Contenido Exclusivo

Las API son cada vez más atractivas para las organizaciones criminales

Los consumidores se prepararon para inyectar a la economía digital un estimado de $843-859 mil millones este año, más del doble de lo que eran en 2002, cuando las ventas navideñas totales alcanzaron solo $416.4 mil millones. 

En última instancia, todo esto pasará por las instituciones de servicios financieros. Ya sea que los pagos se procesen a través de Apple Pay o Venmo, PayPal o una tarjeta de débito, siempre existirá la participación de una cuenta en una institución de servicios financieros. 

Esto, naturalmente, conduce a intentos por parte de actores malintencionados de obtener acceso a esas cuentas, especialmente a través de FinTechs. Ya sea a través de estafas de los mismos empleados, a través del relleno de credenciales (credential stuffing) o por la fuerza bruta, los ataques pueden producir ganancias inesperadas para quienes persisten en sus esfuerzos. 

“La mayoría de las infracciones exitosas de las que escuchamos hoy se ejecutan directamente contra las interfaces de usuario de una institución de servicios financieros, ya sea una aplicación web, un mensaje de texto o por correo electrónico”, comentó Oscar Sánchez, Sales Solution Engineer de F5.

 “Es preocupante considerar el impacto del crecimiento explosivo de las API que alimentan el ecosistema financiero digital y los riesgos asociados a terceros, que las organizaciones criminales están reconociendo rápidamente como un vector de ataque lucrativo”. 

Las API, un atractivo para el cibercrimen

 Los consumidores de hoy se enfrentan a un ecosistema de pagos cada vez más diverso para financiar sus gastos: 

• Más de dos a tres compradores de la Generación Z compran a través de canales no tradicionales como Instagram, WhatsApp y transmisiones en vivo durante esta temporada navideña. 

• Según la encuesta NPD de Junio de 2021, más del 50% de los consumidores dicen haber realizado compras a través de Instagram o Facebook. El 15% de esos consumidores nombraron a TikTok como una plataforma de redes sociales donde descubren y aprenden sobre productos. (Fuente: Estadísticas y tendencias de e-commerce de compras navideñas 2021).

Un ecosistema de pagos próspero se basa en el uso de las API para facilitar las transacciones financieras digitales. La estandarización respalda la necesidad de transacciones rápidas y seguras para abordar la naturaleza impaciente de los consumidores, así como la capacidad de una empresa digital para adaptarse y crecer. El estándar líder en la actualidad es FDX (Financial Data Exchange) y, a septiembre de 2021, cuenta con 22 millones de cuentas de consumidores que utilizan las API FDX para compartir datos financieros abiertos. En particular, esto ha resultado en un aumento significativo en el volumen de llamadas API, que se han disparado a 2 mil millones por mes. (Fuente: FinExtra

El informe publicado recientemente por F5, Expansión continua de API Sprawl: Desafíos y Oportunidades en una economía impulsada por API” señala la rápida proliferación de API y los riesgos de gobernanza y seguridad que esto plantea. 

Indica que las API, que impulsan desde pagos digitales hasta servicios de entretenimiento, actualmente suman alrededor de 200 millones. Para 2030, esa cifra podría llegar a 1.700 millones. 

Los hallazgos de la investigación de F5 Labs muestran que la cantidad de incidentes de seguridad de las API está creciendo cada año, muchas relacionadas a terceros como FinTechs. 

Defender la economía digital 

Asegurar las API y proteger a los consumidores y a las compañías contra el fraude, es un enfoque cada vez más importante para las empresas digitales en todas las industrias, pero especialmente las de servicios financieros. 

Los diferentes equipos de desarrollo que trabajan en múltiples aplicaciones a menudo utilizan conjuntos de herramientas dispares. Eso significa que los equipos de seguridad tradicionales pueden no poseer un punto de control centralizado para hacer cumplir la seguridad. Esto requiere un conjunto estándar de herramientas para integrar los controles correctos en los procesos de desarrollo y gestión de las API. (Fuente: F5, Asegurar el FDX API para proteger los Datos en Open Banking). 

La guía de soluciones de open banking de F5   proporciona un enfoque integral de las soluciones de F5. Además, FDX ha publicado extensas recomendaciones  sobre los controles que deben implementarse para proteger de amenazas y riesgos, la información de las cuentas de los consumidores y la integridad del servicio. Estos controles incluyen: 

• Seguridad del software: control de las 10 principales vulnerabilidades de OWASP y otras vulnerabilidades de software, incluida la implementación de un firewall de aplicaciones web (WAF)

• Seguridad de redes y sistemas. 

• Seguridad operativa. 

• Seguridad física. 

• Continuidad comercial y recuperación ante desastres. 

• Seguridad del proveedor. 

• Patrones de diseño para authN / authZ que incluyen controles para el relleno de credenciales (cedential stuffing). 

• Patrones para una arquitectura de puerta de enlace segura (SGA), incluidos los controles de seguridad API integrados en el portal API 

“Es importante señalar que la defensa de los datos financieros, es cada vez más importante en una economía digital. Si bien es cierto que el riesgo de fraude para las empresas es considerable, el riesgo para los consumidores es aún mayor”, concluyó Oscar Sánchez. 

Lo Más Reciente

Tenable descubre nuevas técnicas de ataque en software de código abierto

El equipo de investigación de seguridad en la nube...

Shopperbot: robot mexicano que ayuda a tomar mejores decisiones de compra

Como parte de las soluciones para impulsar la hiperpersonalización...

Los ‘Scam-Yourself Attacks’ aumentan 614% en el tercer trimestre del año: informe

Los 'Scam-Yourself Attacks' o "ataques de estafa”, en los...

Newsletter

Recibe lo último en noticias e información exclusiva.

Mireya Cortés
Mireya Cortés
Editora CIO Ediworld Online. La puedes contactar en mcortes@ediworld.com.mx

Tenable descubre nuevas técnicas de ataque en software de código abierto

El equipo de investigación de seguridad en la nube de Tenable descubrió nuevas técnicas de ataque en los Lenguajes Específicos de Dominio (DSLs, por...

“Mejorar la visibilidad en el ecosistema tecnológico, interno y de cara al cliente” : José Armando López Flores, CISO de Crediclub

“Queremos ser esa institución financiera que cubra con las expectativas de los clientes a través de garantizarles que su patrimonio estará seguro”. Con el objetivo...

Shopperbot: robot mexicano que ayuda a tomar mejores decisiones de compra

Como parte de las soluciones para impulsar la hiperpersonalización en la atención al cliente por medio de la tecnología, PepsiCo México desarrolló a Shopperbot....