Seguridad en FinTech: Entrevista con Dan Kindler, cofundador y Director Técnico de Bound

Hola, Dan. ¿Puedes hablarnos un poco más de ti y de Bound?

Hola, soy Dan Kindler, director técnico y cofundador de Bound. Nos centramos en hacer que la conversión de divisas y la cobertura sean baratas, justas y, sobre todo, fáciles. Nuestras plataformas ayudan a cientos de empresas de todo el mundo a protegerse del riesgo cambiario. En la actualidad, aproximadamente la mitad de nuestro equipo está formado por ingenieros.

¿Cómo se sitúa Bound dentro del sector FinTech y en comparación con la competencia?

Antes de entrar en la tecnología financiera propiamente dicha, permítanme explicar cómo nos posicionamos frente a las instituciones financieras tradicionales. Los bancos o brokers tradicionales suelen atender a clientes con grandes equipos de tesorería que valoran las transacciones por teléfono y correo electrónico. Sus intercambios en línea suelen ofrecer únicamente transacciones in situ. Como nuestro objetivo es que la cobertura sea fácil y sin complicaciones, ofrecemos herramientas de cobertura de divisas al contado y al contado para gestionar y proteger sus flujos de efectivo internacionales. En diciembre de 2022, recibimos la autorización de la FCA, una autoridad reguladora financiera del Reino Unido, que nos permite ofrecer productos de cobertura regulados.

Cuando se trata de FinTech, se puede decir que estamos rompiendo fronteras (sí) con la introducción del autoservicio de conversión de divisas online. Empresas como Wise y Revolut han hecho un gran trabajo facilitando las conversiones de divisas online, pero solo se centran en las conversiones "al contado" (o instantáneas). Con Bound, nos centramos en los flujos de caja futuros, en los que ellos no se fijan tanto.

¿Qué finalidad debe tener la seguridad en FinTech?

La seguridad desempeña un papel fundamental en nuestro sector. Al fin y al cabo, tratamos con transacciones financieras que pueden valer cientos de miles de libras/dólares/euros, si no más. En Bound, nuestro volumen de transacciones supera ya los cientos de millones de dólares. Si un riesgo para la seguridad se cuela en nuestro producto -o en cualquier producto FinTech-, es seguro que la c*'t llega al ventilador. Y no cualquier cosa. Dejando a un lado las consecuencias legales, los piratas informáticos podrían robar los ahorros de otras personas, destruyendo empresas y vidas.

Dentro de FinTech, podemos imaginar que las instancias reguladoras o los organismos reguladores gubernamentales están sometiendo a un mayor escrutinio a las empresas que manejan datos de clientes. Cómo ayuda Aikido a hacer frente a esta situación?

La presión para cumplir la normativa es enorme. En el Reino Unido, navegamos constantemente por normativas estrictas como el GDPR y las directrices de la FCA sobre protección de datos y seguridad. Los reguladores esperan que seamos proactivos en la gestión de las vulnerabilidades, sobre todo porque manejamos datos sensibles de los clientes.

Aikido nos ha cambiado las reglas del juego. La plataforma 9 en 1 nos permite cubrir exhaustivamente todos los aspectos de la seguridad de nuestro software. Este enfoque facilita el cumplimiento de los requisitos normativos sin tener que combinar varias herramientas. Una gran ventaja ha sido la reducción de falsos positivos. En un entorno normativo, no podemos permitirnos el lujo de perder el tiempo persiguiendo vulnerabilidades inexistentes. La precisión de Aikido significa que cuando llega una alerta, podemos confiar en que se trata de algo que requiere una acción, lo que es muy valioso durante las auditorías o revisiones de cumplimiento. Además, la claridad de la interfaz de usuario permite a nuestro equipo actuar con rapidez, evitando la complejidad que suele acompañar a las herramientas de seguridad. Garantiza que nos adelantamos a cualquier posible problema de cumplimiento sin interrumpir nuestro flujo de desarrollo".

¿Qué futuras normativas cree que deberían tener en cuenta otros directores de ingeniería y vicepresidentes?

Es probable que la futura normativa británica sobre tecnología financiera se centre en ampliar la banca abierta y mejorar la supervisión de los activos digitales. Con innovaciones como los pagos periódicos variables y un sandbox regulatorio digital, los equipos de ingeniería deben prepararse para normas de seguridad más estrictas y nuevas integraciones de API.

Antes del Aikido, ¿qué le quitaba el sueño en términos de seguridad? ¿Cómo abordabas la seguridad?

Sinceramente, era un lío intentar gestionar diferentes herramientas para cada tipo de comprobación de seguridad. Nos preocupaba constantemente que se nos escapara algo, y el número de falsos positivos lo hacía aún peor. Aikido lo reunió todo en un solo lugar, así que ahora detectamos los problemas reales sin todo el ruido, y nos ha facilitado mucho la vida.

Hemos visto que Bound es uno de nuestros pocos clientes que ha resuelto prácticamente todos los problemas abiertos de los que ha informado. ¿Te ha ayudado Aikido con esto?

Por supuesto. Nos enorgullecemos de tomarnos la seguridad muy en serio (como la mayoría de las empresas, esperemos). Para nosotros, Aikido ha tenido un tremendo impacto en la forma en que abordamos la gestión y corrección de vulnerabilidades. Consideramos que es nuestra única fuente de verdad, y las funciones de deduplicación y prefiltrado de falsos positivos de la plataforma realmente nos ayudan a ver el bosque a través de los árboles. Una vez que aparece una vulnerabilidad real, hacemos que aparezca un desencadenante en nuestro gestor de incidencias (Linear) para asegurarnos de que la solucionamos lo antes posible. El proceso es bastante limpio y está bien integrado en nuestro ciclo de desarrollo, y confiamos mucho en él.

¿Cuál es su experiencia de colaboración con el equipo de Aikido?

El equipo ha sido muy receptivo y nos ha apoyado desde el primer día. Podemos compartir comentarios en tiempo real, hacer peticiones y recibir actualizaciones relevantes del producto a través de nuestro canal conjunto de Slack. En algún momento, pregunté al equipo de Aikido si sabían en qué se habían metido. ¡No dejamos dormir a su equipo de producto en cuanto nos dimos cuenta de que podíamos preguntar todas las cosas!

¿Cuál es su característica favorita?

Dejando a un lado la reducción de falsos positivos, el botón "Importar desde GitHub" está muy bien. Me gusta mucho que todos los repos automáticamente se asignan a un equipo. Podemos mantener GitHub como la fuente de la verdad, mientras que Aikido sin problemas asigna todo en consecuencia.

¿Algún comentario final?

Tuvimos nuestra primera prueba de penetración y auditoría de seguridad de Amazon AWS a principios de este año, que fue muy bien. No obtuvimos nada por encima de un medio (y la mayoría de los medios con los que no estaba del todo de acuerdo de todos modos...). Probablemente habrían encontrado mucho más de interés si no hubiéramos tenido a Aikido gritándonos constantemente, ¡así que gracias por eso!