¿Qué es el screen scraping y cómo funciona?
En el sentido más básico, el screen scraping (o «raspado de pantalla») es un proceso mediante el que se recopila información de una «pantalla» (por lo general, una página web) para utilizarla en otro lugar o para efectuar operaciones que normalmente llevaría a cabo el usuario.
Sin embargo, el uso del screen scraping se ha vuelto bastante polémico debido a la tecnología que se utiliza para realizarlo y los principios éticos que lo sustentan. Existe un riesgo real de que el almacenamiento de información confidencial no encriptada (algo que el screen scraping suele hacer) derive en una filtración de datos. Compartir credenciales de seguridad a portales bancarios para permitir el screen scraping también supone algunas desventajas para la seguridad del usuario.
Si bien antes solía ser la única opción verdadera para recopilar ciertos tipos de datos del cliente en forma automática, con el tiempo surgieron nuevas opciones que se han vuelto bastante populares. Antes, el screen scraping era una práctica habitual para potenciar los casos de uso de la banca abierta, pero tras los cambios en la normativa, las Interfaces de programación de aplicaciones en abierto (API) lo están reemplazando.
Este artículo explica cómo y por qué las empresas utilizan el screen scraping, cuáles son los beneficios y las deficiencias que supone y cómo se relaciona con el open banking.
¿Cómo funciona el screen scraping?
El screen scraping funciona a través de un programa o «bot» que obtiene acceso a la cuenta de un cliente y, automáticamente, capta los datos que se ven en la pantalla desde un segundo plano, sin que el cliente se encuentre presente.
De manera específica, el screen scraping funciona de la siguiente forma:
El cliente comparte sus datos de acceso con un proveedor externo (TPP).
El TPP utiliza esos datos para ingresar a la cuenta bancaria del cliente.
El TPP luego copia o «raspa» los datos bancarios del cliente para utilizarlos fuera del portal bancario del cliente.
En la práctica, la empresa que realiza el screen scraping se hace pasar por el usuario (con su permiso).
Un ejemplo común de screen scraping que puedes encontrar es cuando un TPP accede a tus datos financieros como parte de una aplicación de finanzas personales, de modo que pueda utilizar los datos para sugerir mejores maneras de administrar el dinero y ahorrar.
¿Para qué se utiliza el screen scraping?
Existen varios escenarios de aplicación para el screen scraping que pueden dividirse en dos categorías. Hay ejemplos en los que se recopila información sensible; es decir, en los que el usuario debe compartir los datos de acceso o de su cuenta para que una empresa pueda realizar el screen scraping (también conocido como credenciales de uso compartido).
También podemos encontrar varios casos en donde simplemente se «raspa» o extrae información disponible públicamente. Esto permite el funcionamiento de páginas web de comparación, la verificación del posicionamiento de anuncios y la transferencia de información de sistemas heredados a sistemas modernos.
Si nos centramos en casos de aplicación que incluyen credenciales de uso compartido, estos son algunos de los ejemplos más comunes:
Acceder y analizar la información de cuentas bancarias: posiblemente es el uso más común del screen scraping. Los servicios financieros pueden extraer la información de la cuenta de un cliente para ingresar a su cuenta bancaria de ese cliente y luego recopilar sus datos bancarios para utilizarlos fuera de la app.
Iniciar pagos: este ejemplo corresponde a una empresa que «realiza una acción» en lugar de simplemente recopilar datos. Es decir, si un proveedor tiene el consentimiento para acceder a tu cuenta bancaria, podría iniciar un pago a otra cuenta. Puede que una app inteligente de administración de dinero necesite transferir dinero a otra cuenta tuya para aprovechar una tasa de interés mejor.
Comprobar la solvencia: si una empresa quiere comprobar tu historial financiero y tus gastos habituales, puede que te pida consentimiento para extraer información pertinente de tu cuenta bancaria. Por ejemplo, si deseas obtener un préstamo, es posible que el proveedor de este préstamo utilice el screen scraping para revisar de forma rápida si puedes solventarlo.
Guardar datos para su posterior uso: gran parte del uso compartido de credenciales a través de screen scraping consiste en la creación de un panorama más completo de tu huella financiera. Es posible que una empresa recopile estos datos para guardarlos y utilizarlos posteriormente.
Robar datos: mientras que la mayor parte del screen scraping lo realizan empresas legítimas con el consentimiento de sus clientes, los delincuentes cibernéticos pueden usarlo para robar datos de usuarios web inocentes.
¿Cuáles son las ventajas y desventajas del screen scraping?
La principal ventaja del screen scraping es que permite a las empresas recopilar información de los clientes de forma automática y a gran escala.
Sin embargo, el uso del screen scraping para recopilar información sensible puede presentar varios inconvenientes:
Es vulnerable a las filtraciones de datos
Los datos que se obtienen a través del screen scraping pueden almacenarse sin cifrar, lo que significa que tu información bancaria y tus gastos habituales corren riesgo de filtrarse si tu proveedor sufre una violación de datos.
El mantenimiento es costoso
Desde un punto de vista comercial, mantener la tecnología de screen scraping requiere demasiado tiempo. Dado que se hace necesario reconocer cada mínimo detalle visual de una página web, hasta la actualización más pequeña puede interrumpir por completo o directamente arruinar la experiencia del usuario. Esto puede suponer que el cliente tenga problemas para acceder a su cuenta bancaria o para usar otros servicios esenciales.
El screen scraping no incluye la minimización de datos
Mientras que un cliente puede dar su consentimiento para que su información bancaria se utilice con fines específicos, el screen scraping no permite la minimización de datos. La minimización de datos consiste en que el usuario brinde su consentimiento para que se utilicen únicamente los datos específicos que son necesarios para acceder a un servicio en concreto. A través del screen scraping, se suelen extraer todos los datos que aparecen en la pantalla, lo que dificulta que los consumidores puedan controlar con exactitud la información a la que se brinda acceso y para qué se usa.
¿El screen scraping es legal?
Según la PSD2, la normativa de la UE que se creó para fomentar la competencia en el sector de los pagos, el screen scraping es legal siempre que se cumplan una serie de medidas de seguridad, incluida la identificación del TPP con el banco al que se accede. Sin embargo, la mayoría de los bancos han comenzado a ofrecer las API para permitir el acceso a los datos de las cuentas y los pagos y, en ese caso, el screen scraping deja de ser necesario.
Existe un gran debate sobre si el screen scraping debería prohibirse por completo. En el Reino Unido, la mayoría de los bancos optan por las API para facilitar el acceso, y a algunos bancos que permitían el uso del screen scraping se les exigió que migraran a las API. Si bien en Europa la Autoridad Bancaria Europea (ABE) se ha pronunciado a favor de poner fin a esta práctica, aún existen muchas dudas en la industria.
¿Cuál es la diferencia entre open banking y screen scraping?
El open banking constituye una forma de brindar a las empresas sujetas a regulación un acceso seguro y limitado a tu cuenta bancaria, con tu previo permiso. Antes, esa era información a la que solo podían acceder los bancos.
La banca abierta es la base de varios ejemplos de servicios nuevos e innovadores que ayudan a los consumidores y a las empresas a sacar el máximo provecho de sus finanzas. La banca abierta también puede incluir la iniciación de pagos, que permite que los TPP realicen pagos en nombre de sus clientes con el consentimiento de estos.
Por otro lado, el screen scraping es una de las formas de hacer funcionar la banca abierta. Aunque existen otros tipos de tecnologías cada vez más comunes, el screen scraping se sigue aceptando en el marco de la PSD2 cuando no se dispone o no funciona una tecnología de API más moderna y segura.
Screen scraping vs API
La alternativa principal al screen scraping en la banca abierta es la tecnología API. Las API conectan diferentes aplicaciones para que puedan intercambiar datos. Pero, a diferencia del screen scraping, lo hacen de forma segura, uniforme y totalmente encriptada. También permiten la minimización de datos, cosa que el screen scraping no permite. Esto significa que se puede acceder a subconjuntos de datos de cuentas (con el consentimiento del cliente), en lugar de acceder a todos los datos de un cliente en un mismo momento.
Los bancos ofrecen sus propias API para que otras empresas puedan conectarse. En España, estas API deben cumplir con las normas establecidas por el Banco de España (BDE) y recibir la autorización de esta institución. En la UE, existen varias normas diferentes para las API, que permiten a los proveedores cumplir con la normativa PSD2.
Obtén más información sobre el open banking
Desde que la normativa PSD2 entró en vigor a principios de 2018, las API de banca abierta que ofrecen los bancos han mejorado de forma constante, junto con los casos de uso que impulsaron.
Lee nuestra guía completa sobre open banking para conocer más sobre cómo funcionan las API, para qué pueden utilizarse y cómo puede beneficiarse tu empresa.