Redsys y la 'semana negra' en la que dejó colgados a Bizum y las tarjetas bancarias: ¿puede repetirse una caída total?
La caída del sistema de pago electrónico afectó sólo a poco más de cuatro millones de operaciones.
25 noviembre, 2023 02:56El dinero en efectivo va perdiendo fuelle, pero esta semana habrá ganado, probablemente, algunos fans. En un 2023 en el que España está cada vez más digitalizada financieramente, las dos recientes caídas de Redsys, que han dejado a miles de usuarios sin poder pagar sus compras o enviar bizums, aunque sólo durante algunos minutos, han levantado mucha polvareda y han generado una cierta intranquilidad entre los usuarios financieros. Pero, ¿son preocupantes estas caídas? Y, lo más importante, ¿pueden evitarse?
Lo cierto es que los pagos electrónicos, como casi cualquier cosa en la vida, no son infalibles. Y así se ha demostrado con estas dos incidencias fuertes que ha sufrido en los últimos días el procesador de pagos de la banca española, las primeras en sus doce años de historia.
El pasado sábado sobre las 13 horas y el jueves sobre las 21h -coincidiendo con el inicio del Black Friday - los sistemas fallaron y miles de usuarios se quedaron sin poder hacer durante unos minutos pagos con tarjeta, compras online y traspasos por Bizum. En consecuencia, miles de pagos se duplicaron y otros tantos nunca llegaron.
La plataforma de la banca
Redsys es, en resumidas cuentas, el procesador de pagos de la banca española, resultado de la integración entre Servired y 4B. Así, es la plataforma a través de la cual se gestionan las operaciones de las tarjetas, los cajeros y los datáfonos de las entidades españolas, además de Bizum.
Es por eso que los fallos que han tenido lugar en los últimos días han afectado a miles de usuarios. No en vano, más de 60 entidades están adheridas a la plataforma.
A través de esta red se realizan unas 72.000 operaciones por minuto en un día normal, con picos de 110.000 operaciones al minuto, según explican fuentes de la plataforma a EL ESPAÑOL-Invertia.
"La plataforma idónea para admitir pagos en Internet, apps para móvil, pagos telefónicos y mucho más, con soluciones que evolucionamos de forma continua". Así se describe en su web la propia Redsys. Y añade: "Somos especialistas en alta disponibilidad y rendimiento".
Lo cierto es que el sistema bancario español es uno de los más avanzados tecnológicamente, algo que se pone de relieve cuando se produce algún fallo. Acciones como enviar dinero en el momento a otra persona, y gratis, o hacer compras online con toda la seguridad que se ofrece en España pueden parecer muy sencillas, pero son fruto de años de especialización y, sobre todo, inversión por parte de los bancos españoles.
Aunque sea difícil de imaginar, en otros países europeos no es tan común algo tan aparentemente simple como pagar con tarjeta en todos los comercios. Algo en lo que en España se ha dado un paso de gigante en los últimos años, especialmente tras la pandemia.
"Es un aviso de algo que los reguladores llevamos tiempo anticipando, que son los riesgos operativos", advertía Pablo Hernández de Cos, gobernador del Banco de España, hace unos días al respecto de la primera incidencia, añadiendo después que se trata de "riesgos reales" y aclarando que "no ha sido un ciberataque".
También hace unos días, Margarita Delgado, subgobernadora del Banco de España, advertía de que el sector bancario debe realizar "inversiones estratégicas en tecnología y digitalización para poder afrontar los nuevos entornos desde una posición más sólida".
Fuentes oficiales han confirmado que los expertos del Banco de España están monitorizando de cerca la situación y han solicitado a la compañía "información detallada" sobre los incidentes.
Desde el Ministerio de Economía, Comercio y Empresa también informan de que están siguiendo y analizando la situación junto a las entidades y al Banco de España, que es el responsable de la supervisión de los medios de pago.
Fallo, no ciberataque
Ningún sistema es infalible, como han demostrado las caídas de los últimos días. En cualquier caso, todas las fuentes del sector consultadas descartan que se haya tratado de un ciberataque. El origen se encuentra más bien en un fallo interno, que, según ha reconocido Redsys en una comunicación pública tras la caída del jueves, tiene que ver con uno de sus proveedores.
Fuentes de Redsys explican a EL ESPAÑOL-Invertia que inicialmente se produjo un problema en las comunicaciones internas, si bien "en cuestión de minutos" se resolvió la cuestión técnica. No obstante, volver a poner en funcionamiento todos los sistemas es un proceso progresivo que puede alcanzar los 53 minutos.
Tras la incidencia acontecida ayer en el procesamiento de pagos se ha identificado, junto al fabricante implicado, la causa raíz del problema. Se han aplicado las recomendaciones proporcionadas y reforzado los equipos de operación y monitorización de red. Lamentamos las molestias
— Redsys (@Redsys_es) November 24, 2023
Por el camino han quedado afectadas el 2,5% de las operaciones de pago electrónico realizadas en España el sábado y al 1,7% de las del jueves. Aunque desde la plataforma no han proporcionado el dato exacto, tomando como referencia las cifras de funcionamiento habituales de la plataforma, la incidencia del sábado habría afectado a entre 2,6 millones y 4 millones de operaciones.
"Tras la incidencia acontecida ayer en el procesamiento de pagos se ha identificado, junto al fabricante implicado, la causa raíz del problema. Se han aplicado las recomendaciones proporcionadas y reforzado los equipos de operación y monitorización de red", publicó la cuenta oficial de Redsys en X, la antigua Twitter, el pasado viernes.
Pero, ¿por qué ha podido ocurrir un fallo así? "Ha pasado ya varias veces en esta época del año. Cuando llega esta época de compras entendemos que el volumen de operaciones que se gestionan supera la capacidad que tiene Redsys de procesar operaciones por segundo", explica a este periódico Jordi Nebot, consejero delegado y cofundador de la fintech especializada en medios de pago PaynoPain.
Sin embargo, no se conocen todos los detalles. En un caso como este, "dar detalles es exponer las debilidades. A nivel de seguridad no puedes reconocer el detalle porque daría pie a posibles ataques", explica a EL ESPAÑOL-Invertia Ángel Barbero, director general de la compañía tecnológica Secture y profesor de EAE Business School.
La importancia del backup
Aun aceptando que ningún sistema puede ser infalible, lo cierto es que existen sistemas de soporte o respaldo para que, cuando se produce un fallo, su impacto quede mitigado. Es lo que se conoce como backup.
"Una de las cosas más importantes es saber por qué no ha funcionado el backup. Normalmente todos los sistemas bancarios que soportan operaciones diarias y por minutos y que son críticas tienen un soporte que no ha funcionado dos veces seguidas", explica Barbero.
En su opinión, la caída del jueves muy probablemente está relacionada con la que se produjo el pasado sábado y que no se había llegado a solucionar del todo. "Más que un problema de software es de incertidumbre y de redes a la hora de gestionar la carga [de operaciones]", agrega. De hecho, cree que durante los últimos días "se fue deteriorando el rendimiento hasta que dejó de funcionar porque estaba saturado".
Con todo, el hecho de que no se haya producido un ciberataque no implica que no sea preocupante. "No siendo un problema de seguridad, que se hayan expuesto datos o que alguien haya atacado el sistema, sí muestra una cierta debilidad y no es buena imagen para el sistema. Tanto Redsys como Bizum se han convertido en un estándar en los bancos y esto afecta a muchas personas. Es una llamada de atención a que refuercen esa parte", añade el también profesor de EAE Business School.
¿Se puede evitar?
En este sentido, prácticamente lo único que pueden hacer los bancos es seguir invirtiendo en la plataforma y reforzar los sistemas de soporte. Este fallo "tiene más que ver con una dejadez a la hora de invertir que con un problema humano o de mal diseño. Lo esperable es que ahora sí inviertan", añade Barbero.
Con todo, este experto valora que minimizar el riesgo al cero es prácticamente imposible. Entonces, ¿qué se puede hacer? "No están libres de que vuelva a ocurrir, pero puede ser una llamada de atención", apunta.
"Fallos pueden existir en el futuro seguro, poque cada día hay minifallos, no es algo ajeno al día a día de una empresa tecnológica. Pero en la gestión de este tipo de fallos se suelen diseñar modelos de respaldo para que se pueda tirar de ellos. Van a tener que revisar su modelo de respaldo porque han tenido muchos problemas, pero lo bueno es que probablemente habrán detectado problemas que no van a volver a tener", concluye el experto de Secture.
Por la parte de los comercios afectados, poco se puede hacer. De acuerdo con Nebot, de PaynoPain, dado que Redsys es el sistema utilizado mayoritariamente para las operaciones domésticas, la única solución es utilizar una plataforma diferente.
No obstante, Nebot advierte de que "no hay muchos proveedores que no estén en Redsys", que es la red con la que operan los bancos españoles. Por este motivo, entidades como Divilo no han visto afectados los cobros realizados a través de su plataforma, como explican en una publicación de LinkedIn.