Muerte al Screen Scraping y larga vida a las API’s

Muerte al Screen Scraping y larga vida a las API’s

El debate es importante para conocer los puntos de vista, me parece que el punto de partida es el conocimiento profundo del tema y el objetivo que se busca, al menos de manera general funciona muy bien.

Cuando se trata de servicios financieros, juega una variable importante: la SEGURIDAD de la información del cliente.

Hoy estuve viendo una idea interesante, que me llama mucho la atención una propuesta integral de servicios financieros orientada a las necesidades de la Gig Economy, tiene tres variables importantes:

  • Una Fintech lidereada por jóvenes, que pone sobre la mesa una gran experiencia para el cliente y una buena oferta
  • El objetivo que buscan es genial: SuperApp para que te ayude en diversos temas que giran alrededor de la Gig Economy
  • Análisis financiero … donde encuentro una buena intención, pero un riesgo que me ha hecho escribir este artículo

Así que vamos por partes, es un tema técnico de programación, pero se puede explicar de manera simple, pero antes quiero subrayar un par de puntos, para apuntalar mi opinión al respecto:

Punto 1: Se reconoce la oferta para el mercado como algo novedoso, tal cosa se celebra de manera abierta y sin restar mérito alguno

Punto 2: Debemos tener mucho cuidado en nuestra oferta, y nos enfoquemos en resolver desde el punto de vista tecnológico una necesidad del mercado sin tener en cuenta el ecosistema de servicios

 Dicho lo anterior, vamos a las explicaciones:

Screen Scraping

La mejor definición que he encontrado es la siguiente:

“Screen Scraping es una alternativa que funciona al permitir que terceros accedan a cuentas bancarias esencialmente “suplantando” al cliente”

Esto sienta la base importante de mi opinión: suplantación, ahora vamos a algo más técnico para explicarlo mejor, antes de emitir un juicio del texto anterior:

Hacer Screen Scraping consiste en algunos pasos que, enumerados de manera general, en un tema de análisis financiero del cliente para poner un ejemplo en la App de la Fintech, los pasos son:

  1. La primera vez, el cliente debe informar su usuario y contraseña de su entidad financiera al tercero
  2. La aplicación tercera en este caso la Fintech, los toma y los manda al portal web de la entidad financiera del cliente, ingresando “en su nombre”, por eso se dice “suplantando” al cliente
  3. La entidad financiera responde pensando que es el cliente en un navegador web, toda la información de saldos del cliente (en un formato html, javascript y css que los navegadores lo ponen bonito para nosotros)
  4. La app Fintech “rescata” la información del cliente, limpiando lo que no requiere y se queda solo con la información
  5. La App Fintech muestra los datos del cliente y los puede procesar como mejor le parezca
  6. Para las siguientes ocasiones, la App Fintech DEBERÁ guardar los datos de usuario y contraseña del cliente, para no pedirlos nuevamente y lograr recuperar los datos con los pasos descritos anteriormente

NOTA: La entidad financiera ASUME que es el cliente que está ingresando en un navegador web

¿Ahora que pasa si es por medio de API’s en modelo Open Banking?

El cliente OTORGA y tiene conocimiento del permiso a un tercero de su información, pero con un detalle importante: NO informa sus credenciales de acceso solo otorga permisos como lo hacemos con Facebook o Twitter en aplicaciones de terceros.

La entidad financiera tiene conocimiento, control y es responsable de manera conjunta con el cliente, del resguardo y uso de la información, lo cuál está señalado, revisado y monitoreado por la autoridad correspondiente.

En esta relación tripartita, de cliente, entidad financiera y Fintech que usa esta información (por ejemplo) todos los involucrados tienen pleno conocimiento de lo que se comparte y tienen control total de quién lo hace, horario, detalle de información y se puede revocar el permiso a discreción de las partes.

Mi comentario de:

“Muerte a Screen Scraping y larga vida a las API’s en modelo Open Banking”, es primero para atraer tu atención y segundo por el énfasis que a manera de conclusión quiero platicar contigo.

La controversia es la razón de muchos males, de una mala experiencia, de una decisión de cambiarse de entidad, de inseguridad y hablar mal de tal o cuál servicio y un largo etcétera.

En caso de controversia, pensemos en que se filtren los datos de los clientes cuando una Fintech hace Screen Scraping (uso Fintech para poner el ejemplo que vi hoy, pero puede ser un banco, un tercero no financiero o cualquier persona que sepa de esta técnica) la entidad financiera NO se puede hacer responsable de las consecuencias, ya que para fines prácticos es un cliente el que ha ingresado desde un sitio web y no desde un servicio oficial de exposición de datos para un tercero.

No busco el tema legal, solo el momento desde el cliente y el uso que se puede hacer de esta información, no se conoce aún temas de filtraciones que sean graves para hacer honor a la verdad, solo es un riesgo latente en la operación, el tema a tener en cuenta es que esta información de los clientes puede ser comercializada sin su consentimiento para obtener una vertical de negocios adicional, si conoces los saldos su correo y su número telefónico para contacto, puedes generar un análisis de venta cruzada para otras entidades, ofertas de crédito, seguros, inversiones y etc.

El modelo de negocio ofrece innovación, la oferta de cara al cliente es simplemente interesante, se ve un listado de instituciones financieras en el ejemplo de la Fintech que comento, para recopilar información de diversas fuentes y realizar una oferta de análisis financiero, aunque tras bambalinas hay los riesgos latentes ya comentados.

Innovar es necesario y apostar por modelos de nicho de la Gig Economy es en mi opinión una tendencia de cara al futuro inmediato muy acertada, pero debemos asesorarnos en ecosistema de seguridad del cliente, la tecnología nos permite hacer cosas interesantes y nos podemos vanagloriar de ello, pero cuándo trasciende a un tema de riesgo, es donde creo que debemos hacer conciencia.

Muchas gracias por leerme y excelente día.