Nuevo informe confirma aumento de 3,5 veces más ataques de aplicaciones críticas bancarias web y API en 2022 con respecto a 2021.
Un ciberataque exitoso al sector bancario podría robar datos confidenciales y, en casos más graves, conseguir acceso inicial a una red y obtener más credenciales. Recomendaciones que ayudarán a las empresas de servicios financieros a proteger su entorno.
La adopción de API en la industria financiera ha permitido una mayor colaboración y eficiencia en el intercambio de información y servicios financieros entre instituciones y terceros.
Las API son una forma estandarizada de compartir datos y funcionalidades entre diferentes aplicaciones y sistemas, lo que permite una mayor interoperabilidad y capacidad de integración.
La banca abierta es un ejemplo de cómo las API se están utilizando en la industria financiera para permitir el acceso a los datos de los clientes de una manera segura y controlada.
Esto permite que los clientes compartan sus datos financieros con terceros proveedores de servicios, como aplicaciones de presupuesto y ahorro, proveedores de préstamos, entre otros.
La banca como servicio también se está volviendo cada vez más popular, permitiendo que las empresas no financieras ofrezcan servicios financieros a sus clientes a través de la integración de API con proveedores de servicios financieros.
El creciente mercado de finanzas integradas también ha impulsado el uso de API en la industria financiera. Los servicios de finanzas integradas permiten a los clientes acceder a una variedad de servicios financieros de diferentes proveedores a través de una sola plataforma. Esto se logra mediante la integración de las API de diferentes proveedores de servicios financieros en una sola plataforma.
En general, el uso de API en la industria financiera ha permitido una mayor innovación y colaboración en el sector, lo que ha llevado a una mayor eficiencia y una mejor experiencia del cliente. Sin embargo, es importante destacar que la seguridad y la privacidad de los datos financieros deben ser una prioridad en el uso de API en la industria financiera.
Las finanzas integradas están ganando popularidad en todo el mundo y se espera que generen importantes ingresos en los próximos años. Las finanzas integradas se refieren a la combinación de servicios financieros de diferentes proveedores en una sola plataforma para ofrecer a los clientes una experiencia financiera completa e integrada.
La investigación de Juniper que mencionas, predice que las finanzas integradas generarán ingresos de alrededor de 180.000 millones de dólares estadounidenses para el año 2027. Se espera que el crecimiento de las finanzas integradas sea impulsado por una mayor adopción de tecnologías como la inteligencia artificial y el aprendizaje automático, que permiten una mayor personalización y eficiencia en la oferta de servicios financieros integrados.
Además, las finanzas integradas también pueden mejorar la inclusión financiera al hacer que los servicios financieros sean más accesibles y convenientes para las personas que de otra manera podrían tener dificultades para acceder a ellos.
La seguridad y la privacidad de los datos financieros son de suma importancia en las finanzas integradas, ya que se están compartiendo datos financieros entre diferentes proveedores de servicios. Las empresas que ofrecen servicios financieros integrados deben implementar medidas de seguridad adecuadas para garantizar que los datos financieros de los clientes estén protegidos y no se utilicen de manera indebida.
Para garantizar la seguridad de los datos financieros, las empresas deben implementar medidas de seguridad técnicas y organizativas, como la encriptación de datos, la autenticación de usuarios, el monitoreo de actividades sospechosas y la capacitación de los empleados en seguridad de datos.
Además, deben cumplir con las regulaciones pertinentes, como la Ley de Protección de Datos Personales y la regulación de privacidad financiera.
Es importante que las empresas que ofrecen servicios financieros integrados tengan un enfoque proactivo en la gestión de la seguridad de los datos financieros de sus clientes y trabajen en estrecha colaboración con los reguladores y los clientes para garantizar que se cumplan los más altos estándares de seguridad y privacidad.
Al hacerlo, las empresas pueden construir la confianza de los clientes y fortalecer su posición en el mercado.
Si bien moverse en esta dirección presenta oportunidades de crecimiento para los bancos y otras instituciones financieras, también conlleva riesgos.
Helder Ferrão, director estratega de industria para Latinoamérica de Akamai, informó que los ataques a instituciones bancarias están creciendo a un ritmo alarmante dirigidos principalmente a aplicaciones web y API.
El reciente informe realizado por Akamai: Superando las brechas de seguridad: el auge de los ataques de aplicaciones y API contra organizaciones , indicó un aumento de 3,5 veces más ataques de aplicaciones web y API en 2022 con respecto a 2021.
Es preocupante escuchar que los ataques a instituciones bancarias están aumentando a un ritmo alarmante y que las aplicaciones web y API son objetivos principales. Los ciberataques pueden tener graves consecuencias para las instituciones financieras, incluyendo pérdidas financieras y daños a la reputación.
El informe de Akamai es un indicador importante de la creciente importancia de proteger las aplicaciones web y API contra los ciberataques. Las instituciones financieras deben tomar medidas para asegurar sus aplicaciones y API, como implementar firewalls de aplicaciones web, utilizar autenticación de múltiples factores, realizar pruebas regulares de penetración y mantenerse actualizados con las últimas vulnerabilidades de seguridad.
Además, las instituciones financieras deben ser proactivas en la detección de ciberataques y tener planes de respuesta de seguridad bien definidos en caso de que ocurra un ataque. Esto puede incluir la notificación de los clientes afectados, la colaboración con las autoridades y la implementación de medidas para evitar futuros ataques.
En resumen, los ataques a instituciones bancarias están aumentando y es importante que las instituciones financieras tomen medidas para proteger sus aplicaciones web y API contra los ciberataques.
La seguridad cibernética es una responsabilidad compartida entre las instituciones financieras, los proveedores de servicios de seguridad y los clientes, y todos deben trabajar juntos para garantizar la seguridad y la protección de los datos financieros.
Tanto las aplicaciones web como las APIs son esenciales en la vida y transformación digital de la banca.
Las aplicaciones web son fundamentales para la interacción de los clientes con los servicios financieros en línea, mientras que las APIs permiten la integración de diferentes sistemas y servicios para brindar soluciones financieras más completas y personalizadas.
Las aplicaciones web permiten a los clientes acceder a servicios bancarios en línea, como la banca móvil, el pago de facturas, la transferencia de fondos y el monitoreo de transacciones. Las aplicaciones web también son importantes para la experiencia del usuario, ya que los clientes esperan una interfaz de usuario amigable e intuitiva en línea.
Las APIs permiten la integración de diferentes sistemas y servicios financieros, lo que permite a las instituciones financieras ofrecer soluciones más personalizadas y completas. Por ejemplo, una API de pago puede integrarse con diferentes sistemas de pago, lo que permite a los clientes pagar sus facturas utilizando diferentes métodos de pago. Las APIs también pueden permitir la integración de servicios financieros de terceros, como plataformas de préstamos entre iguales, para brindar soluciones más completas y personalizadas a los clientes.
En resumen, tanto las aplicaciones web como las APIs son esenciales en la vida y transformación digital de la banca. Las aplicaciones web permiten a los clientes acceder a servicios financieros en línea y las APIs permiten la integración de diferentes sistemas y servicios financieros para brindar soluciones más personalizadas y completas a los clientes.
Es cierto que las API (Application Programming Interfaces) han estandarizado la conexión y el intercambio de información financiera entre organizaciones y terceros, lo que ha permitido una mayor interoperabilidad y colaboración entre empresas de servicios financieros y otros proveedores de tecnología.
Las API permiten a los desarrolladores crear aplicaciones que pueden acceder a los datos financieros de los clientes de manera segura y eficiente, lo que ha llevado a una serie de innovaciones en la industria financiera, como los servicios de pago móvil, las aplicaciones de banca en línea, las aplicaciones de gestión de finanzas personales, entre otras.
Por otro lado, las aplicaciones web también han mejorado la experiencia del cliente al ofrecer una mayor comodidad, rapidez y fiabilidad en el procesamiento de las transacciones financieras. Las aplicaciones web también pueden reducir los costos para las empresas de servicios financieros, ya que no requieren la instalación de software en el equipo del cliente y se pueden actualizar de manera más rápida y eficiente que las aplicaciones de escritorio tradicionales.
En resumen, la combinación de API y aplicaciones web ha llevado a una mayor innovación y eficiencia en la industria financiera, mejorando la experiencia del cliente y reduciendo los costos para las empresas de servicios financieros.
Es cierto que la utilización de API y aplicaciones web en la industria financiera, aunque tiene muchos beneficios, también ha aumentado la superficie de ataque para los ciberdelincuentes. Esto se debe a que estos sistemas están expuestos a una amplia gama de vulnerabilidades y amenazas cibernéticas, como el robo de identidad, el phishing, el malware y los ataques de denegación de servicio.
Los ciberdelincuentes pueden intentar aprovecharse de estas vulnerabilidades para acceder a información financiera confidencial, robar fondos o interrumpir los servicios financieros en línea. Además, los datos de los clientes pueden ser utilizados para el fraude financiero y el robo de identidad, lo que puede tener un impacto significativo en la reputación de una empresa de servicios financieros.
Es por eso que las empresas de servicios financieros deben implementar medidas de seguridad sólidas para proteger sus sistemas críticos. Esto incluye la implementación de protocolos de autenticación fuertes, la detección y respuesta ante amenazas avanzadas, la implementación de controles de acceso y la realización de pruebas de penetración y evaluaciones de seguridad regulares.
En resumen, aunque las API y las aplicaciones web ofrecen muchas ventajas a la industria financiera, también representan una nueva superficie de ataque para los ciberdelincuentes. Por lo tanto, las empresas de servicios financieros deben tomar medidas de seguridad efectivas para proteger sus sistemas críticos y asegurarse de que los datos de sus clientes estén seguros.
Resulta alarmante que los servicios financieros, el comercio y la alta tecnología sean los sectores más afectados por los ataques dirigidos a aplicaciones web y API. Estos sectores manejan una gran cantidad de datos financieros y personales de los clientes, lo que los convierte en objetivos atractivos para los ciberdelincuentes.
En América Latina, donde el costo anual del cibercrimen asciende a 90 mil millones de dólares, es aún más crítico que las empresas de servicios financieros tomen medidas efectivas para proteger sus sistemas y datos.
Además, en la región hay una falta de recursos y capacidades para lidiar con la creciente amenaza del cibercrimen, lo que hace que sea aún más importante para las empresas tomar medidas de seguridad proactivas.
Las empresas de servicios financieros deben implementar medidas de seguridad efectivas para proteger sus sistemas y datos, como la implementación de controles de acceso, la implementación de protocolos de autenticación fuertes, la detección y respuesta ante amenazas avanzadas y la realización de pruebas de penetración y evaluaciones de seguridad regulares.
En resumen, los sectores de servicios financieros, comercio y alta tecnología son los más afectados por los ataques a aplicaciones web y API, y en América Latina, donde el costo del cibercrimen es significativo, es crítico que las empresas tomen medidas proactivas para proteger sus sistemas y datos.
Tan solo a finales de 2021, se contabilizaron más de 1.500 plataformas bancarias que ofrecían más de 5.000 APIs; un 75% de estas plataformas eran europeas. Otro ejemplo del crecimiento de las APIs en América Latina es el anuncio dado a conocer por Visa a finales del año pasado donde destacaba que habían superado más de mil millones de solicitudes de Interfaces de Programación de Aplicaciones de Visa Solutions, disponibles a través de la plataforma Visa Developer, y ya contaban con más de 200 proyectos lanzados en la región.
Graves consecuencias por APIs o aplicaciones Web hackeadas
En 24 horas, la explotación de las vulnerabilidades de día cero recién descubiertas contra los servicios financieros puede alcanzar varios miles de ataques por hora y llega a su punto álgido rápidamente, lo que deja poco tiempo para aplicar parches y reaccionar. Helder Ferrão explicó que una vez que los atacantes lancen ataques a aplicaciones web con éxito, podrían robar datos confidenciales y, en casos más graves, conseguir acceso inicial a una red y obtener más credenciales que les permitirían moverse lateralmente.
Aparte de las implicaciones de una filtración, agregó el experto, la información robada se podría vender de forma clandestina o se podría utilizar para otros ataques. Esto es muy preocupante dado el volumen de datos, como la información de identificación personal y los datos de las cuentas bancarias, que posee el sector de los servicios financieros.
El mencionado informe de Akamai, destaca que el aumento de los ataques a aplicaciones web y API se ha visto impulsado principalmente por la inclusión de archivos locales (LFI) y los scripts entre sitios (XSS). A diferencia de las inyecciones SQL, los atacantes suelen aprovechar la LFI y el XSS para infiltrarse en las redes de sus objetivos, en lugar de simplemente acceder a una base de datos.
Los atacantes sondean constantemente Internet mediante herramientas automatizadas para buscar posibles objetivos. Los ataques de LFI permiten a los atacantes verificar si la organización objetivo es realmente vulnerable. Además, los atacantes podrían inyectar código malicioso en el servidor web y aprovechar la vulnerabilidad de la LFI para la ejecución remota de código, lo que pondría en peligro la seguridad del sistema. Lo que es peor, se podría emplear la LFI para filtrar información confidencial a los atacantes.
Por su parte, el XSS también plantea riesgos de seguridad a las organizaciones.
Los atacantes pueden utilizar vulnerabilidades de XSS para inyectar código en los sitios web y, a continuación, cada vez que los usuarios visitan un sitio web comprometido, corren el riesgo de que la información se exponga.
El atacante envía otro tipo de XSS a las víctimas a través de enlaces maliciosos que llevan a la descarga de una carga útil. Los atacantes suelen emplear este vector para llevar a cabo ataques de phishing, así como la desfiguración en los sitios web.
El aumento acelerado de los ataques a aplicaciones web y API en el mercado de los servicios financieros es motivo de preocupación, sobre todo por sus implicaciones de seguridad. Sin embargo, tener un conocimiento claro de las superficies y vectores de ataque podría ayudar a las empresas de servicios financieros a proteger su entorno.
En ese sentido, el directivo de Akamai recomendó al sector bancario contar con una mayor visibilidad sobre sus superficies de ataque y exposiciones de riesgo para ayudarlo a diseñar planes de mitigación. Hay dos cosas que siempre brindan un gran retorno de la inversión: (1) aumentar el conocimiento de la situación y (2) minimizar su superficie de ataque. Asimismo, es muy importante dar a conocer los riesgos de seguridad a todos los empleados en la organización y ofrecer capacitación en ciberseguridad para los responsables de seguridad y tecnologías de la información.
Por Marcelo Lozano – General Publisher IT CONNECT LATAM
Lea más sobre ciberseguridad en;
Inversión en seguridad 2023: simple y efectiva
Decoy Dog 2023: kit de herramientas de malware
AuKill: Bring Your Own Vulnerable Driver para deshabilitar software de detección y EDR
QRadar Security Suite: la navaja suiza 2023 de IBM
Qbot 2023 infecta correos corporativos con archivos PDF maliciosos
Aplicaciones críticas bancarias, Aplicaciones críticas bancarias, Aplicaciones críticas bancarias, Aplicaciones críticas bancarias, Aplicaciones críticas bancarias, Aplicaciones críticas bancarias, Aplicaciones críticas bancarias, Aplicaciones críticas bancarias, Aplicaciones críticas bancarias, Aplicaciones críticas bancarias, Aplicaciones críticas bancarias, Aplicaciones críticas bancarias,
Aplicaciones críticas bancarias, Aplicaciones críticas bancarias, Aplicaciones críticas bancarias, Aplicaciones críticas bancarias, Aplicaciones críticas bancarias, Aplicaciones críticas bancarias, Aplicaciones críticas bancarias, Aplicaciones críticas bancarias, Aplicaciones críticas bancarias, Aplicaciones críticas bancarias, Aplicaciones críticas bancarias, Aplicaciones críticas bancarias,
Aplicaciones críticas bancarias, Aplicaciones críticas bancarias, Aplicaciones críticas bancarias, Aplicaciones críticas bancarias, Aplicaciones críticas bancarias, Aplicaciones críticas bancarias, Aplicaciones críticas bancarias, Aplicaciones críticas bancarias,