Crece el Open Banking: ¿Cuáles son los peligros en ciberseguridad?

El Open Banking está avanzando rápidamente en Latinoamérica. A finales de 2021, había más de 2,200 entidades financieras en México que ya habían implementado APIs para intercambiar “datos abiertos” con terceros.

El Open Banking ha creado una serie de ventajas tanto para los clientes como para las empresas, como una mayor flexibilidad y personalización, una mejor inclusión financiera y menores costos y comisiones. Estos beneficios, junto con el apoyo gubernamental a las fintech, han sido decisivos para el crecimiento de sus servicios y han consolidado aún más al sector financiero como líder en transformación digital.

Sin embargo, las innovaciones, los datos de valor que poseen y la adopción de nuevos servicios digitales amplían continuamente la superficie de ataque de las entidades financieras. El sector se vio afectado por más de una cuarta parte de todos los ciberataques (28%) en 2022, el doble que la siguiente industria más atacada.

En concreto, los expertos de Imperva descubrieron que el volumen de tráfico no supervisado que fluye a través de las interfaces de programación de aplicaciones (API) se ha disparado un 89% en el último año. Las API sustentan toda la estructura del Open Banking y un gran porcentaje de este tráfico contiene información sensible, por lo que es esencial que tanto los bancos como las empresas de tecnología financiera lo controlen. De hecho, dada la importancia de las API para prácticamente todos los aspectos de la transformación digital, permitir que queden sin supervisión es el equivalente en ciberseguridad a ignorar una bomba de tiempo.

Proteger el activo más importante

Las API son tan importantes para los servicios digitales porque permiten que distintas aplicaciones compartan datos y “hablen” entre sí. Y lo que es más importante, los datos que intercambian suelen proceder de bases de datos backend, lo que significa que las API funcionan como una vía de acceso al activo más valioso de las empresas: sus datos.

El peligro para las instituciones financieras es que casi un tercio (30%) de este tráfico se realiza a través de “API en la sombra”. Según Imperva Threat Research, las APIs en la sombra son de terceros que una empresa utiliza pero no rastrea, o bien APIsI internas no supervisadas, olvidadas o que quedan fuera de la visibilidad de los equipos de seguridad.

Dado que las API pueden conectarse a bases de datos, son una vía ideal para que los hackers filtren información confidencial o pongan en peligro las aplicaciones empresariales. Ya se estima que uno de cada 13 incidentes cibernéticos está relacionado con la inseguridad de las API, por lo que representa un importante fallo de seguridad que todas las empresas financieras deberían de solucionar de inmediato.

Tres pasos para garantizar la seguridad

Para eliminar las “API en la sombra” y evitar el uso indebido se necesitan tres capacidades básicas:

1. Visibilidad total de todas las API de la organización: Dada la velocidad a la que se producen y modifican las API, el descubrimiento y la clasificación manual es prácticamente imposible. En su lugar, mediante la automatización del proceso, las instituciones financieras pueden desarrollar un inventario completo de APIs que se actualiza continuamente cada vez que se realiza un cambio en la producción, proporcionando visibilidad a los equipos de seguridad sin ralentizar a los desarrolladores.
2. Establecer una buena gestión: Por ejemplo, la aplicación de normas y políticas de seguridad comunes sobre cómo deben utilizarse las API. Esto no sólo ahorra tiempo y dinero gracias a una mayor coherencia, sino que también permite una mejor toma de decisiones en relación con los procesos de creación, despliegue y consumo de API. Esto es aún más importante en sectores muy regulados, como el financiero, para garantizar el cumplimiento de normativas.
3. Visibilidad sobre el esquema completo de cada API: Esto también debe incluir todos los datos que fluyen a través de ellas. Gracias a la visibilidad de los esquemas, las empresas pueden definir el uso previsto de los puntos finales de las API y compararlo con una línea de base de comportamiento normal, lo que facilita la identificación e investigación de anomalías. Esto está estrechamente relacionado con la buena administración de las API, ya que implica comprender la carga útil subyacente y asegurarse de que también está protegida.

Para que estas capacidades de seguridad sean eficaces, las empresas necesitan también evaluar entornos heredados, híbridos y nativos de la nube. De lo contrario, la protección de las API seguirá estando fragmentada. Como consecuencia, quedarán desprotegidas y el tráfico potencialmente sensible no se supervisará.

Tomar la iniciativa

Debido a la estricta normativa que impacta a las instituciones financieras, como es la “ley fintech” en México y Brasil, el sector ha sido durante mucho tiempo líder en ciberseguridad y muchas empresas han adoptado nuevas tecnologías para mejorar la protección de datos o la seguridad de las aplicaciones. Ahora, debido al crecimiento del Open Banking y otras iniciativas de transformación digital, las “API en la sombra” se han convertido en otro reto con el que tienen que lidiar.

La protección sólida es una cuestión holística. Sin embargo, si se centran en garantizar la plena visibilidad de las API en todos los entornos, trazar la estrategia y el flujo de trabajo útil subyacente de cada una, así como aplicar buenas prácticas de gestión, las organizaciones pueden aprovechar al máximo las ventajas del open banking, al tiempo que se protegen a sí mismas y a sus clientes de las graves repercusiones tanto monetarias como de reputación en el caso de que un ataque sea exitoso.