El Open Banking está avanzando rápidamente en Latinoamérica. A finales de 2021, había más de 2,200 entidades financieras en México que ya habían implementado APIs para intercambiar “datos abiertos” con terceros.
El Open Banking ha creado una serie de ventajas tanto para los clientes como para las empresas, como una mayor flexibilidad y personalización, una mejor inclusión financiera y menores costos y comisiones. Estos beneficios, junto con el apoyo gubernamental a las fintech, han sido decisivos para el crecimiento de sus servicios y han consolidado aún más al sector financiero como líder en transformación digital.
Sin embargo, las innovaciones, los datos de valor que poseen y la adopción de nuevos servicios digitales amplían continuamente la superficie de ataque de las entidades financieras. El sector se vio afectado por más de una cuarta parte de todos los ciberataques (28%) en 2022, el doble que la siguiente industria más atacada.
En concreto, los expertos de Imperva descubrieron que el volumen de tráfico no supervisado que fluye a través de las interfaces de programación de aplicaciones (API) se ha disparado un 89% en el último año. Las API sustentan toda la estructura del Open Banking y un gran porcentaje de este tráfico contiene información sensible, por lo que es esencial que tanto los bancos como las empresas de tecnología financiera lo controlen. De hecho, dada la importancia de las API para prácticamente todos los aspectos de la transformación digital, permitir que queden sin supervisión es el equivalente en ciberseguridad a ignorar una bomba de tiempo.
Proteger el activo más importante
Las API son tan importantes para los servicios digitales porque permiten que distintas aplicaciones compartan datos y “hablen” entre sí. Y lo que es más importante, los datos que intercambian suelen proceder de bases de datos backend, lo que significa que las API funcionan como una vía de acceso al activo más valioso de las empresas: sus datos.
El peligro para las instituciones financieras es que casi un tercio (30%) de este tráfico se realiza a través de “API en la sombra”. Según Imperva Threat Research, las APIs en la sombra son de terceros que una empresa utiliza pero no rastrea, o bien APIsI internas no supervisadas, olvidadas o que quedan fuera de la visibilidad de los equipos de seguridad.
Dado que las API pueden conectarse a bases de datos, son una vía ideal para que los hackers filtren información confidencial o pongan en peligro las aplicaciones empresariales. Ya se estima que uno de cada 13 incidentes cibernéticos está relacionado con la inseguridad de las API, por lo que representa un importante fallo de seguridad que todas las empresas financieras deberían de solucionar de inmediato.
Tres pasos para garantizar la seguridad
Para eliminar las “API en la sombra” y evitar el uso indebido se necesitan tres capacidades básicas:
Para que estas capacidades de seguridad sean eficaces, las empresas necesitan también evaluar entornos heredados, híbridos y nativos de la nube. De lo contrario, la protección de las API seguirá estando fragmentada. Como consecuencia, quedarán desprotegidas y el tráfico potencialmente sensible no se supervisará.
Tomar la iniciativa
Debido a la estricta normativa que impacta a las instituciones financieras, como es la “ley fintech” en México y Brasil, el sector ha sido durante mucho tiempo líder en ciberseguridad y muchas empresas han adoptado nuevas tecnologías para mejorar la protección de datos o la seguridad de las aplicaciones. Ahora, debido al crecimiento del Open Banking y otras iniciativas de transformación digital, las “API en la sombra” se han convertido en otro reto con el que tienen que lidiar.
La protección sólida es una cuestión holística. Sin embargo, si se centran en garantizar la plena visibilidad de las API en todos los entornos, trazar la estrategia y el flujo de trabajo útil subyacente de cada una, así como aplicar buenas prácticas de gestión, las organizaciones pueden aprovechar al máximo las ventajas del open banking, al tiempo que se protegen a sí mismas y a sus clientes de las graves repercusiones tanto monetarias como de reputación en el caso de que un ataque sea exitoso.
Igual que en otras industrias, los servicios financieros están inmersos en una época de transformación…
Según los informes de Ookla del primer semestre de 2024, los servicios de internet y…
ESET analiza a qué riesgos se exponen niños en Snapchat, comparte consejos para garantizar su…
A través de este convenio, Zoho desarrollará Modelos de Lenguaje Extenso (LLMs) con las herramientas…
La inteligencia artificial sigue tomando el mando de los procesos en general. Aunque no es…
Por Gastón Gorosterrazu, creador de Aptugo, herramienta de desarrollo visual inteligente