Open Banking y ciberseguridad

El Open Banking* está creciendo en Latinoamérica a un ritmo acelerado. A finales de 2021, más de 2.200 entidades financieras en México habían implementado API para intercambiar “datos abiertos” con terceros., explica Ricardo Cazares, vicepresidente de ventas Latinoamérica en Imperva.

El Open Banking ofrece ventajas para los clientes y las empresas, como una mayor flexibilidad y personalización, una mejor inclusión financiera y menores costos y comisiones. Aunque también presenta un mayor riesgo de ciberataques para las entidades financieras.

El volumen de tráfico no supervisado que fluye a través de las API ha aumentado un 89% en el último año, lo que representa un riesgo de seguridad significativo. Proteger las API es crítico para la seguridad cibernética de las empresas financieras.

Para lograr esto, es necesario tener visibilidad total de todas las API de la organización, establecer una buena gestión y tener visibilidad sobre el esquema completo de cada API. Las empresas necesitan evaluar entornos heredados, híbridos y nativos de la nube para garantizar la protección de las API. Es crucial tomar medidas para garantizar la seguridad de las API en las empresas financieras.

Tres pasos para garantizar la seguridad

Para eliminar las “API en la sombra” y evitar el uso indebido se necesitan tres capacidades básicas:

  1. Visibilidad total de todas las API de la organización: Dada la velocidad a la que se producen y modifican las API, el descubrimiento y la clasificación manual es prácticamente imposible. En su lugar, mediante la automatización del proceso, las instituciones financieras pueden desarrollar un inventario completo de APIs que se actualiza continuamente cada vez que se realiza un cambio en la producción, proporcionando visibilidad a los equipos de seguridad sin ralentizar a los desarrolladores.
     
  2. Establecer una buena gestión: Por ejemplo, la aplicación de normas y políticas de seguridad comunes sobre cómo deben utilizarse las API. Esto no sólo ahorra tiempo y dinero gracias a una mayor coherencia, sino que también permite una mejor toma de decisiones en relación con los procesos de creación, despliegue y consumo de API. Esto es aún más importante en sectores muy regulados, como el financiero, para garantizar el cumplimiento de normativas.
     
  3. Visibilidad sobre el esquema completo de cada API: Esto también debe incluir todos los datos que fluyen a través de ellas. Gracias a la visibilidad de los esquemas, las empresas pueden definir el uso previsto de los puntos finales de las API y compararlo con una línea de base de comportamiento normal, lo que facilita la identificación e investigación de anomalías. Esto está estrechamente relacionado con la buena administración de las API, ya que implica comprender la carga útil subyacente y asegurarse de que también está protegida.

Para que estas capacidades de seguridad sean eficaces, las empresas necesitan también evaluar entornos heredados, híbridos y nativos de la nube. De lo contrario, la protección de las API seguirá estando fragmentada. Como consecuencia, quedarán desprotegidas y el tráfico potencialmente sensible no se supervisará.

Tomar la iniciativa

Debido a la estricta normativa que impacta a las instituciones financieras, como es la “ley fintech” en México y Brasil, el sector ha sido durante mucho tiempo líder en ciberseguridad y muchas empresas han adoptado nuevas tecnologías para mejorar la protección de datos o la seguridad de las aplicaciones. Ahora, debido al crecimiento del Open Banking y otras iniciativas de transformación digital, las “API en la sombra” se han convertido en otro reto con el que tienen que lidiar.

La protección sólida es una cuestión holística. Sin embargo, si se centran en garantizar la plena visibilidad de las API en todos los entornos, trazar la estrategia y el flujo de trabajo útil subyacente de cada una, así como aplicar buenas prácticas de gestión, las organizaciones pueden aprovechar al máximo las ventajas del open banking, al tiempo que se protegen a sí mismas y a sus clientes de las graves repercusiones tanto monetarias como de reputación en el caso de que un ataque sea exitoso.

* Open Banking es un término que se refiere a un conjunto de prácticas y regulaciones que permiten a los consumidores compartir sus datos financieros con terceros proveedores de servicios financieros, de manera segura y controlada. En esencia, Open Banking permite que las instituciones financieras compartan datos de clientes con otras empresas financieras o proveedores de servicios, lo que crea un ecosistema más abierto y competitivo en el sector financiero.

Open Banking se ha desarrollado como resultado de la digitalización de la industria financiera y la creciente demanda de los consumidores de tener más control sobre sus finanzas. Los reguladores y gobiernos en todo el mundo han implementado leyes y regulaciones que obligan a las instituciones financieras a compartir los datos de sus clientes de manera segura y estandarizada, lo que permite a los consumidores y empresas acceder a una amplia variedad de servicios financieros innovadores y personalizados.

Algunos ejemplos de servicios financieros que pueden ser ofrecidos gracias al Open Banking incluyen la agregación de cuentas bancarias, la gestión de presupuestos, la comparación de tarifas de préstamos y cuentas de ahorro, y la obtención de préstamos o hipotecas de manera más rápida y sencilla.