¡Hola, Peter! ¿Puedes contarme un poco sobre ti y CertifID?

¡Encantado! Soy Peter Marsh, Director de Seguridad, Cumplimiento y TI en CertifID. CertifID tiene la misión de eliminar el fraude por transferencia bancaria en las transacciones inmobiliarias. Nacida de la experiencia directa con el fraude (nuestro cofundador fue víctima de un incidente de fraude), CertifID es la única empresa dedicada a proteger la industria inmobiliaria a través de una plataforma SaaS de verificación de identidad, cobertura de seguro y servicios de recuperación probados. Al garantizar transferencias bancarias seguras y aseguradas, CertifID ha ayudado a prevenir fraudes por un valor de 80 millones de dólares solo en el último año.

Siendo uno de los primeros clientes de Aikido, ¿cómo nos encontrasteis?

Estábamos a punto de renovar nuestro contrato con nuestra solución anterior, pero ya no éramos partidarios de su oferta (era demasiado cara y generaba muchos falsos positivos). Aikido fue mucho más fácil de manejar, generó muchos menos falsos positivos e incluyó mucho contexto sobre cómo solucionarlos.

Sinceramente, dimos con Aikido por casualidad. Estábamos a punto de renovar nuestro contrato con nuestra solución anterior, pero ya no nos convencía su oferta (era demasiado cara y generaba muchos falsos positivos). Entonces, me pregunté si había alguna alternativa buena disponible e investigué a los competidores de nuestra solución anterior. Así fue como encontramos Aikido, aparecía como una de las alternativas.

Hice una demostración rápida utilizando un repositorio de GitHub y noté que el producto era mucho más fácil de manejar, generaba muchos menos falsos positivos e incluía un amplio contexto sobre cómo solucionarlos.

"Antes de Aikido, la seguridad era un gran desgaste. Nuestra solución anterior nos hacía perseguir demasiados falsos positivos y era difícil de manejar."

Recientemente, CertifID adquirió Paymints.io para facilitar transacciones inmobiliarias. ¿Esto aumentó el escrutinio sobre tu postura de seguridad?

Absolutamente. La adquisición de Paymints.io conllevó preocupaciones de seguridad adicionales, porque cuando una empresa con sede en EE. UU. maneja transacciones financieras, debe cumplir con estrictos requisitos de cumplimiento, incluyendo el antilavado de dinero (AML) y GDPR o HIPAA. Por supuesto, muchos otros países también lo exigen. Es seguro decir que EE. UU. y Europa operan de manera similar: en EE. UU., existen leyes nacionales, pero también diferencias entre estados (por ejemplo, Nueva York vs. California). El equivalente europeo serían las normas europeas frente a las regulaciones por Estado miembro europeo.

Como empresa, nuestro producto principal es la integración de la verificación de identidad en los sistemas de transferencia bancaria y el aseguramiento de transacciones hasta ciertas cantidades. Históricamente, los pagos por transferencia son procesos antiguos y arcaicos donde normalmente solo se necesita un número de cuenta y un número de ruta para realizar un pago, lo cual es muy propenso al fraude. En un mal día, cualquiera puede simplemente entrar en un banco con esos 2 números y realizar retiradas de efectivo sin necesidad de autorización adicional.

En resumen, ¿cómo pueden las soluciones de seguridad como Aikido ayudar a mitigar el riesgo de fraude (virtual)? 

En un entorno virtual, el fraude puede ocurrir de numerosas maneras. Las formas más comunes en que esto sucede son a través de compromisos de correo electrónico, domain squatting... Esto es facilitado por actores criminales (generalmente grupos organizados de varias personas con los recursos adecuados) para cometer fraude. Intentan obtener el control del sistema o modificarlo a su favor.

Aikido desempeña un papel central en garantizar que las transacciones que pasan por nuestro sistema se manejen de forma segura. Cuando veo que aparecen vulnerabilidades, sé que vale la pena investigarlas y puedo trabajar con mi equipo para resolverlas rápidamente. Afortunadamente, todo el equipo tiene una mentalidad de seguridad dada la industria en la que estamos. ¿Y la buena noticia? ¡El año pasado, CertifID evitó que se enviaran 80 millones de dólares a contactos fraudulentos!

¿Cómo sueles decidir la incorporación de nuevas tecnologías a tu stack?

Una de las cosas que busco en las nuevas herramientas: ¿se puede integrar en el día a día actual? Fue genial ver cómo Aikido encajó perfectamente, sin necesidad de modificaciones. 

Fue genial ver cómo Aikido se integró perfectamente en Github, Jira y nuestro sistema de cumplimiento, sin necesidad de modificaciones. El panel de Aikido nos ayuda a informar sobre los SLA y a ejecutar las correcciones a tiempo.

Para elaborar: Aikido está perfectamente integrado en nuestro flujo de trabajo mediante la integración con Github (para el escaneo de código), Jira (tanto para revisiones de PR como para tickets en caso de que no se sugieran autofixes) y nuestro sistema de cumplimiento (proporcionando evidencia SOC2). Antes de Aikido, no teníamos buenos datos sobre los que informar (todavía). Ahora, el dashboard nos ayuda a informar sobre los SLA y la capacidad de ejecutar correcciones de manera oportuna.

¿Cómo se compara Aikido con tu antiguo software de seguridad?

• Aikido agrupa diferentes opciones de detección y remediación de vulnerabilidades (escaneo de terceros, código propio, contenedores, configuración en la nube…) en una única solución intuitiva. Nuestra solución anterior, en comparación, tenía diferentes paquetes, cada uno con un precio distinto.
• Reducción drástica de falsos positivos
• Visualización de datos clara a través del panel de control de Aikido
• La integración con Secure Code Warrior, que proporciona contexto y orientación para la resolución de problemas.

"Una de las principales razones por las que elegimos Aikido es la estrecha colaboración y asociación desde el primer día. Es genial ver a una empresa compañera de rápido crecimiento mejorando siempre el producto y manteniendo abiertas las líneas de comunicación."

¿Cuál es tu característica favorita? 

La corrección automática con IA (que, por cierto, se ha vuelto aún más genial con el código propio).