domingo, 29 de septiembre de 2019

Los ciberriesgos de la banca abierta

dreamstime EXPANSION


Este escenario abre la puerta a nuevos ataques a las entidades, 'fintech' y consumidores.
La llegada de la banca abierta no está exenta de riesgos desde un punto de vista de la ciberseguridad. La nueva directiva de la Unión Europea sobre servicios de pago (PSD2) persigue que los consumidores tengan un mayor control sobre sus datos financieros y obliga a los bancos a dar acceso a la información de las cuentas de sus clientes -siempre bajo su previa autorización- a otras empresas. Además, la directiva exige una doble autenticación para hacer transacciones bancarias y compras por Internet para reducir al mínimo los casos de fraude.
Sin embargo, la introducción de la banca abierta ampliará la superficie de ataque del sector bancario porque pone los datos financieros en manos de más empresas, cuyos enfoques de protección de datos pueden ser muy dispares.
Las 'fintech', por su tamaño y recursos, son un blanco ideal para los 'hackers', alerta Trend Micro
"El sector financiero siempre ha sido un objetivo muy atractivo para los ciberdelincuentes y PSD2 y la banca abierta ofrecen a los hackers más oportunidades para robar información personal y financiera confidencial", subraya Ed Cabrera, director de Ciberseguridad de Tren Micro. "Nos preocupa que la industria no esté totalmente preparada", alerta.
Trend Micro ha realizado un informe en el que identifica posibles escenarios de riesgo en el ámbito de la banca abierta. Por un lado, destaca que hay una nueva superficie de ataque derivada de las API (Application Program Interface o interfaz de programación de aplicaciones abierto), es decir, conectores que permiten a terceras compañías integrar fácilmente sus desarrollos con los datos financieros de los bancos.
"Los fallos de implementación en estas API permitirán a los atacantes explotar servicios para robar datos", señala este informe, cuyos investigadores han encontrado un "número significativo de bancos que exponen información confidencial, como parámetros de autenticación y otros datos sensibles". Aunque no desvela nombres, aseguran que han encontrado problemas tanto en fintech relativamente nuevas como en varios bancos establecidos, concretamente dos entidades centrales europeas y una de Asia.

LAS 'FINTECH', ¿VULNERABLES?

Los expertos también ponen el acento en el ámbito de las fintech. "No todas tendrán el mismo nivel de seguridad y experiencia que un banco, lo que las convierte en el blanco ideal para los hackers", alerta el informe.
Trend Micro pronostica además ataques a las aplicaciones, puesto que la mayoría de los servicios de banca abierta se despliegan como apps móviles.
Si un atacante puede encontrar el nombre de usuario, contraseña o claves de cifrado dentro de una aplicación, es factible que suplante la identidad y recupere datos bancarios. "Aunque la aplicación no tenga permiso para realizar pagos, puede contener datos de transacciones, lo que permite al atacante crear un perfil muy preciso de sus víctimas", alerta Trend Micro.
Tampoco hay que obviar un posible incremento de los ataques de phishing. Los usuarios están más concienciados que hace años de que los bancos no envían correos con enlaces o solicitudes de acceso, pero los ciberdelincuentes podrían ahora utilizar estas nuevas apps como un gancho para emplear viajas técnicas de phishing.

En este entorno, los expertos de Trend Micro recomiendan priorizar los protocolos seguros y eliminar prácticas arriesgadas, y realizar auditorías de seguridad regulares de todo su software.
M. PRIETO MADRID

No hay comentarios:

Publicar un comentario

Nota: solo los miembros de este blog pueden publicar comentarios.