Los cambios en FinTech podrían abrir la puerta a nuevos ataques contra organizaciones y consumidores

Trend Micro Incorporated ha hecho públicos los resultados de una investigación que demuestra que las nuevas e importantes normas bancarias europeas podrían aumentar considerablemente la superficie de ciberataque para las empresas de servicios financieros y sus clientes.

El nuevo estudio detalla el impacto de la Directiva de Servicios de Pago (PSD2) de la UE, que está diseñada para dar a los usuarios un mayor control sobre sus datos financieros y la opción de compartirlos con una nueva generación de empresas innovadoras de Tecnología Financiera (FinTech). Las mismas ideas se están difundiendo globalmente bajo el término «Banca Abierta» u “Open Banking”.

«El sector financiero siempre ha sido un objetivo muy atractivo para los ciberdelincuentes, y PSD2 y Open Banking están preparados para ofrecer a los hackers aún más oportunidades de robar información personal y financiera confidencial«, explica Ed Cabrera, director de ciberseguridad de Trend Micro. “Nos preocupa que la industria no esté totalmente preparada para hacer frente a esta superficie de ataque tan amplia. Por eso queríamos entender los riesgos antes de que ocurran, para poder ayudar a FinTechs y a las entidades tradicionales a proteger sus activos primero«.

El informe destaca varios posibles escenarios de ataque bajo el nuevo régimen regulatorio:

• Ataques a las API: las API públicas están en el corazón del Open Banking, permitiendo a terceros autorizados acceder a los datos bancarios de los usuarios para proporcionar nuevos e innovadores servicios financieros. Los fallos de implementación en estas API permitirán a los atacantes explotar los servidores back-end para robar datos.

• Ataques a compañías FinTech: los usuarios se verán obligados a establecer una nueva relación de confianza con proveedores que pueden tener menos recursos que sus bancos y sin antecedentes en materia de protección de datos. En una rápida encuesta sobre Open Banking FinTechs, Trend Micro encontró que tienen una media de 20 empleados y ningún profesional de seguridad dedicado. Esto las convierte en objetivos ideales para los atacantes y plantea problemas de seguridad en sus apps móviles, API, técnicas de compartición de datos y módulos de seguridad que podrían implementarse incorrectamente.

• Ataques a las aplicaciones o plataformas móviles: la mayoría de los servicios de Banca Abierta se desplegarán como aplicaciones móviles, lo que los convierte en un objetivo prioritario para los atacantes. Encontrar el nombre de usuario, la contraseña o las claves de cifrado dentro de la aplicación permitiría a un delincuente recuperar datos bancarios y hacerse pasar por el usuario. Incluso si las apps no tienen permiso para realizar pagos, pueden contener datos de transacciones, lo que permite a un atacante crear un perfil muy preciso de sus víctimas.

• Ataques contra el usuario: debido a que las nuevas apps de Open Banking se convertirán en el medio principal para que los usuarios accedan a los datos y servicios financieros, los ataques de phishing podrían cosechar importantes recompensas para los atacantes.

De cara a prepararse para el cambiante panorama, Trend Micro detalla cómo las instituciones financieras pueden mejorar su resiliencia cibernética. Esto incluye asegurar que la información confidencial nunca esté contenida en las rutas de las URL, priorizar los protocolos seguros y eliminar las prácticas arriesgadas.

Mientras tanto, los desarrolladores y propietarios de aplicaciones de Open Banking deben adoptar un enfoque de seguridad por diseño, incluyendo auditorías regulares de software.