Este lunes 26 de marzo pasado se produjo una caída en algunos servicios de comercio electrónico, como transacciones online y retiros de dinero en cajeros automáticos, siendo uno de los más importantes aquellos que utilizan la plataforma de Transbank, y que afectó masivamente a usuarios durante el día. Esto puso en entredicho los sistemas de continuidad de servicio y respaldos necesarios para evitar este tipo de situaciones.
Debemos considerar que Transbank es la única empresa administradora de las operaciones de las tarjetas Visa, Mastercard, Magna, American Express, Diners Club, Redcompra y del servicio Webpay, por lo que la concentración de estos servicios (y al no haber aún alternativas masivas diferentes de medios de pago), su indisponibilidad es un tema relevante, sobre todo para la confianza en comercio electrónico.
Sin embargo, no sólo fue la única institución afectada. El Banco Santander sumó la imposibilidad de acceder a cuentas a través de la página web y la aplicación móvil de Santander, con problemas en el procesamiento de transacciones, giros en cajeros y dificultad para acceder a cuentas bancarias, problemas que no se solucionaron sino después de 24 horas, generando con ello los justificados reclamos de sus clientes.
Las cifras asociadas a estos servicios no son menores. Sólo en el mes de diciembre, la industria bancaria registró 98.104.573 operaciones de débito y 35.631.829 en crédito.
Ante esto, la Superintendencia de Bancos e Instituciones Financieras (SBIF) informó que «se encuentra evaluando las razones de la falla que afectó a plataformas transaccionales». La entidad dijo que «se encuentra monitoreando la situación para asegurar el pronto restablecimiento de su funcionamiento, y para evaluar las razones que explican la falla producida, a fin de impulsar que las entidades tomen las medidas necesarias para evitar la repetición de este tipo de situaciones».
Según se informó, el motivo de los problemas se inició cuando se produjo un corte de energía en la zona norte de la Región Metropolitana y ésto generó la caída del data center Liray de la empresa Claro, ubicando en la localidad de Lampa. Esto generó los problemas de funcionamiento en Transbank y Santander, empresas que mantienen alojados ahí sus servicios.
Por otro lado el actual ministro de economía José Ramón Valente, pidió no demonizar la actividad empresarial al comentar la caída general de Transbank. Al mismo tiempo la autoridad explicó que «el Sernac ya ofició a todas las empresas para que expliquen por qué estas cosas ocurrieron, me parece que es el procedimiento adecuado a realizar y, por lo tanto, no colguemos a nadie en la plaza pública antes de realmente ver los antecedentes de lo que ocurrió».
Es decir, para el ministro, frente a una situación como ésta, basta con la actuación de Sernac, lo que no se condice con la importancia que significa hoy en día la economía digital y continuidad de servicios comerciales digitales.
Lo que resulta extraño de esta situación es que según la empresa Claro, es el mejor Data Center de Chile, el cual «se encuentra certificado internacionalmente por el Uptime Institute como Tier III a nivel de Diseño y Facilities. También, cuenta con la Certificación en el estándar de Seguridad PCI DSS Versión 3.1. Los logros obtenidos más recientes son la Certificación de ISO 27001 y el Informe Tipo II de Atestiguación AT801/SSAE16, el cual presentó una “opinión limpia”.
Todo esto cataloga al centro de datos como “concurrentemente mantenible”, permitiéndonos realizar labores de mantenimiento sin afectar o poner en riesgo la operación, respaldando el servicio con las mejores prácticas TI y ofreciendo a los clientes los tres pilares fundamentales de la Seguridad de la Información: Confidencialidad, Integridad y Disponibilidad.»
Sin embargo, la realidad distó mucho de sus características puesto que con un corte de luz (situación absolutamente previsible), su caída afectó en forma transitoria a Transbank, y por más de 24 horas, al banco Santander. La única explicación que ha dado la empresa Claro fue una declaración pública que indica que producto de corte de energía tuvieron una breve suspensión de servicios de alrededor de 15 minutos, lo que no se condice con sus medidas de seguridad y certificación y no existe aún explicación concreta de banco Santander sobre el por qué de la duración de la suspensión de sus servicios.
Esta situación ocurrida me recuerda que en materia de telefonía e internet, tras el terremoto de año 2010, la indisponibilidad de servicios de telecomunicaciones afectó a gran parte del territorio nacional y la razón principal no fue la afectación de infraestructura (torres, antenas) propiamente tal, sino que fue los cortes prolongados de luz y ausencia mayoritaria de sistemas de respaldo energéticos. Fue por esta situación que se debió modificar la ley General de Telecomunicaciones y se creó la figura de infraestructura crítica de telecomunicaciones, en virtud del cual se estableció la obligación a empresas de que algunas antenas consideradas críticas por la autoridad debían tener sistemas de respaldo de electricidad para que en caso de repetirse una situación de emergencia, los servicios se mantuvieran al menos en sectores iluminados por dichas antenas. Esto a permitido que en posteriores situaciones de sismos (con sus correspondientes cortes energéticos), las redes se han podido mantener y servicios han continuado.
La duda es saber si en materia de servicios comerciales digitales o comercio electrónico, existe regulación sobre declaratoria de infraestructura crítica para la continuidad de estos servicios y la respuesta es negativa.
A pesar de esto, la SBIF ha realizado algunas actualización de normas relacionadas al tema. Es así como en diciembre del año pasado, emitió norma sobre externalización de servicios en modalidad cloud computing.
En ella define los servicios en la nube (Cloud Computing) como “un modelo de prestación de servicios, configurable según demanda, para la provisión de servicios asociados a las tecnologías de la información a través de redes, basado en mecanismos técnicos como la virtualización, bajo diferentes enfoques o estrategias de suministro”.
Al mismo tiempo fija recomendaciones y lineamientos sobre contratación de estos servicios, pero sin que sea obligatoria a nivel legal y sólo aplicable a bancos e instituciones financieras.
Se suma a esta normativa, la emitida en enero de este año, cuando publicó una norma sobre ciberseguridad dentro de la gestión de riesgo operacional.
La reacción de las autoridades fue dada por reclamos de usuarios y es así como el Servicio Nacional del Consumidor informó que ofició a Transabank por la caída de su servicio esperando se diera una explicación al respecto.
Por otro lado el actual ministro de economía José Ramón Valente, pidió no demonizar la actividad empresarial al comentar la caída general de Transbank. Al mismo tiempo la autoridad explicó que «el Sernac ya ofició a todas las empresas para que expliquen por qué estas cosas ocurrieron, me parece que es el procedimiento adecuado a realizar y, por lo tanto, no colguemos a nadie en la plaza pública antes de realmente ver los antecedentes de lo que ocurrió».
Es decir, para el ministro, frente a una situación como ésta, basta con la actuación de Sernac, lo que no se condice con la importancia que significa hoy en día la economía digital y continuidad de servicios comerciales digitales.
Probablemente sea necesario realizar una revisión de normativa económica y sectorial para analizar la obligatoriedad de clasificación de infraestructura crítica a diversos data center o sistemas de almacenamiento digital (sobre todo en aquellos servicios monopólicos), para que en caso de una emergencia real (y no tan sólo un simple corte parcial de luz), afecte a usuarios y consumidores.
No debemos descuidar este punto, a pesar que el presidente de la Cámara Nacional de Comercio (CNC), Manuel Melero indicó que «(Son) casos fortuitos, puntuales, que afectan a los consumidores, que dañan a las personas, que nadie quisiera que ocurrieran. Afortunadamente estas cosas ocurren muy de tanto en tanto, son muy lejanas en el tiempo de su ocurrencia, eso revela que somos un país moderno, desarrollado y eficiente».
Minimizar este tipo de situaciones y no ponderar los riesgos futuros, dejando la seguridad sólo en manos de privado sin su obligación respectiva, sólo permite que pueda repetirse situaciones similares sin que existan responsables de estas situaciones.
