APIs, el talón de Aquilés del Open Banking: son blanco fácil de ciberataques

Por Manuel Moreno

La implementación del Open Banking en México ha traído consigo una serie de retos en materia de seguridad y privacidad de los datos personales de los usuarios, sobre todo, considerando que se continúa a la espera de la publicación de las reglas secundarias de la Ley para Regular las Instituciones de Tecnología Financiera (Ley FinTech), que darían las reglas para que las empresas financieras y las de tecnología compartan datos transaccionales de usuarios, mediante la implementación de las interfaces de programación de aplicaciones informáticas estandarizadas (application programming interfaces o “APIs”).

Si bien las APIs son una herramienta importante en el intercambio de información financiera, también pueden ser un blanco fácil de ataque si no se establecen las medidas de seguridad adecuadas. Incluso, el informe sobre el estado de la seguridad de las API, del primer trimestre de 2023, de Salt Labs, revela un aumento en los ataques a las APIs del 400%. La vulnerabilidad más explotada es la autenticación, con 78% de los ataques, que dejó como resultado una exposición de datos confidenciales, en 31% y una violación de datos, en 17%.

• LEE: El paso hacia la madurez que les falta a las Fintech en México

Y es que las empresas pierden visibilidad de sus APIs por no documentarlas, cambiar la infraestructura o simplemente actualizarlas, sin las debidas medidas de seguridad, dejando activas las versiones antiguas.

Ese fue el caso de Twitter, al que, mediante una vulnerabilidad de API, le robaron 5.4 millones de registros de usuarios, que contienen contraseñas, números de teléfono y correos electrónicos, entre otros datos confidenciales. La información fue extraída, a finales de 2021, utilizando un fallo en la interfaz de programación de aplicaciones de la plataforma, que aunque ya fue reparado, los registros siguen circulando, abiertamente, online.

El riesgo se agrava en empresas del sector financiero, donde las repercusiones a los usuarios pueden impactar en su patrimonio, por la extracción ilegal de números de cuenta bancaria, historial de transacciones y otro tipo de información sensible, lo que podría resultar en robos de identidad, fraude financiero u otros delitos.

Por ello, es importante que se establezcan políticas claras sobre la propiedad, el acceso y la responsabilidad del cuidado al momento de compartir los datos transaccionales, como estipula el artículo 76 de la llamada Ley FinTech que, a efecto de fomentar el Open Banking en México, obliga a más de 2 mil sujetos a implementar APIs para ese fin y, de no hacerlo, podrían hacerse acreedores a una multa de 15 mil a 75 mil Unidades de Medida y Actualización (UMA), lo que equivale a una sanción de entre 1 millón 443,300 a 7 millones 216,500 pesos.

Así que, en tanto no se publiquen las leyes secundarias, existen desafíos que atender desde el sector financiero, la industria tecnológica y los usuarios en el desarrollo, la implementación y la vigilancia de las APIs, las cuales por sí solas representan un objetivo adicional de ataque y potencialmente único en los sistemas de las organizaciones, ya que las tendencias de arquitectura de aplicaciones modernas, el acceso móvil, los patrones de diseño de microservicios y el uso híbrido, local y en la nube, complican su seguridad.

• LEE: Las fintech en México crecen 26% en 2022; estos son sus retos y expectativas hacia 2023

Por el lado del sector financiero el reto está en impulsar su participación en el diseño de la nueva regulación con base en sus necesidades propias y su experiencia en la adopción de APIs. En cuanto a los desarrolladores de tecnología, será fortalecer los puntos de seguridad y adoptar un enfoque continuo de protección, que incluya las pruebas de seguridad a nivel aplicación en el momento del diseño, en la implementación, antes de la liberación y, de manera periódica, durante el funcionamiento de la API.

Finalmente, los dueños de los datos, es decir, nosotros los usuarios debemos asumir la corresponsabilidad de cuidarlos, verificando el aviso de privacidad de las instituciones con las que compartimos nuestra información, ya que, en muchos casos, no somos conscientes de cómo se está utilizando, lo que puede generar un alto riesgo para la privacidad.

*Manuel Moreno es Security Sales Enablement Director en IQSEC

Nota del editor: Este texto pertenece a nuestra sección de Opinión y refleja únicamente la visión del autor, no necesariamente el punto de vista de Alto Nivel.

MÁS NOTICIAS:

• Profeco llama a revisión a 13 mil autos VW por falla en bolsa de aire
• ¿De vacaciones? Estos son los 5 mejores hoteles del mundo, según TripAdvisor
• Peso argentino, la moneda más ganadora frente al dólar en primer trimestre
• ¿Cuáles son los 10 países más poblados del mundo?
• Peso cierra su tercera semana con pérdidas frente al dólar

IQSEC Más de 15 años de experiencia brindando soluciones integrales e innovadoras de ciberseguridad e identidad digital.