Conclusiones sobre la caída de RedSys

El pasado sábado 18 de noviembre, se produjo la caída generalizada de los sistemas de pago y Bizum, dejando sin posibilidad de operación a miles y miles de personas y negocios del país. Los motivos todavía no han trascendido, si bien apunta a que ha sido provocado por un fallo interno, pero el análisis que podemos hacer de la noticia no cambia en función del origen de la caída. Es cierto que un ciberataque podría provocar una mayor preocupación de los usuarios de los sistemas bancarios afectados, y más viniendo de un incidente tan grave como el sufrido por Air Europa hace tan poco.

Como uno de los tantos usuarios que nos vimos afectados, me encontraba en unos grandes almacenes cuando, al intentar pagar en la caja, me fue imposible realizar la operación, incluso operando con diferentes entidades bancarias. La primera reacción de la persona que me atendió, fue decir que la incidencia la tenía yo por utilizar el teléfono móvil y no la tarjeta física. Obviamente tras varios intentos tanto en la aplicación móvil como utilizando la tarjeta física por indicación de la dependienta, incluso cambiando de caja, nos fuimos del establecimiento sin finalizar la compra. Esta anécdota la escribo no para hacerles partícipe de mi malestar, sino como ejemplo perfecto de qué sucede cuando falta la disponibilidad de la información en las empresas, y cuál es su impacto desde distintos puntos de vista.

Por un lado, podemos llegar a conclusiones inmediatas desde el punto de vista de las empresas que han sufrido la caída de los sistemas de pago. La primera de todas lógicamente ha sido la imposibilidad de cobrar por sus productos y servicios, ya que muchos clientes como yo mismo, han abandonado los establecimientos confundidos (o indignados según el trato recibido) sin comprar. El impacto de esta caída ha sido por un lado económico, en algunos casos muy importante, pero también operativo. Pensemos en la paralización de los trabajadores de grandes superficies que han dejado de operar en las cajas, así como los procesos de negocio implicados en cobros y pagos. Por último, también existe un subyacente impacto en la reputación de algunas empresas, en especial en los primeros momentos de gran confusión, porque clientes se han sentido mal atendidos o han culpado a los sistemas de la empresa. No puedo calibrarlo ni por asomo, pero el impacto económico seguramente ha sido notable.

Asimismo, tenemos también un ejemplo de cómo los servicios dependen cada vez más y más de terceros. En un anterior artículo comenté acerca de la cadena de suministro y cómo impacta en nuestras operaciones, pero también en las responsabilidades que asumimos. Entiendo que RedSys tiene que dar explicaciones a las más de 50 entidades bancarias a las que da servicio como intermediarios, pero la cadena de suministro es implacable y su fallo ha tenido consecuencias a todos los niveles.

En definitiva, estamos ante un ejemplo del impacto de un incidente de seguridad de la información, que sorprendentemente no ha tenido su origen en un ciberataque (o eso tenemos entendido en estos momentos). La pérdida de la disponibilidad de la información también tiene graves consecuencias en muchos casos, impactando en la economía, operaciones y reputación de las empresas, poniendo a prueba su capacidad de aguantar un evento de seguridad y levantarse exitosamente de éste. Así pues, preparemos nuestras empresas ante posibles eventos que se produzcan en nuestros proveedores y puedan impactarnos, revisemos la responsabilidad que ejerce cada uno en estas situaciones. Por último, no menos importante, debemos comunicar muy bien a los clientes y partes interesada para evitar confusiones, y transmitir tranquilidad y seguridad.

Xavier Ferretjans

Director de BinauraMONLEX

xferretjans@binauramonlex.com