menos disminuyan las amenazas de fallas en la cadena de dependencia de proveedores; usar una red de entrega de contenidos que ayude a absorber ataques comunes; usar sistemas de monitoreo y alertas para enterarse de los problemas antes que el consumidor; y por último, compartir información crítica ante un eventual ataque antes de 2 horas de ocurrido, incluso si no fue directamente atacado. Este no fue un típico ataque DDoS, aclara Rich. Los bancos están generalmente bien preparados y protegidos de este tipo de ataques. Muchos de ellos recuerdan claramente la oleada de ataques de 2012 y 2013 por QCF como parte de la operación ataque Ababil, etapa en la que la banca invirtió fuertemente en protección DDoS y ha sido efectiva desde entonces. “Este ataque en cambio, en vez de afectar directamente a un banco, atacó a un proveedor de servicio que no es un target clásico para DDoS y en muchos casos, ni siquiera eran usados por los bancos dañados. Como conclusión, si trabajas en riesgo tecnológico en la banca, tu trabajo se hizo aun más difícil”. En opinión de Bolstridge, los bancos hoy enfrentan ataques de gran escala. Asimismo, la pequeña comunidad de organismos financieros de menor tamaño siguen manteniendo relaciones con otras instituciones financieras, y existen técnicas y herramientas para fortalecer su seguridad. Lo peligroso es que aun siendo de menor tamaño, manejan dinero y serán un objetivo más fácil de atacar que una compañía grande o una transnacional. Según el último reporte de seguridad de Akamai, esta comunidad de menor tamaño en Banca y Finanzas, recibió 4 mil ataques y están como sector muy expuestos, ya que están continuamente buscando nuevos talentos y generando una alta rotación de personas que manejan información valiosa y sensible. Ello se suma a una menor inversión en tecnología de seguridad. “Actualmente existen soluciones de seguridad por capas que se pueden implementar y combinar con buenas prácticas. Asimismo, la evolución hacia la banca digital y movilidad exige cambios en la estrategia”, puntualiza.
Acceder a servicios de seguridad en banca, para Bolstridge, permite controlar los riesgos y disminuir los daños. Al tener una amplia visibilidad de los movimientos y riesgos, es posible identificar cualquier anomalía en su origen, y bloquearlo oportunamente. Akamai tiene más de 50 bancos alrededor del mundo como clientes, lo que le permite generar información estadística y eleborar planes predictivos para la industria, según regiones y tipo de riesgo, agregando inteligencia a la gestión de la información y la seguridad. Tenemos especial interés en la intersección entre móviles y servicios financieros, concluye el experto, incluyendo las emergentes ramificaciones de seguridad y su impacto en la experiencia del usuario. Dado que cada año surgen nuevos modelos de smartphones y plataformas, se requiere de tecnologías escalables que permitan adecuar una adecuada visualización, navegación y operabilidad desde cualquier dispositivo móvil, y para ello ya hay soluciones para atender este requerimiento, sabiendo que parte importante de la banca transita hacia las sucursales exclusivamente virtuales, y en las que el servicio al cliente se traduce en garantizar una respuesta ágil y una gestión segura y cómoda.
5
Exceda Insights / Edición Exclusiva para Banca / Julio 2017
Desarrollo de la banca móvil en Latinoamérica Hacia el año 2019, se estima que el 48% de las operaciones bancarias serán online en toda Latinoamérica. Transacciones más seguras, prácticas y confiables configuran a un nuevo perfil de cliente y relación con su banco. La utilización de los servicios de la banca móvil está aumentando no solo en nuestro país, sino en toda América Latina. Los expertos señalan que realizar cualquier tipo de operación bancaria en línea, supone incluso menor riesgo que sacar dinero de un cajero automático o pagar mediante un POS. Según BSLatam (julio 2016) el número de clientes únicos de banca online en Chile crece un 13% anualmente. Las primeras cinco entidades contaban con un 89.8% de los clientes únicos en marzo de 2015, mientras que un año más tarde manejaban el 91.3%. Hace ya dos años, según un reporte de Easy Solutions, menos del 30 % de los usuarios utilizaba regularmente canales tradicionales como cajeros automáticos o sistemas de audio-respuesta, lo que indica una mayor confianza en el sistema, mayor funcionalidad y cambios en los hábitos conductuales. También se observa –en el mismo estudio de Easy Solutions- la destrucción del mito acerca de que la adopción de las nuevas tecnologías para el cliente bancario es una cuestión generacional, ya que tanto en Brasil como en Mé-
6
xico; los porcentajes de usuarios de banca móvil son mayores en el segmento de los 35 a 55 años que en el grupo etario de 18 a 34 años. La independencia de no concurrir a un banco y la posibilidad de hacer trámites a cualquier hora son las variables responsables del crecimiento en el uso de la banca online privada. Se estima que en 2019 el 48% de las operaciones bancarias serán online en toda Latinoamérica. Consultados por las perspectivas futuras, 8 de cada 10 bancos concuerdan que en los próximos cinco años los dispositivos móviles constituirán el principal canal de operación para sus clientes, particularmente por la fuerte capilaridad que tienen en la nueva generación. Las proyecciones para 2019 también señalan que el 56% de las operaciones bancarias se realizarán desde un dispositivo móvil. Asimismo, el 61% de la banca entiende que la personalización y la innovación son factores claves de retención. Estas estimaciones no implican que los canales tradicionales vayan a perder su valor, sino que las entidades tendrán que prepararse para resolver las nuevas demandas de sus clientes.
Exceda Insights / Edición Exclusiva para Banca / Julio 2017
Alineados en busca de una mejor experiencia digital Hacia el 2020, según Cisco, el 79% del consumo mundial de internet será el video, razón por la cual bancos y retail están potenciando sus plataformas para garantizar la misma o una mejor experiencia que en una sucursal.
El 2017 es el año para fortalecer la experiencia usuaria en Banca Digital y mCommerce. La tendencia indica que cada vez más, los usuarios realizan sus transacciones bancarias en ambientes web, y por ende, exigen una experiencia de navegación y transacción segura y confiable, eficiente, ágil y amigable. La industria chilena mantiene una deuda con las plataformas móviles y si bien ello es más evidente en el retail, la banca tiene mucho en qué innovar. Sabemos que la penetración de los móviles es veloz y que los smartphones son hoy accesorios de primera necesidad, y según Cisco se estima que al 2020, un 79% del consumo de mundial de contenidos en internet será en formato de video (respecto de un 63% en 2015), lo que obliga a todas las industrias a mentalizar nuevos formatos de mensajes para sus audiencias estratégicas. La calidad de la conexión, el tiempo de respuesta de cada sitio y los aspectos de seguridad, compatibles con todo tipo de dispositivos móviles, son los factores que la industria trabaja para una debida evolución en la bancarización digital. Según una publicación de Revista Forbes, el 82% de la gente dejaría de realizar transacciones con una empresa después de un tercer intento frustrado. Asimismo, ante buenas experiencias construyen relaciones con las marcas y se convierten en sus defensores leales, aunque solo el 46% se proyecta utilizando los servicios de su actual institución financiera o bancaria en los próximos años. Esta tendencia al cambio representa un riesgo para las instituciones
financieras, dado que el costo de captar a un nuevo cliente sería 5 veces mayor que retener a los ya existentes. En el mismo sentido, un estudio de McKinsey & Company, señaló que hacia el año 2019 cerca del 30% de los consumidores buscarán de manera proactiva los productos de la banca a través de plataformas online. Diez millones de personas toman decisiones de consumo basadas en Internet, las tiendas online se duplican, mientras que un 15% de las tiendas físicas cerrará hacia el año 2026. Así, Internet se pone al centro de la estrategia de negocios.
7
Exceda Insights / Edición Exclusiva para Banca / Julio 2017
OPINIÓN
Generación “Millennials” como aliada de la Banca Por Rodolfo Labarca, Gerente Técnico de Exceda
bancos, aseguradoras e instituciones financieras necesitan entender y aprender a cómo atraer a esta nueva generación de potenciales clientes. Un reciente estudio de Latinia (fabricante de software de notificaciones financieras multicanal), informa que el 40% de los Millennials jamás ha pisado una sucursal bancaria. La misma fuente señala que el 53% de los encuestados no piensa que su banco sea especial y por tanto, 1/3 estaría dispuesto a cambiar de entidad. En Chile, los Millennials suelen informarse por Facebook y Twitter, lo que ha redirigido la estrategia bancaria y su transformación digital en base a banca móvil y experiencia del usuario. Perder el foco en los Millennials significa una gran riesgo, pero si la estrategia del negocio está bien direccionada, se puede ganar a clientes leales de por vida, potenciales defensores de la marca.
Los llamados Millennials o generación hiperconectada, conformada por jóvenes nacidos entre los años 1981 y 2000, representarán el 75% de la fuerza laboral y unos 170 millones de personas en el mundo, un tercio de la población mundial. Como segmento, siempre están conectados a sus smartphones, esperan inmediatez en sus experiencias digitales, y pasan mucho tiempo buscando productos y servicios online. Representa el 86% de los propietarios de un smartphone, 1 de cada 5 utiliza únicamente los dispositivos móviles para conectarse a internet, y su tiempo de espera frente a un sitio no supera los 3 segundos, sea en smartphones, tablets, Laptop o PC. Por todos estos motivos, los
8
1. Los Millennials están siempre online y esperan inmediatez. Esta generación es hiperconectada y ha crecido con la tecnología a su alcance. Representa el mayor segmento de propietarios de smartphones (el 86% es propietario de un Smartphone), se define por su estilo de vida de acceso y comodidad (1 de cada 5 utiliza únicamente los dispositivos móviles para conectarse a internet), espera que las páginas carguen a la misma velocidad en todos los dispositivos y no en más de 3 segundos (smartphones, tablets, Laptop, PC), y realmente posee mayores expectativas de performance que los compradores online. Si experimentan un problema con su cuenta bancaria, póliza de seguro o tarjeta de crédito, espera soluciones a un click, sin necesidad de espera ni llamadas.
Exceda Insights / Edición Exclusiva para Banca / Julio 2017
2. Los Millennials esperan autenticidad. Demandan experiencias superiores, consistentes y confiables. El 82% de la gente dejaría de realizar transacciones con una empresa después de un tercer intento frustrado, mientras que casi una cuarta parte de los Millennials boicotearía una empresa después de solo una mala experiencia. Asimismo, ante buenas experiencias se convierten en sus defensores leales. De acuerdo a la revista Forbes, el 67% de los Millennials utilizarían los servicios financieros online de una marca que conocen y confían (como Apple, Google y Nike), incluso si la misma no es conocida por brindar estos servicios o productos. Solo el 46% se proyecta utilizando los servicios de su actual institución financiera o bancaria en los próximos años. Esta tendencia al cambio representa un riesgo para las instituciones financieras, dado que el costo de captar a un nuevo cliente sería 5 veces mayor que retener a los ya existentes. 3. Los Millennials realizan búsquedas previas a la decisión de compra. Esta generación navega, compara y utilizan herramientas de búsqueda de ofertas con tarjetas de crédito, cupones de descuentos, préstamos personales, y demás acciones online, antes de decidir una compra. Comentan en redes sociales y pueden estar muy influenciados por las opiniones y decisiones de compra de otros usuarios. Esperan poder buscar servicios bancarios a través de todos los canales y demandan información instantánea. Las instituciones financieras pueden conseguir beneficios sustanciales para el negocio cuando se trata de los Millennials. Un cliente completamente comprometido a diferencia del que no lo es, puede proporcionar hasta un 37% más de ingresos anuales a su banco principal, poseer más productos y mantener un saldo altos en su cuenta. El desafío es identificar y hacer el mejor uso de las tecnologías que permitan potenciar y construir relaciones beneficiosas en términos de mayores tasas de retención, ingresos, y finalmente el valor del cliente en el largo plazo. Las instituciones financieras harán bien en escucharlos, concentrándose en aspectos de su interés como la seguridad, la performance, la simplicidad y facilidad de uso. La clave es generar una insuperable experiencia digital.
9
Exceda Insights / Edición Exclusiva para Banca / Julio 2017
La industria del ciberataque y su estrategia maliciosa contra la banca Inhabilitar la red, robar datos vulnerables, interrumpir los servicios y dañar la imagen y confiabilidad de un banco, son los principales objetivos de la industria del ciberataque.
Como era de esperar, desde que los servicios financieros migraron para Internet, la seguridad ha sido una de las principales preocupaciones. Incluso hoy el miedo al robo de datos y sobre todo del dinero, limita aún más la adopción de los servicios de la banca en línea, misma situación que sucede con un sistema financiero y tecnologías tan avanzadas como las que existen. Instituciones financieras multinacionales son constantemente víctimas de ataques en Internet. Entre 2012 y 2015, por ejemplo, una banda de ciberdelincuentes en Escocia invadió diversas instituciones del mercado financiero, como el banco JP Morgan Chase que enfrentó un robo de datos de clientes de alrededor de 85 millones de cuentas, uno de los ataques más grandes jamás perpetrados contra el sistema financiero. En el sector financiero de América Latina, los ataques siguen la tendencia global, concentrando gran parte de los mismos principalmente en tres tipos:
10
Ataques DDoS Un ataque de denegación de servicio distribuido (DDoS, del inglés, Distributed Denial of Service) tiene como objetivo agotar todos los recursos dedicados a un servicio; con eso puede por ejemplo, impedir el acceso de usuarios a una plataforma Home Broker o Banca en línea, o a una aplicación web crítica para los negocios de la empresa. En 2015, alrededor del 57% de las instituciones financieras afirmó haber sido
víctima de este ataque, al menos una vez. Es la proporción más alta en todos los sectores de la industria. El ataque DDoS se combate principalmente con alta capacidad de absorción del tráfico ilegítimo y entendimiento rápido de los orígenes y las características del ataque, lo que permite filtrar el tráfico sin interrumpir o ralentizar el tráfico legítimo de sus clientes; identificando, aislando y mitigando el ataque. A menudo, los hackers hacen varias pruebas para identificar las vulnera-
Segmentación países con ataques de aplicación web, State of Internet Report/ Akamai Q3 2016 Otros 7% China 1% Francia 1% Malasia 3% India 3% Japón 3% Australia 3% U.K. 3% Alemania 5% Brasil 5%
EE.UU. 66%
Exceda Insights / Edición Exclusiva para Banca / Julio 2017
Top 10 Países fuente de ataques DDoS State of Internet Report/ Akamai Q3 2016
un servicio a otro lugar donde tiene el control. De esta forma, el usuario es direccionado a una copia de la página que desea acceder con el gran objetivo de tener sus datos privados recolectados.
30 29.6 25
Porcentaje
20
21.6
15
16.2
10 8.7 5 0
China
EE.UU.
Reino Unido
Francia
4.9
4.1
3.9
3.8
3.8
3.6
Brasil
Corea
Singapur
Japón
Vietnam
Alemania
bilidades del sitio antes de lanzar un ataque a gran escala y con frecuencia retroceden al identificar los recursos utilizados por la empresa como una CDN a gran escala, que no permitiría concretar un ataque con éxito.
de exploración comunes, con una tasa muy baja de falso-positivos, accesos válidos que pueden en función de su formato, ser interpretados como maliciosos.
Ataques a aplicaciones web
Otro tipo común de ataque en el sector bancario son los dirigidos al DNS (Servicio de dominio) del portal, ya sea para causar falta de disponibilidad o como los llamados de “DNS Cache Poisoning “ (Envenenamiento de caché DNS), donde el atacante bombardea el servicio y consigue cambiar los datos, llevando a los usuarios de
SQLi (inyección de SQL) y XSS (Cross Site Scripting), entre otros, son vectores de ataque a la capa de aplicaciones web. Su objetivo es manipular el contenido y la base de datos de los sitios web para robar información, causar daños a las marcas, y forzar a los usuarios a ceder sus credenciales de acceso, por mencionar algunos propósitos. Para evitar este tipo de intrusión existen servicios en la nube que implementan un WAF (Web Application Firewall), que extiende el perímetro de protección fuera de la infraestructura, asegurando que los ataques sean mitigados de forma automática antes de que lleguen al proveedor de servicios. Los parámetros de seguridad de este tipo de herramienta utilizan un conjunto de reglas, extremadamente confiable, que detectan y previenen técnicas
DNS Cache Poisoning
En particular, los ataques DDoS han generado gran preocupación entre las empresas bancarias, ya que al contrario de los ataques específicos a aplicaciones, éstos se utilizan típicamente como una forma de extorsión o para atraer la atención del equipo de seguridad y operaciones, mientras que otros ataques más sutiles y como resultado más costosos, son ejecutados discretamente. La buena noticia es que tanto éstas como las otras formas de ataques citadas tienen solución. La computación alojada en la nube ofrece numerosas alternativas para proteger el entorno virtual de punta a punta. Es la única que ofrece esta posibilidad, y presenta altos niveles de mitigación por ser automática y altamente escalable, con capacidad virtualmente ilimitada.
Top 10 Países fuente de ataques de aplicación web State of Internet Report/ Akamai Q3 2016 España 2%
Otros 26%
Lituania 3% Francia 3% Bulgaria 3% China 5%
EE.UU. 20%
Alemania 5% Brasil 6% Rusia 9%
Holanda 18%
11
¿SABÍAS QUÉ?...
Chile es el quinto país en América con más intentos de ciberataques El ranking es liderado por Estados Unidos, Brasil, Canadá y México. Retail y Banca son los blancos de estos ataques y se observa un aumento en aquellos de robo de datos y una caída en aquellos de denegación de servicio, que buscan indisponibilizar un sitio.
Chile ocupa el quinto lugar en toda América con mayores intentos de ataques, luego de Estados Unidos, Brasil, Canadá y México, según el Reporte State of Security & Internet Q4 2016 de Akamai Technologies–representado por Exceda en Latinoamérica-. El documento también confirma un total de 193 mil dispositivos infectados en Chile en 2016, fijos y móviles; cuando en 2015 no superamos los 10 mil. Estados Unidos superó los 97 millones, seguido por Brasil (19.379.729), Canadá (8.519.773) y México (1.055.756). La causa apunta al Internet de las Cosas y la hiperconectividad no segura de computadores, tablets, celulares, cámaras y smart TV`s. Sin ir más lejos, el último Cyber Day (mayo de 2017) logró mitigar 30 millones de ataques al sitio web oficial habilita-
12
do por la Cámara de Comercio de Santiago para el evento, sin embargo, varias marcas participantes experimentaron caídas de sus propios sitios, que promediaron 66,88 minutos y el peor sitio alcanzó 29 horas de indisponibilidad. Una situación como esta en un escenario esperado por muchos durante todo el año, representa lo mismo que cerrar las cajas de una multitienda en vísperas de Navidad. La experiencia del usuario en estos eventos, es tan determinante que puede significar que nunca más visite un sitio o compre en éste. En cuanto a la seguridad, las empresas aún no dimensionan el costo que puede tener un ciberataque para su negocio, ello considerando que el acceso a datos privados y la indisponibilidad de un sitio, pueden significar el fin de una marca.
Exceda Insights / Edición Exclusiva para Banca / Julio 2017
En el mercado existen tres opciones para abordar el problema de la seguridad en Internet: desde un servicio On Premise en el data center, un servicio del proveedor carrier de un Clean Pipes, o un servicio on cloud, de un Scrubbing Center o del modelo CDN, red de entrega de contenidos. Todos los sistemas de seguridad tienen ventajas y desventajas, pero sin duda lo más importante, es no complicarse comprando maquinarias que una vez alcanzado el umbral de un ataque, colapse y caiga el sitio, o que queden obsoletas; y más bien lograr un enlace en la nube, capaz de detectar un ataque de cualquier tamaño en su punto de origen y mitigarlo a tiempo.
Los servicios on cloud han demostrado tener un enlace virtual que escala automáticamente según el volumen de un ataque, sin la necesidad de intervenir la red interna de una empresa. El modelo de Scrubbing Center detecta comportamientos anómalos y los deriva, para luego filtrar el sistema sin perder el tráfico. Asimismo, el modelo bajo la red de entrega de contenidos (CDN) permite acelerar el contenido bajo demanda y detener el ataque en su origen, gracias a un sistema de geolocalización. Seguridad perimetral en vez de indoor es la tendencia internacional, donde sectores como banca, retail y gaming, ya atienden sus necesidades de seguridad.
13
Exceda Insights / Edición Exclusiva para Banca / Julio 2017
“Desde 2011 descansamos en un partner tecnológico y nosotros nos concentrarnos en el eCommerce” George Lever, Director Centro de Estudios Economía Digital – Cámara de Comercio de Santiago de Chile (CCS).
eventos Cyber Day y Cyber Monday, eventos masivos de comercio electrónico que agrupan a más de 140 empresas o marcas.
La Cámara de Comercio de Santiago es una asociación empresarial que representa a más de 4 mil empresas chilenas de diverso tamaño y sectores, principalmente dedicadas al comercio y servicios. Cada año organizamos los
14
En 2011 alineados con el Black Friday de Estados Unidos, partimos con este ciclo de eventos con muy altas expectativas y con muy buenos resultados. Pese a ello, el primer año experimentamos la caída masiva del sitio central de la campaña e individual de algunas empresas, abriendo el desafío tecnológico. Desde entonces Exceda ha sido nuestro partner tecnológico y nunca más sufrimos caídas a pesar del flujo creciente y la cantidad de intentos de ataques, demostrando la adopción de buenas prácticas tecnológicas para
soportar el alto tráfico. Teníamos que asegurar disponibilidad en un 100% y esa tarea debe ser manejada por un especialista. Desde 2011 descansamos en un partner tecnológico y nosotros nos concentrarnos en el eCommerce. La primera hora se lleva el 15% de las visitas de los 3 días, esos primeros 5 minutos son cruciales y muy intensos, lo que requiere una alta capacidad. Exceda además nos provee servicios de información en ataques, disponibilidad, visitas e intensidad de móviles para coordinar las capacidades del sitio. Además ha facilitado la evaluación para detectar casos críticos de infraestructura, incluso gratuitamente a ciertas pymes, para colaborar en el éxito de la campaña.
Exceda Insights / Edición Exclusiva para Banca / Julio 2017
OPINIÓN DE EXCEDA CHILE
¿Qué aprendimos tras 6 años de eventos masivos de eCommerce? Por Rodrigo Valdés, country manager de Exceda, socio tecnológico de CCS en Cyber Day y Cyber Monday
Los temas de seguridad están en la palestra desde hace un tiempo ya en nuestro país y en ese contexto Chile encaró una nueva versión de Cyber Day, el hasta ahora segundo evento más importante del eCommerce nacional organizado por la Cámara de Comercio de Santiago. Eso hasta que se posicionó como el evento masivo líder de internet, con millones de visitas, transacciones y el récord de 165 marcas participantes. Y si bien el 85% de las empresas adhirieron al manual de buenas prácticas en materia tecnológica para garantizar el éxito de sus sitios web, un no menor 15% restante fue responsable de caídas que promediaron 66 minutos con 38 segundos, y en el peor de los casos, 29 horas, una cifra inadmisible en un evento de esta envergadura que dura 3 jornadas y re-
gistra ganancias similares a Navidad. Invertir en seguridad es hoy una necesidad de primera línea, dado que una marca depende de la confianza y la credibilidad que transmite a sus clientes. Los estudios de la industria señalan que los usuarios son cada vez más exigentes: no esperan más de 3 segundos a que cargue un sitio o un video, y así como adoran a una marca, una mala experiencia web puede eliminar segundas oportunidades. Siendo así, desde los datos personales más sensibles hasta su experiencia de navegación y compra en un sitio web, deben ser condiciones prioritarias dentro del plan de todo negocio online. No hablamos de un lujo de grandes empresas, ya que pocos comprenden
aún, que en la medida que el tráfico de un sitio se eleva, los aspectos de seguridad y rendimiento de una web, pueden ser controlados a nivel de pymes o de grandes marcas. Todas las empresas pueden tener seguridad anclada en la nube y resistir cualquier tipo de ataque y todas pueden acelerar sus sitios con una CDN (red de entrega de contenidos web) a pesar de las alzas en las visitas a su sitio. Las empresas chilenas en un 70% no cuentan con medidas de seguridad suficientes para enfrentar un ataque y el último Cyber Day registró casi 30 millones de intentos de ataques solo al sitio oficial del evento, todos mitigados en su punto de origen; sin embargo,
15
Exceda Insights / Edición Exclusiva para Banca / Julio 2017
negación de servicio distribuido, que busca indisponibilizar un sitio; en 2016 y 2017 se originaron principalmente en botnets de Chile, y si bien el año anterior le siguieron Brasil, Estados Unidos y Rusia, este año a Chile, le siguieron Estados Unidos, China, Hungría.
aquellas empresas que han sufrido caída de sus sitios o interrupción de su red, pocas lo admiten y las que lo hacen, desconocen la causa. Es precisamente esta ceguera cognitiva la que hace más difícil evangelizar en Chile sobre seguridad web. Las botnets, responsables de la mayor parte de los ataques abatidos, confirman que nuestro mercado es un objetivo de interés para los hackers, y no hablamos de que busquen robar claves o el rescate por datos encriptados, sino perjudicar la imagen de eventos masivos de esta talla o la imagen de marcas de prestigio. El ciberdelito es una industria altamente dinámica, compleja y creativa, que cada minuto genera un nuevo tipo de ataque y eleva el volumen del umbral de impacto, por tanto la industria no tiene más opción que activar barreras perimetrales de seguridad, que detecten el ataque en el
16
IP de origen, sin importar su localización geográfica, y así proteger la red corporativa local. Los indicadores hablan por sí mismos, considerando solo a Cyber Day; en su versión 2016 participaron 96 empresas y este año 165, las visitas de 2016 superaron los 2.800.000 usuarios y este año registró una caída leve a 2.654.621, y los accesos desde móviles en 2016 fueron de 51,1% y este año 50.9%, consolidando este canal en el comercio electrónico. Sin embargo, lo sorprendente es que en 2016 se mitigaron 9 millones de ataques al landing page y este año casi alcanzan los 30 millones, mientras que Cyber Monday 2016 contabilizó 15 millones de intentos maliciosos. Hablamos de un 5% de tráfico exclusivo de hackers durante el evento. En ambos años, los ataques mitigados fueron en su mayoría DDoS o de de-
A diferencia de otros años, se observaron mejoras incorporadas en el comercio desde dispositivos móviles, acercando la brecha en la experiencia usuarias desde móviles y desktop, que este año ocuparon sus plataformas para navegar y comprar, pese a que aún existen amplias posibilidades para mejorar la transacción financiera, dado que algunos operadores bancarios exigen hasta 6 pasos antes de concretar la compra. Estamos pisando una delgada línea si consideramos el continuo riesgo de perder un usuario móvil conectado ante tantas preguntas y requerimientos, que podría agilizar su transacción desde un computador estático. Precisamente los estándares de calidad y seguridad, ayudarían a igualar la experiencia de compradores online, sin importar la plataforma que escoja. Las industrias del eCommerce y mCommerce, el gaming y la banca son los sectores predilectos para los atacantes, por ello capacitar acerca de tendencias, tipos de ataques, seguridad on cloud v/s on premise, performance, omnicanalidad, comportamiento del comprador online, transformación digital y el Internet de las Cosas, constituye el primer paso para mejorar año tras año la experiencia de los eventos “Cyber”. Toda experiencia es aprendizaje, vamos por más!
Exceda Insights / Edición Exclusiva para Banca / Julio 2017
“Nos da tranquilidad saber que el sitio atiende a clientes reales y no a robots” Francisco Irarrázabal, Gerente Corporativo eCommerce Ripley Desde que trabajamos juntos se destaca el beneficio de la velocidad de descarga y la conversión dinámica de imágenes, que hacen que la experiencia de navegación desde celulares sea muy buena. Logramos así que el cliente vea más páginas y productos, y hemos controlado los ataques de denegación de servicio y también otros más sofisticados. Uno no debe preocuparse del ataque, sino del negocio y de entregar el mejor servicio a nuestros clientes. Exceda conoce su negocio y entrega un nivel de soporte
extraordinario que evidencia conocimiento técnico y buenos tiempos de respuesta. Hemos aprendido de eCommerce. Queremos ser canal de marketing y distribución, y tenemos proyectos de expansión de categoría, con más servicioss de despacho y entrega. Sabemos que siempre hay ataques, pero lo importante es no recibirlo, sino que llegue a una represa aguas arriba. Nos da tranquilidad saber que el sitio atiende a clientes reales y no a robots.
“Fuimos de los pocos sitios que no se cayeron y alcanzamos 130 mil visitas diarias en el evento” Daniel Gutiérrez, propietario Punto Mascotas (Pyme) Hace algunos años nos dimos cuenta que las personas no quieren ocupar su sábado para comprar lo necesario para su mascota. Así, partimos en el 2011 con un local pequeño, una web potente y bodegas tercerizadas…un sistema bien improvisado, pero un sitio de productos con foco en alimentos. Desde entonces buscaba un sitio amigable y que no requiriera de muchos clics,
mientras que mi desafío era la tarea logística. En 2015 nos arriesgamos a participar en Cyber Monday y Exceda nos ayudó a implementar las herramientas Akamai. Fuimos de los pocos sitios que no se cayeron y alcanzamos 130 mil visitas diarias en el evento. Hasta entonces no sabía ni lo que era una CDN y he visto que es un salto en la experiencia del usuario.
17
“Hemos logrado una mayor estabilidad ante los crecientes ataques DDoS” Marco Antonio Spadoni, Superintendente de TI en Getnet dad de los recursos que utilizábamos. El resultado fue una mayor estabilidad en el bloqueo de ataques, la reducción de los tiempos de descarga y la respuesta positiva de los clientes que percibieron la mejora.
Especializada en transacciones en línea, Getnet tenía el reto de mejorar el rendimiento de sus aplicaciones web y hacer más seguros no solo los procesos orientados a los clientes, sino también a la estructura de back office. Es por eso que buscamos en Exceda las herramientas para reforzar la seguri-
18
Hemos logrado una mayor estabilidad ante los crecientes ataques DDoS. Tenemos un informe que muestra los intentos de ataques y cómo están siendo bloqueados en el origen, lo que se traduce en resultados tangibles para Getnet. Del mismo modo, mejoramos los tiempos de espera y descarga para nuestros usuarios internacionales, que dieron lugar a resultados positivos para la compañía. La migración hacia la plataforma Exceda no afectó el tráfico en los sitios
Getnet, incluso en aquellos de comercio electrónico cuyo volumen de tráfico multipló las ventas en eventos masivos de Internet como Black Friday. Getnet es una compañía del Grupo Santander, con más de 12 años de experiencia en el mercado, responsable de las transacciones electrónicas. Buscábamos la mejor manera de aumentar la seguridad de las transacciones de nuestros clientes y mejorar el rendimiento de las aplicaciones web. Después de una prueba de concepto, concluimos que Exceda era la mejor opción para lograr nuestros objetivos y que la implementación del servicio no intervendría en el alto volumen de transacciones realizadas diariamente por la empresa.
Exceda Insights / Edición Exclusiva para Banca / Julio 2017
“Ya no debemos pensar solo en la seguridad de una sucursal física, sino debemos protegernos del mundo” André Pires, Responsable del Área de Seguridad del Banco Santander Desde 2015 estamos muy enfocados en la banca digital y por ende invertimos en seguridad tecnológica. El gran problema no es la seguridad física, ya que eso es enfrentar un riesgo local, en cambio la seguridad virtual, es asumir que estamos abiertos al mundo. El robo de claves es lo más frecuente. En este sentido, Akamai nos entrega servicio de CDN, una capa de protección adicional. Antiguamente el cliente accedía directamente al sitio
y hoy pasa por un filtro de seguridad de Akamai que además nos permite soportar muchas más transacciones y acceso a la banca digital, y en caso de ataque, este va a la capa de seguridad de Akamai y no a la red de nuestro banco. Hay una mejoría notable en performance, rapidez y visibilidad, y el soporte constituye asistencia personalizada, incluso en altas horas de la madrugada he recibido la ayuda necesaria y eso marca la diferencia.
“En solo un mes de uso, registró mejoras del 40% en las consultas realizadas a través de la web” Matheus Polli, gerente de TI de Brasil Pré-Pagos Brasil pre-pagos es una entidad de pago, cuya insignia son las tarjetas Pre-pago de todo tipo. Buscando reducir el tiempo de respuesta para operaciones tales como transacciones financieras y consulta de datos, la compañía descubrió las soluciones de Exceda. El problema principal era que el procesamiento de las tarjetas tiene lugar entre los servidores ubicados en Virginia (EE.UU.) y Singapur. Era necesaria una solución que fuera capaz de reducir la lentitud de respuesta debido a la distancia entre los servidores y los sitios de llamadas de los clientes.
Con la adopción de la herramienta Dynamic Site Accelerator (DSA) desarrollada por Akamai y ejecutada por Exceda para la aceleración de sitios web interactivos, la compañía fue capaz de optimizar la ruta entre los servidores. En solo un mes de uso, registró mejoras del 40% en las consultas realizadas a través de la web. Estamos muy satisfechos con el servicio prestado por Exceda durante todo el proceso, y con los resultados obtenidos hasta el momento. Además de minimizar cualquier posible lentitud en la ruta, esta solución se complementa a las normas de seguridad de la
industria de tarjetas, que son muy estrictas. En combinación con una serie de acciones y estrategias de venta, la iniciativa ha logrado alcanzar una optimización que va del 33% al 68% en el tiempo de respuesta.
19
Exceda Insights / Edición Exclusiva para Banca / Julio 2017
Protagonismo de la comunidad móvil Según un estudio de eMarketer, cerca de 10.1 millones de personas en Chile, 56.4% de la población, tendrán un Smartphone en el 2018.
Investigar, comprar, conocer y saber; todo en un mismo dispositivo. En América Latina, los teléfonos inteligentes ya son mayoría entre consumidores de todas las edades. En los últimos cuatro años, las tecnologías 2G y 3G comenzaron a ser reemplazadas por teléfonos con mayores prestaciones a un ritmo vertiginoso. Como referencia, según información de la Cámara de Comercio de Santiago, el consumo en Internet a través de teléfonos inteligentes se ha elevado al 15% de participación de las ventas por Internet en 2017. En Chile, 16.660 millones de celulares fueron importados en 2016, convirtiéndose en el segundo producto más importado, luego de los combustibles. Según un estudio de eMarketer (abril de 2017), cerca de 10.1 millones de personas en Chile, 56.4% de la población, tendrán un Smartphone en el 2018. En todos los segmentos de con-
20
sumidores, los smartphones ya son mayoría en las principales ciudades de la región, y se están transforman en uno de los canales predilectos para comunicarse. En Chile, Argentina, Colombia, México y Perú, una encuesta de TNS para Google en 2015, mostró que, según el país, entre 17% y el 29% de los consumidores utilizan el teléfono móvil para comprar; y entre 32% y 45% para saber sobre un tema. Además, los celulares son el dispositivo preferido para el micro-momento “quiero ir” en toda la región. En Chile, por ejemplo, 78% prefiere el smartphone a otros formatos cuando buscan indicaciones para trasladarse. Es importante que las empresas logren maximizar la experiencia que obtienen sus usuarios mientras navegan sus sitios en los distintos dispositivos, debido a que hoy en día el mercado demanda estar presentes en cada momento
Exceda Insights / Edición Exclusiva para Banca / Julio 2017
en el que el usuario o consumidor potencial busca información de un producto o servicio.” Si bien los teléfonos inteligentes son usados por personas de todas las edades, la expansión de 2016 se debería mayormente a los usuarios más jóvenes (incluso menores a 12 años) y a los adultos mayores (más de 65 años).
Los dispositivos móviles inteligentes exigen generar nuevos contenidos. Las proyecciones para 2020 es que el tráfico de datos móviles sea en un 75% reproducciones de video. De acuerdo al informe, la velocidad de las conexiones móviles en varios países de la región se multiplicará por cuatro o más para fin de la década.
Los teléfonos inteligentes son sinónimo de otras variables claves como ‘aplicaciones’ y ‘alta velocidad de conexión’. La tendencia es confirmada por 5G Américas, una organización sin fines de lucro de la industria de las telecomunicaciones inalámbricas, que publicó un estudio en que señala que Uruguay, Chile y Argentina liderarían el ranking regional de adopción de telecomunicaciones, con 56%, 20% y 16% de penetración respectivamente. Le siguen Brasil (16%), Perú (15%), Colombia (10%) y, con 9%, Bolivia y Ecuador.
En este sentido, un informe de Forrester Research, consultora especializada en tecnología, recomienda a los directores de marketing, estrategias omnicanales donde los móviles tengan un rol protagónico. Asimismo, señala que el 60% de los consumidores que se vinculan con una empresa establecen contacto por múltiples canales, ya sea correo electrónico, sitio web institucional, teléfono móvil, redes sociales, entre otros.
21
EVENTOS Encuentros del Mercado
Ciberseguridad, interés compartido en la industria nacional La Cámara de Comercio de Santiago (CCS) en alianza con Exceda, realizó un Taller de Ciberseguridad para una audiencia de 90 asistentes, representantes de diversas industrias interesadas en conocer los riesgos corporativos ante diversas modalidades de ataques, de los cuales Chile no está libre de ser víctima. Nuestro gerente técnico, Rodolfo Labarca, entregó una mirada local de las industrias más vulnerables y las medidas ancladas en la nube para prevenir el daño, así como evitar daños frente a botnets de la talla de Ramsonware.
Líderes debaten sobre Estrategias de Seguridad Líderes gerenciales de la banca, el retail y el empresariado chileno se dieron cita en un encuentro organizado por CCS y revista TrendTIC, para compartir experiencias y buenas prácticas que ayuden a mejorar los estándares de calidad y seguridad en torno a la información y los sitios web. En un enriquecedor debate, los responsables de la seguridad de compañías como BBVA, Redbank y Metro, colaboraron en la co-creación de información crítica para una mejor toma de decisiones y un mercado más seguro, en tiempos de transformación digital. Junto a Rodrigo Valdés y Rodolfo Labarca, de Exceda; participaron: Alejandro Figueroa, de BBVA; Wilson España, de Redbank; José Lagos, de Cybertrust; Andrés Muñoz, de DirecTV ; Roberto Moreno, de A10; y Jorge Baeza, de Metro.
22
Exceda Insights / Edición Exclusiva para Banca / Julio 2017
Exitosa performance de Exceda en Congreso América Digital Más de un millar de empresas de 22 países participaron en Chile en la tercera edición del Congreso Latinoamericano de Tecnología y Negocios América Digital, el foro sobre telecomunicaciones, innovación, comercio y marketing digital más importante que se realiza en la Región. Exceda tuvo un rol protagónico con un impactante stand con pantalla led gigante, bellas anfitrionas y una conferencia que captó el interés de la concurrencia. América Digital 2017 se preparó por dos años y reunió esta vez a más de 5.000 profesionales que participaron en ruedas de negocios y asistieron a 60 conferencias de expertos internacionales y nacionales. El objetivo del foro fue detectar las nuevas tendencias y compartir las mejores prácticas y soluciones tecnológicas para mejorar los procesos de gestión, comunicación y marketing de las empresas. En su ceremonia de apertura, el ministro de Economía, Luis Felipe Céspedes, expuso los avances de la agenda digital que impulsa el Gobierno. Céspedes explicó que este tipo de foros, en el que participan las principales compañías tecnológicas del mundo, son útiles para que éstas tomen consciencia de que “la tecnología debe estar en el centro de su estrategia. En Chile y la región necesitamos que la innovación y el desarrollo tecnológico sean el centro del crecimiento de nuestras empresas, mientras que el desafío de Chile es desarrollar soluciones tecnológicas en los sectores estratégicos
de su economía, como la minería o la energía solar”, añadió. NUESTRA APUESTA EN LA INNOVACIÓN PREVENTIVA Exceda contó en el Congreso con un imponente stand de 10 x 4 metros, donde generó un espacio íntimo de conversación con los interesados acompañados de un buen café e incluso entrevistas para prensa. En su mega pantalla se transmitió storytelling sobre las necesidades del usuario y la empresa, y se exhibieron testimonios de aliados y clientes estratégicos, entre ellos Cámara de Comercio de Santiago (CCS), Banco Santander, eCommerce Ripley y Getnet. Rodrigo Valdés, country manager de Exceda, tuvo una aplaudida conferencia denominada “Alerta de Ciberataques: ¿Qué esperar después de Mirai y Wanna Cry?”, en la que abordó las alarmantes estadísticas de ataques volumétricos o de fuerza bruta, que superan los 100 gigabyts y que han derribado a marcas tan potentes como Paypal y Netflix, demostrando la vulnerabilidad de marcas que suponíamos tenían herramientas infranquebles de seguridad. Asimismo, Valdés mostró la creatividad, dinamismo y las preocupantes cifras de hasta 30 millones de intentos de ataques en el pasado Cyber Day 2017 en Chile, y la alta tasa de ataques provenientes dentro del territorio nacional, señalando la inminente necesidad de desarrollar una estrategia de seguridad preventiva y no reactiva luego de un ataque, y alineada con la estrategia de negocios.
“A pesar de los logros de soluciones onpremise y cleanpipes, solo aquellas del tipo cloud security han demostrado escalabilidad y disposición de recursos 100% garantizados para combatir ataques de gran volumen sin afectar la red interna de una compañía y manteniendo disponible un sitio web en todo momento. La idea es identificar el ataque en su punto de origen y mantenerlo lejos de su escenario de negocio y operaciones”, destacó Rodrigo Valdés en su exposición.
23
exceda.com
Una nueva visión para
SU NEGOCIO EN LÍNEA_ 5 DE LOS MAYORES BANCOS DE AMÉRICA LATINA CONFÍAN EN NUESTROS SERVICIOS DE SEGURIDAD WEB
BLACK FRIDAY, HOT SALE, CYBER MONDAY Y CYBER DAY
15 DE LOS 20 MAYORES SITIOS DE ECOMMERCE
SOPORTANDO LOS AUMENTOS DE TRÁFICO
DE AMÉRICA LATINA
SIN PERJUDICAR LA PERFORMANCE EN LÍNEA
Sobre Exceda
SEGURIDAD
ESCALABILIDAD
DESEMPEÑO
DISPONIBILIDAD
BRASIL • ARGENTINA • CHILE • COLOMBIA • ESPAÑA • ESTADOS UNIDOS • MÉXICO • PERÚ
Con 15 años de liderazgo en el Mercado Latinoamericano, actualmente más de 400 empresas cuentan con el apoyo 24x7 de Exceda, para maximizar el desempeño y la seguridad de sus sitios y/o aplicaciones web.