Seguridad

Seguridad para el pagador

Seguridad para
el pagador

En esta página te presentamos los elementos de seguridad más importantes de Khipu. No pretende ser un resumen, por lo que no evitamos temas ni términos técnicos.

Preferimos entregarte toda la información que pueda serte útil para que sepas que, al pagar a través de Khipu, lo estás haciendo a través de un sistema seguro en el cual puedes confiar. 

Los terminales de pagos de Khipu son navegadores web, especialmente diseñados y desarrollados para realizar pagos electrónicos. Se puede llegar a estos desde una aplicación móvil o una página web del comercio.

Lo que hace el terminal de pagos es automatizar el proceso de transferencia de fondos, presentando al usuario una interfaz que solo le pregunta sus datos de identificación y seguridad necesarios para autorizar al destinatario y el monto de la transferencia.

Luego, el terminal informa los datos de la transferencia para hacer la conciliación del pago (es decir, que el monto y destinatario de la transferencia correspondan al cobro) y la emisión del comprobante de pago correspondiente.

Ante el banco del pagador, el terminal de pagos de Khipu es un navegador web más, como Internet Explorer, Chrome, Firefox o cualquier otro. En cualquier caso, se trata de un software que toma el control de la interfaz y media entre el usuario y el servidor del banco.

Elementos generales de seguridad

Uso de protocolo HTTPS

El terminal de pagos, como navegador web, está montado sobre WebKit, el mismo framework de navegación que usan Google Chrome y Safari de Apple, entre otros. Así, todos los elementos de seguridad, en particular la implementación del protocolo HTTPS, están dados por esta implementación. HTTPS es un protocolo de comunicaciones seguro, lo que significa que los datos que se transfieren pueden ser leídos solamente por las partes que están participando de la comunicación. El nivel de encriptación que usa Khipu para la comunicación con los bancos, es el que los bancos tienen definido como estándar y el nivel de cifrado asociado a cada página es el mismo que usan los navegadores multipropósito –como Internet Explorer, Google Chrome, Firefox, Safari o cualquier otro navegador que use Web Kit. Cuando la comunicación es con el servidor de Khipu, se agregan otros elementos de seguridad, como HSTS y doble cifrado, para asegurar un cifrado de punta a punta.

Mantención de rutas de navegación

Khipu sólo navega por direcciones web conocidas, previamente configuradas para cada uno de los bancos con los que Khipu opera, esto con el objetivo de garantizar que el procedimiento se desarrolle correctamente, evitando que personas o software malicioso desvíe los datos. Cuando el usuario activa el terminal de pagos de Khipu para procesar un pago, el primer paso es descargar desde el servidor de Khipu la ruta de navegación que corresponde al banco que se vaya a utilizar, garantizando así que el procedimiento se desarrolle correctamente. Esta configuración es implementada por el personal de ingeniería de Khipu: el usuario no tiene acceso a una interfaz que le permita hacer que el terminal de pagos de Khipu navegue por una dirección distinta a una de las que están configuradas.

Complementariamente, el sistema está preparado para gestionar la posibilidad de que el terminal de pagos encuentre una página que no logre reconocer o en la que no tenga una acción configurada. Ante esta situación, el sistema envía dicha página, junto con otros datos de la navegación del usuario, sin incluir sus contraseñas, al servidor de Khipu. De esta forma se inicia un proceso de reconfiguración de la ruta de navegación del banco que el usuario estaba utilizando para pagar. Sólo con el fin de configurar y mantener rutas de navegación, Khipu podría recibir y almacenar páginas de un banco a las que haya llegado algún usuario en condiciones no configuradas en el sistema. Esto ocurre en menos del 1% de los casos. Los datos de estas páginas no se utilizan para hacer campañas o ningún otro tipo de análisis diferente al de mantener adecuadamente configuradas las rutas de navegación de los bancos.

Administración de contraseñas y datos privados

Khipu no guarda las credenciales de los usuarios y las protege con el máximo celo durante el proceso de pago. La privacidad de las credenciales bancarias de los usuarios (es decir, sus claves y segundas claves), se mantienen siempre en el ámbito privado de cada usuario. Khipu no guarda ninguna contraseña de ningún usuario para ingresar a una cuenta bancaria o a realizar alguna transferencia. Las credenciales son enviadas directamente desde el terminal de pagos al sitio web del banco cuando se usa Khipu Inside y pasan por un microservicio de Khipu cuando se usa Khipu Web. Al usar Khipu Web las credenciales se envían al microservicio de Khipu a través de una sesión cifrada con https (TLS 1.3) y un cifrado, punta a punta adicional, usando x25519-xsalsa20-poly1305. Los datos son descifrados por el microservicio que corre en un segmento de red segregado y nunca se almacenan en un medio persistente, como base de datos, filesystem, cola de mensajes u otro. Desde el microservicio de Khipu estos datos son enviados al servidor de la institución financiera usando los mecanismos de seguridad que esta haya definido, usualmente https (TLS 1.2 o superior). 

Asimismo, Khipu mantiene toda la información personal de sus usuarios bajo absoluta reserva, salvo aquella relacionada con operaciones de cobro, la que es comunicada al destinatario que el cobrador indique, haciéndose pública en caso de que el cobro fuera genérico o tenga un enlace de cobro de uso público. Por su parte, los usuarios son responsables de mantener todas sus contraseñas en secreto. Cabe indicar que Khipu no tiene ninguna responsabilidad por cualquier interferencia de troyanos, spyware o software malicioso que un usuario tenga en sus dispositivos. Adicionalmente, los terminales de pago permiten al usuario guardar sus credenciales, para lo cual se utiliza el mecanismo de seguridad del dispositivo del usuario, lo que almacena esa información de forma local y sólo permite acceder a ella mediante el mecanismo de seguridad definido para ese dispositivo (patrón, huella, pin, faceId, etc.).

Verificación de las operaciones

Khipu ejecuta una comprobación meticulosa de cada transacción completada. Esta corroboración ocurre en la cuenta de destino de la transferencia y después de ser confirmada, se produce un comprobante de pago en formato PDF con firma digital. Adicionalmente, los usuarios registrados en Khipu poseen la opción de obtener y guardar sus comprobantes luego de ingresar al sitio web de Khipu.

La identidad del cobrador está asegurada

A diferencia de cómo operan las transferencias electrónicas tradicionales, cuando solo se valida que un RUT corresponda a un número de cuenta, Khipu siempre conoce con certeza la identidad de quien es el receptor de los dineros, evitando fraudes por suplantación de identidad. Un usuario cobrador siempre estará registrado en Khipu y su identidad no puede ser ni editada ni modificada: todos sus datos son provistos por el banco al momento de registrar la cuenta corriente que recepciona los fondos. El uso de nombres de fantasía para una empresa es aceptado, previa solicitud por escrito del cobrador, lo que es además revisado caso a caso por el área de operaciones de Khipu.


Existen Prestadores de Servicios de Pago (PSP) que incluyen Khipu entre sus opciones de pago, en estos casos, Khipu conoce la identidad del PSP, pero no del comercio final de la transacción.

Protección jurídica

Desde un punto de vista legal, el usuario pagador entrega un mandato a Khipu. Esto significa que los representantes legales de Khipu tienen responsabilidad penal ante el pagador, es decir, los usuarios están protegidos por el mayor nivel de responsabilidad posible en Chile.

Auditoría externa de seguridad (mensual)

Todos los meses una empresa de seguridad externa realiza un análisis de tráfico de datos de los terminales de pago de Android y iOS con el fin de validar la información transmitida y las conexiones realizadas.

Seguridad comparada

Si comparamos las características de seguridad de Khipu con las distintas alternativas que existen en Chile para pagar, es relevante destacar los siguientes aspectos. 

Primero, el pago en línea Khipu es más seguro que en otras opciones, porque:

  • Es un navegador web de propósito particular, es decir, que está diseñado y desarrollado para un objetivo único y específico: las transacciones bancarias.

  • Conoce las direcciones web correctas de cada página de cada banco habilitado, lo que reduce la posibilidad de errores y minimiza el riesgo de estafas y phishing.

  • Entrega comprobantes de pago firmados electrónicamente

  • Opera con mandatos legales tanto para el pagador como para el cobrador.

  • Utiliza doble cifrado HSTS y certificado de validación extendida.

Segundo, los pagos presenciales con Khipu son más seguro que en otras opciones, porque:

  • Usa elementos de seguridad dinámicos (segundas contraseñas, digipass o coordenadas de una tarjeta matricial), mientras que los medios de pago presenciales usan solamente contraseñas y otros datos fijos –como la misma tarjeta bancaria, los que tienen un alto riesgo de ser clonados; y una vez copiados pueden reutilizarse para otros pagos presenciales e incluso, para retirar fondos desde cajeros automáticos; además, de todos los puntos del pago en línea.

Seguridad contra el phishing

Khipu protege a los usuarios contra el phishing, hoy la mayor amenaza de fraudes en Internet. Estos fraudes consisten en engañar a las personas y robar sus datos de seguridad. Al usar el terminal de pagos de Khipu, los usuarios están protegidos contra este tipo de fraude porque Khipu conoce y usa la dirección correcta de cada banco configurado.

Esta característica de seguridad es única de Khipu, se debe notar que la alternativa de un navegador de propósito general (como Internet Explorer Google Chrome o Safari) hace imposible restringir las direcciones de las páginas de los bancos y limitar la navegación solo por estas direcciones porque esos navegadores deben permitir la navegación por cualquier página.

Sin embargo, sí es posible engañar a un usuario para que instale un falso Khipu o use una página web que no corresponde a Khipu Web, por lo que siempre debe instalarse el terminal de pagos desde una de las fuentes oficiales o iniciar el pago desde un comercio confiable.

Asimismo, otra amenaza de seguridad ante la que hay que estar alerta son los troyanos. Estos son programas maliciosos que engañan a los usuarios para robarle su información confidencial.