Autora: Catalina Chaparro
Cuando hablamos de datos e información, necesariamente se habla de ciberseguridad y, por ende, de aquellos mecanismos que se utilizan para garantizar su cuidado, protección e integridad.
Una de las técnicas utilizadas para tales fines, se denomina sandox o sandboxing, el cual se encarga de proteger de ataques, todos los sistemas y programas informáticos contenidos en una máquina. De manera que, todo lo que sea objeto de protección se aísla a un entorno controlado de la máquina en el referido “cajón de arena” para que siga ejecutándose con normalidad, en la medida en que la arena lo salvaguarda de golpes provenientes del exterior y, de forma paralela, en caso de que haya un ataque, impide que el virus se siga expandiendo. Así pues, se crea una restricción para que terceros descarguen o accedan a información que no ha sido autorizada por la misma máquina, la cual por supuesto es programada por el ser humano.
Además, tan pronto el malware se activa y comienza a atacar -entendiendo este como cualquier software o virus informático-, el entorno controlado estudia la forma de ataque y las tácticas utilizadas por aquel, para mejorar la eficiencia de su protección, mitigando cada vez más, los riesgos de pérdida, destrucción o uso indebido de los contenidos informáticos. Otra de las aplicaciones del sandbox es durante el desarrollo y creación de softwares, permitiendo aislarlos de todo el sistema operativo mientras se comprueba la funcionalidad de sus códigos fuentes y se verifica que estén libres de fallas.
El origen de los “cajones de arena” se remonta a inicios de los años 70 con la creación de los primeros computadores. Desde entonces, se han utilizado para hacer simulaciones y poner a prueba los programas y sistemas informáticos. No obstante, en la actualidad es que se ha resaltado la importancia de estos entornos aislados, implementado a través de (i) programas como sandboxie en Windows, que desvía los contenidos seleccionados a una carpeta aislada para protección, (ii) sandbox directamente en el código de software del sistema operativo, y (iii) sandbox como plugin – programas complementarios-, a través de Java.
Así es cómo, el sandbox tecnológico se ha convertido en una de las tácticas mas eficientes utilizadas tanto por empresas privadas y públicas, como por los particulares a la hora de navegar, y no solo para realizar pruebas, sino también para contrarrestar el ejercicio de las actividades delictivas por parte de los hackers. Incluso, se utilizan otras tecnologías como Machine Learning para prever los ciberataques y neutralizarlos anticipadamente, o los mismos sistemas cortafuegos conocidos como firewall.
El sandbox es una tecnología atractiva para las Fintech, quienes han optado por utilizar estos entornos controlados para mejorar y automatizar sus servicios financieros a través de sus desarrollos innovadores. Así, a parte de su uso informático y tecnológico que sirve como un entorno de pruebas cerrados, en el ámbito de las finanzas y la economía digital, el sandbox también se prevé como aquel mecanismo que promueve la regulación de la innovación bajo el concepto de sandbox regulatorio. Esta acepción se refiere a un mismo campo de pruebas pero de modelos de negocio emergentes que aún estando bajo la supervisión de entidades regulatorias, carecen de regulación, y por ello, su sugerencia de que exista dicha regulación como un punto intermedio entre la protección de los derechos de los consumidores, la libertad de empresa y sana competencia, y las normas regulatorias financieras.
El Reino Unido es el modelo para seguir respecto del sandbox regulatorio, pues a mediados del 2016 se empezaron a realizar rondas en el sandbox en las que, aquellas fintech que presentaban su solicitud de prueba, iban conociendo y adentrándose en el mercado financiero, en cumplimiento paulatino con la regulación aplicable a dicha materia. Esta tendencia ha sido seguida por países ejemplares como Hong Kong, y Colombia no ha sido la excepción.
La Comisión de Regulaciones de las Comunicaciones de Colombia (CRC) ha implementado el referido término “Sandbox Regulatorio” como aquella oportunidad que permite a los proveedores de redes y servicios de telecomunicaciones e Internet, operar de manera autorizada mientras se experimentan los desarrollos tecnológicos de forma segura y, por ende, ampliar el portafolio de productos y servicios a ofrecerse en este sector como lo es la novedosa propuesta de la fibra óptica.
Recientemente, con el Decreto 1234 del 2020, se reguló el referido espacio controlado de prueba para su uso en las actividades de innovación financiera en beneficio del desarrollo del Fintech. Esta regulación, permite la utilización de nuevas tecnologías en la prestación de servicios financieros, que antes no eran avaladas, dada la naturaleza y estricta protección y vigilancia que existe sobre las entidades prestadores de estos servicios. En ese sentido, los interesados en implementar desarrollos tecnológicos innovadores a través del sandbox testing deberán constituirse para la operación temporal y solicitar a la Superintendencia Financiera, la respectiva autorización para ejercer sus actividades durante máximo 2 años.
Para ello, deben presentar el proyecto de los estatutos sociales y la solicitud de constitución, indicar las características específicas del desarrollo tecnológico innovador, el modelo de negocio, la definición del producto o servicio financiero y los medios tecnológicos que se emplearán, el nicho de mercado, el monto máximo de recursos que captará, entre otros. Luego, una vez vencido el plazo de operación temporal, el interesado puede (i) solicitar la transición a la licencia de entidad financiera, bursátil o aseguradora o el ajuste de la actividad regulada, o (ii) proceder con el plan de desmonte de la operación.
Así las cosas, se indica que, si bien la adecuada implementación de estas herramientas como el sandbox tecnológico alivia un poco la contingencia de los ciberataques y abre además las puertas a nuevos desarrollos de forma segura, no hay que bajar la guardia y sentir que no se está expuesto. Por el contrario, es necesario que la experimentación y adopción de estas alternativas, se encuentre acompañada de una estrategia tecnológica y legal recurrente y continuada que permita modernizar los mecanismos de seguridad de manera simultánea a las nuevas modalidades de ataques , identificar la necesidad y el tipo de funcionalidades que deben tener los sistemas de aislamiento de procesos requeridos por cada persona natural o jurídica según su interés, producto o servicio ofrecido o adquirido, sea a través de diferentes sandboxes o el denominado sandbox array que aplicar diversos en una misma nube, y por último pero no menos importante, cumplir con la regulación aplicable a las Fintech en el ejercicio de sus actividades comerciales, que por su novedad aún se encuentra en constante evolución y complementación.