Los riesgos de seguridad de la nueva regulación de Banca Abierta

30 septiembre, 2019
179 Visualizaciones

Los cambios en FinTech podrían abrir la puerta a nuevos ataques contra organizaciones y consumidores

Trend Micro Incorporated ha hecho públicos los resultados de una investigación que demuestra que las nuevas e importantes normas bancarias europeas podrían aumentar considerablemente la superficie de ciberataque para las empresas de servicios financieros y sus clientes.

El nuevo estudio detalla el impacto de la Directiva de Servicios de Pago (PSD2) de la UE, que está diseñada para dar a los usuarios un mayor control sobre sus datos financieros y la opción de compartirlos con una nueva generación de empresas innovadoras de Tecnología Financiera (FinTech). Las mismas ideas se están difundiendo globalmente bajo el término «Banca Abierta» u “Open Banking”.

«El sector financiero siempre ha sido un objetivo muy atractivo para los ciberdelincuentes, y PSD2 y Open Banking están preparados para ofrecer a los hackers aún más oportunidades de robar información personal y financiera confidencial«, explica Ed Cabrera, director de ciberseguridad de Trend Micro. “Nos preocupa que la industria no esté totalmente preparada para hacer frente a esta superficie de ataque tan amplia. Por eso queríamos entender los riesgos antes de que ocurran, para poder ayudar a FinTechs y a las entidades tradicionales a proteger sus activos primero«.

El informe destaca varios posibles escenarios de ataque bajo el nuevo régimen regulatorio:

  • Ataques a las API: las API públicas están en el corazón del Open Banking, permitiendo a terceros autorizados acceder a los datos bancarios de los usuarios para proporcionar nuevos e innovadores servicios financieros. Los fallos de implementación en estas API permitirán a los atacantes explotar los servidores back-end para robar datos.
  • Ataques a compañías FinTech: los usuarios se verán obligados a establecer una nueva relación de confianza con proveedores que pueden tener menos recursos que sus bancos y sin antecedentes en materia de protección de datos. En una rápida encuesta sobre Open Banking FinTechs, Trend Micro encontró que tienen una media de 20 empleados y ningún profesional de seguridad dedicado. Esto las convierte en objetivos ideales para los atacantes y plantea problemas de seguridad en sus apps móviles, API, técnicas de compartición de datos y módulos de seguridad que podrían implementarse incorrectamente.
  • Ataques a las aplicaciones o plataformas móviles: la mayoría de los servicios de Banca Abierta se desplegarán como aplicaciones móviles, lo que los convierte en un objetivo prioritario para los atacantes. Encontrar el nombre de usuario, la contraseña o las claves de cifrado dentro de la aplicación permitiría a un delincuente recuperar datos bancarios y hacerse pasar por el usuario. Incluso si las apps no tienen permiso para realizar pagos, pueden contener datos de transacciones, lo que permite a un atacante crear un perfil muy preciso de sus víctimas.
  • Ataques contra el usuario: debido a que las nuevas apps de Open Banking se convertirán en el medio principal para que los usuarios accedan a los datos y servicios financieros, los ataques de phishing podrían cosechar importantes recompensas para los atacantes.

De cara a prepararse para el cambiante panorama, Trend Micro detalla cómo las instituciones financieras pueden mejorar su resiliencia cibernética. Esto incluye asegurar que la información confidencial nunca esté contenida en las rutas de las URL, priorizar los protocolos seguros y eliminar las prácticas arriesgadas.

Mientras tanto, los desarrolladores y propietarios de aplicaciones de Open Banking deben adoptar un enfoque de seguridad por diseño, incluyendo auditorías regulares de software.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

100 millones de apuestas online expuestas por una base de datos defectuosa
Security Breaches
19 compartido2,250 visualizaciones
Security Breaches
19 compartido2,250 visualizaciones

100 millones de apuestas online expuestas por una base de datos defectuosa

Mónica Gallego - 4 febrero, 2019

Se ha encontrado otra empresa que ha guardado  información importante en el servicio de almacenamiento, en la nube Elasticsearch, sin…

El VII Foro de la Ciberseguridad acogió a más de 300 expertos en ciberseguridad
Actualidad
24 compartido2,203 visualizaciones
Actualidad
24 compartido2,203 visualizaciones

El VII Foro de la Ciberseguridad acogió a más de 300 expertos en ciberseguridad

Vicente Ramírez - 25 septiembre, 2018

La Séptima Edición del Foro de la Ciberseguridad de ISMS Forum tuvo lugar el pasado 20 de septiembre en el…

Atos lanza una solución software de alta disponibilidad para aplicaciones Cloud
Cloud
17 compartido2,020 visualizaciones
Cloud
17 compartido2,020 visualizaciones

Atos lanza una solución software de alta disponibilidad para aplicaciones Cloud

Mónica Gallego - 25 enero, 2019

La solución Evidian SafeKit “en el Cloud” es fácil de utilizar (“plug & play”) y no requiere ninguna experiencia en…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.