La aceleración digital ha impulsado que el sector financiero adopte el Open Banking con el uso de APIs para mejorar la oferta de servicios. No obstante, sin una estrategia de ciberseguridad, ponen en riesgo los datos de sus usuarios, considerando que 61% de las organizaciones no tienen controles de protección robustos contra los ataques cibernéticos.
Al presentar su reciente estudio: “Consideraciones de Ciberseguridad y Privacidad para Open Banking”, IQSEC, líder en Ciberseguridad e Identidad Digital, en voz de Manuel Moreno Liy, Chief Security Sales Enablement Officer de la compañía, alertó sobre la imperante necesidad del sector financiero de hacer alianzas en materia de ciberseguridad para mantener protegida su infraestructura crítica, así como la confidencialidad y la integridad de los datos utilizados en el contexto de Open Banking.
Según el informe “Estado de la seguridad de las API 2022”, de Salt Securtiy, aproximadamente, 34% de las organizaciones no tienen ninguna estrategia de seguridad y 27% adicional, solo tienen una básica, que consiste en un escaneo mínimo y revisiones manuales del estado de seguridad de las APIs, sin controles ni gestión sobre las mismas.
“Ello refleja la exposición de las instituciones financieras a los riesgos cibernéticos, ya que sin medidas de ciberseguridad las vulnerabilidades en las APIs pueden ser explotadas y así acelerar incidentes multimillonarios, que, además, conllevan sanciones propias del sector bancario y en un futuro próximo, de la nueva Ley de Ciberseguridad”, destacó Moreno Liy.
Actualmente, cada nueva API que se publica y se pone en operación representa un objetivo de ataque adicional y potencialmente único en los sistemas de cada organización que las utiliza. “Las tendencias de arquitectura de las aplicaciones modernas, incluido el acceso móvil, los patrones de diseño de microservicios y el uso híbrido, local y en la nube, complican la seguridad de las APIs, ya que rara vez existe un único punto en el que se pueda aplicar la protección”, detalló el experto en Ciberseguridad.
Sin embargo, dijo Moreno Liy, con los aliados idóneos en ciberseguridad, se puede lograr la protección de las APIs abarcando dos aspectos indispensables: el control de acceso de los usuarios a las aplicaciones y la protección contra amenazas, para detectar y bloquear ataques.
En consecuencia y en aras de impulsar un México Ciberseguro, IQSEC enlista una serie de recomendaciones que dan pauta a la seguridad de las APIs:
- Obtener visibilidad mediante la identificación de las APIs en uso, en desarrollo y obsoletas.
- Categorizar y priorizar las APIs de acuerdo con el contexto del negocio, la madurez tecnológica y nivel de exposición.
- Identificar vulnerabilidades de la APIs en alianza con expertos de ciberseguridad que analicen de manera integral y exhaustiva las posibles vulnerabilidades presentes en las APIs.
- Aprovechar las tecnologías existentes como Gestión de APIs, Firewall de aplicación web, Gestión de acceso, API Gateway, y Protección In-App.
- Adoptar un enfoque continuo para la protección de las APIs.
- Brindar protección distribuida para las APIs.
- Vigilar la seguridad de las APIs de terceros.
“Con estas sugerencias y la implementación de una estrategia que incorpore prácticas y estándares reconocidos de seguridad que brinden una protección 360° más allá de las pruebas de vulnerabilidades de software, se contribuye a disipar los temores de los consumidores sobre el riesgo de fraude o filtración de datos”, manifestó el Director de Habilitación de Ventas de Seguridad de IQSEC.
IQSEC ofrece el acompañamiento técnico y especializado con herramientas tecnológicas y acciones de alto impacto, que permitirán a las instituciones financieras incrementar su resiliencia aún y cuando las APIs aumenten la superficie de ataque, debido a su uso expansivo.
Este nuevo estudio titulado “Consideraciones de Ciberseguridad y Privacidad para Open Banking” puedes consultarlo y descargarlo en
https://www.iqsec.com.mx/interiores/estudio-open-banking.php