El Blog de Enrique Dans - Investigación y opinión acerca de los Sistemas y Tecnologías de Información

MyStrands completa su segunda ronda de financiación con el BBVA como accionista de referencia, que desembolsa veinticuatro millones de dólares. Con los veinticinco invertidos por Antonio Asensio en esta misma ronda hace cinco meses y los aportados por Debaeque en la primera ronda y en su concurrencia a esta segunda, el total aportado asciende a cincuenta y cinco millones de dólares. Lo comenta mi amigo Gabi en el propio blog de MyStrands, el BBVA en su nota de prensa, y también TechCrunch, que salió con la noticia horas antes del fin del embargo y se adelantó incluso al anuncio de la propia empresa.

Lo hemos comentado en otras ocasiones: en un entorno caracterizado por la hiperabundancia de contenidos en el que estos fluyen como si fueran agua o electricidad, una tecnología capaz de proveer recomendaciones ajustadas a las necesidades o intereses de un usuario es algo que por fuerza tiene que valer mucho dinero. La empresa tiene tecnología de desarrollo propio, probada en su aplicación a diversos ámbitos, y además en modo completamente multiplataforma: ordenador, teléfono móvil y cualquier otro dispositivo. Durante este año 2007 ha realizado ventas por un total de doce millones de dólares, en ámbitos además sumamente diversos. Por el lado del BBVA, además, la operación revela una visión estratégica que yo no he visto en ningún otro banco del mundo: para hacer funcionar una tecnología de recomendación hace falta una cosa fundamental, llamada datos. Y si alguien tiene datos de sus clientes, ese es, precisamente, un banco. La idea de aplicar sistemas de recomendación, filtrado e inteligencia de clientes en ese ámbito, y de hacerlo con un apuesta tan ambiciosa como ésta es algo que, sin duda, hay que poner en el haber del equipo de Manuel Castro y David Gracia. Esto no es una inversión cualquiera, sino una incursión en las visiones más vanguardistas sobre el futuro de la banca en su conjunto.

Leo en Barrapunto esta nota sobre una buena entrada en Usolab acerca del uso de tecnologías AJAX en banca, y me enciende una lamparita que me parece que tiene toda la lógica del mundo: entro en mi banco online muy a menudo. Sin embargo, casi siempre hago en él un máximo de cinco o seis procesos, casi todos ellos periódicos y muy repetitivos. Si mi banco me permitiese diseñar mediante AJAX mi interfaz de usuario con ellos de la misma manera que diseño mi página de entrada en Netvibes, por ejemplo, yo sería capaz de situar en mi pantalla de bienvenida todas las operaciones que hago de manera habitual, integrarlas con información externa si soy, por ejemplo, un inversor, tener todo a golpe de un solo clic, poner un teclado virtual si me preocupan los lectores de teclado, etc. Además, la ilimitada variabilidad de la página de acceso de cada usuario, que podría tener su URL personalizada y situar la caja para introducir las claves donde buenamente quisiera, eliminaría prácticamente la posibilidad de phishing o pharming: en el momento en que el usuario “aterrizase” por error en una página falsa, no la reconocería como “la suya”.

Me resulta curioso que los bancos no hayan caído aún en las ventajas potenciales de este conjunto de tecnologías. ¿Será que cuando en un sector como la banca mencionas AJAX, únicamente piensan en el detergente?

Veo en The Register y en ZDNet como el Barclays Bank se dispone a adoptar un novedoso sistema de seguridad para transacciones online basado en el empleo de dos factores de autenticación, convirtiéndolo en uno de los bancos más innovadores y punteros en este sentido. El banco distribuyó el pasado Julio entre cinco mil clientes británicos un lector de tarjetas autónomo no conectado al ordenador, que genera una clave de doce dígitos en sincronía con un servidor central, y válida para una sola transacción. La tecnología está desarrollada por nCipher.

Para explicar en clase los factores de la seguridad suelo recurrir a las categorías “algo que sabes” (una clave, contraseña o dato determinado), “algo que tienes” (una tarjeta con banda física, un generador de contraseñas, un token) y “algo que eres” (tu huella dactilar, tu iris, las venas de tu muñeca). En este caso, el Barclays ha decidido suplementar las claves que el usuario simplemente sabe, pero que otro puede leer mediante sistemas de múltiples tipos (phishing, pharming, lectores de teclado, etc.) con un sistema que el usuario tiene que tener, añadiendo así un nivel adicional a la seguridad muy dificil de superar. Añadir un tercer nivel exigiría dotar a los usuarios de hardware capaz de leer algún tipo de aspecto biométrico, una opción que seguramente fue considerada.

La decisión me recuerda el lanzamiento de la American Express Blue en los Estados Unidos, que traía en el kit inicial un lector que hacía necesario que la tarjeta estuviese insertada en él para poder llevar a cabo la transacción. El artilugio añadía el requisito de la presencia física de banda y proporcionaba un nivel adicional de seguridad, pero el envío de la información podía seguir siendo capturado y clonado, o introducido por error en una página falsa. En este caso, el uso de un generador de contraseñas de tipo token en el que debe introducirse la tarjeta (son necesarios ambos objetos, lector y tarjeta), pero que permanece separado físicamente del ordenador para evitar la intercepción de la secuencia, y que produce además una clave para cada uso mejora sensiblemente el sistema que en su momento adoptó en pruebas American Express.

Seis y media de la mañana, en la sala de espera del AVE, saliendo para Zaragoza a dar una charla en la convención anual de la Confederación Española de Cajas de Ahorros (CECA) sobre la importancia de la tecnología y las visiones contrapuestas de Nicholas G. Carr en su “IT doesn’t matter” y las mías. Mi impresión, completamente subjetiva y sujeta a mis percepciones sobre el resto de los participantes, es que estoy en una mesa redonda francamente interesante, con un buen trabajo de diseño: una caja muy proactiva, con grandes inversiones en tecnología y cuyo área de SI/TI ha evolucionado hasta ser una auténtica empresa de prestación de servicios de IT (aunque su mayor cliente sigue siendo la propia caja) y, al otro lado, otra caja de la que se dice que realiza una inversión en IT moderada, sin intentar ser innovadora, sino más bien orientándose a iniciar proyectos que ya han sido probados en otros sitios, siguiendo la teoría de “los experimentos con gaseosa” o del “innovador prudente” del propio Carr.

Dudo que tenga conexión durante el día, así que es posible que no escriba nada hasta esta noche. La verdad es que cuando RENFE termine el proyecto para ofrecer WiFi en el AVE va a ser una maravilla…

Canasta de tres puntos para los responsables de informática de Ibercaja (vía IBLNews). Echando un ojo a sus logs, se dieron cuenta de que algunas de las imágenes de su página web estaban recibiendo accesos desde mensajes de correo, que ellos además no habían enviado. La práctica es común en casos de phishing, en los que los suplantadores pretenden dar una apariencia legítima al mensaje al incluir vínculos a la página real del banco.

Y, en un alarde de cabeza fría y reación rápida, se les ocurrió, además de avisar a las autoridades pertinentes, una solución muy simple: renombrar las imágenes de su página de entrada, y sustituir las imágenes originalmente vinculadas en los mensajes por imágenes con un texto de advertencia. Con esto, los receptores del mensaje pasan a ver un e-mail con unas imágenes en las que se les advierte de la procedencia ilegítima del mismo, haciendo obviamente imposible que el usuario entre en la página falsa y entregue su usuario y contraseña a no ser que sea el mismísimo jefe de Dilbert.

Interesante artículo en The Register sobre Zopa, el P2P de la banca. Un grupo de ejecutivos de banca abandona Egg, la banca online que revolucionó el panorama de esta industria en el Reino Unido y que tiene casos escritos sobre ella en las principales escuelas de negocios, y desarrolla una idea que de entrada suena provocativa: banca P2P. Tan sencillo como que, en lugar de tener un grupo de clientes que prestan su dinero a un banco y otro grupo de clientes que piden dinero a ese banco, hacer que los clientes presten dinero directamente unos a otros.

Por supuesto, la idea está algo más refinada: Zopa (Zone Of Possible Agreement) examina a los demandantes de crédito, estudia su riesgo (el grupo de análisis de riesgos está formado por profesionales expertos y con experiencia en la banca tradicional, y utiliza datos de las tres principales agencias de riesgo crediticio) y reparte el crédito entre un mínimo de concuenta personas, de manera que el riesgo en que se incurre en caso de impago queda enormemente diluído (y por supuesto, en caso de impago, Zopa tiene acceso a las mismas herramientas de recuperación de deuda que una entidad tradicional). Quien presta dinero decide cuánto quiere prestar, a qué plazo, y con que tipo de interés. Quien lo solicita, puede hacerlo en importes entre las 500 y las 25.000 libras, con un tipo de interés que se calcula en función del riesgo estimado, y sin limitaciones ni penalizaciones en caso de devoluciones anticipadas, etc. A cambio de sus servicios, Zopa se queda con un total de un 1% sobre el importe total de la operación.

La idea surge del estudio detallado de un grupo creciente de clientes, los denominados freeformers, profesionales habitualmente freelance, autoempleados, separados de empresas o instituciones, con niveles de ingresos interesantes, pero sistemáticamente penalizados por los bancos e instituciones financieras al no contar con una nómina estable.

Its target market is people who dislike oppressive, greedy banks, and people who banks dislike for their freeform, suit-dodging, self-employed ways.

Cinco meses después de su lanzamiento en Marzo, Zopa ha levantado bastante dinero de VCs, cuenta con veinticinco mil usuarios registrados, un volumen de crédito de tres millones de libras, ofertas de expansión a más de cincuenta países (aunque parece que el primero serán los Estados Unidos) y un nivel de impagos no alto ni bajo, sino simplemente nulo:

“We ask our lenders to expect some bad debts, but no Zopa borrower has so far missed a payment”

Los tipos de interés no son espectaculares, aunque sí mejores que los del mercado bancario. No está pensado para amantes del riesgo ni para personas que buscan dinero muy barato, sino simplemente para personas a las que no les gustan los bancos, que prefieren ver como su dinero va directo a otras personas en lugar de dedicarse a financiar los impresionantes beneficios de la banca tradicional.Un mercado indudablemente en crecimiento.