A medida que más instituciones financieras se vuelven digitales y amplían su horizonte al adoptar iniciativas innovadoras, como la banca abierta, la banca como servicio y el creciente mercado de finanzas integradas, el intercambio de datos e información a través de API (interfaz de programación de aplicaciones) se convierte en una herramienta fundamental y poderosa para este sector. En los últimos años, las finanzas integradas han cobrado impulso en todo el mundo y están preparadas para generar ingresos aproximados a los 180.000 millones de dólares estadounidenses para 2027, según la investigación de Juniper.
Si bien moverse en esta dirección presenta oportunidades de crecimiento para los bancos y otras instituciones financieras, también conlleva riesgos. Helder Ferrão, director estratega de industria para Latinoamérica de Akamai, informó que los ataques a instituciones bancarias están creciendo a un ritmo alarmante dirigidos principalmente a aplicaciones web y API. El reciente informe realizado por Akamai, «Superando las brechas de seguridad: el auge de los ataques de aplicaciones y API contra organizaciones», indicó un aumento de 3,5 veces más ataques de aplicaciones web y API en 2022 con respecto a 2021. Esto supone el mayor aumento interanual de ataques contra cualquier vector, con la excepción de los juegos de azar.
Tanto las aplicaciones Web como las APIs o interfaz de programación de aplicaciones (conjunto de protocolos que se usa para diseñar e integrar el software de las aplicaciones) son esenciales en la vida y transformación digital de la banca. Con las API, los bancos y terceros han estandarizado la conexión de datos o el intercambio de información financiera de los clientes entre organizaciones y terceros. Mientras que las aplicaciones Web mejoran la experiencia de los clientes gracias a la comodidad, la mayor rapidez de procesamiento y la fiabilidad que ofrecen, además de reducir los costos para las empresas de servicios financieros.
Las API y las aplicaciones web, las cuales podrían considerarse como parte de los sistemas críticos de la banca, tienen muchos beneficios y ventajas, pero al mismo tiempo representan una nueva superficie de ataque que los ciberdelincuentes desde luego ya están aprovechando. En los últimos 12 meses los servicios financieros junto con comercio y alta tecnología, fueron los sectores con más ataques hacia aplicaciones Web y API que juntos representan casi el 50% del volumen total de ataques dirigidos a estas interfaces. En América Latina, donde el costo anual del cibercrimen asciende a 90 mil millones de dólares.
Tan solo a finales de 2021, se contabilizaron más de 1.500 plataformas bancarias que ofrecían más de 5.000 APIs; un 75% de estas plataformas eran europeas. Otro ejemplo del crecimiento de las APIs en América Latina es el anuncio dado a conocer por Visa a finales del año pasado donde destacaba que habían superado más de mil millones de solicitudes de Interfaces de Programación de Aplicaciones de Visa Solutions, disponibles a través de la plataforma Visa Developer, y ya contaban con más de 200 proyectos lanzados en la región.
Graves consecuencias por APIs o aplicaciones Web hackeadas
En 24 horas, la explotación de las vulnerabilidades de día cero recién descubiertas contra los servicios financieros puede alcanzar varios miles de ataques por hora y llega a su punto álgido rápidamente, lo que deja poco tiempo para aplicar parches y reaccionar. Helder Ferrão explicó que una vez que los atacantes lancen ataques a aplicaciones web con éxito, podrían robar datos confidenciales y, en casos más graves, conseguir acceso inicial a una red y obtener más credenciales que les permitirían moverse lateralmente.
Aparte de las implicaciones de una filtración, agregó el experto, la información robada se podría vender de forma clandestina o se podría utilizar para otros ataques. Esto es muy preocupante dado el volumen de datos, como la información de identificación personal y los datos de las cuentas bancarias, que posee el sector de los servicios financieros.
El mencionado informe de Akamai, destaca que el aumento de los ataques a aplicaciones web y API se ha visto impulsado principalmente por la inclusión de archivos locales (LFI) y los scripts entre sitios (XSS). A diferencia de las inyecciones SQL, los atacantes suelen aprovechar la LFI y el XSS para infiltrarse en las redes de sus objetivos, en lugar de simplemente acceder a una base de datos.
Los atacantes sondean constantemente Internet mediante herramientas automatizadas para buscar posibles objetivos. Los ataques de LFI permiten a los atacantes verificar si la organización objetivo es realmente vulnerable. Además, los atacantes podrían inyectar código malicioso en el servidor web y aprovechar la vulnerabilidad de la LFI para la ejecución remota de código, lo que pondría en peligro la seguridad del sistema. Lo que es peor, se podría emplear la LFI para filtrar información confidencial a los atacantes.
Por su parte, el XSS también plantea riesgos de seguridad a las organizaciones. Los atacantes pueden utilizar vulnerabilidades de XSS para inyectar código en los sitios web y, a continuación, cada vez que los usuarios visitan un sitio web comprometido, corren el riesgo de que la información se exponga. El atacante envía otro tipo de XSS a las víctimas a través de enlaces maliciosos que llevan a la descarga de una carga útil. Los atacantes suelen emplear este vector para llevar a cabo ataques de phishing, así como la desfiguración en los sitios web.
El aumento acelerado de los ataques a aplicaciones web y API en el mercado de los servicios financieros es motivo de preocupación, sobre todo por sus implicaciones de seguridad. Sin embargo, tener un conocimiento claro de las superficies y vectores de ataque podría ayudar a las empresas de servicios financieros a proteger su entorno.
En ese sentido, el directivo de Akamai recomendó al sector bancario contar con una mayor visibilidad sobre sus superficies de ataque y exposiciones de riesgo para ayudarlo a diseñar planes de mitigación. Hay dos cosas que siempre brindan un gran retorno de la inversión: (1) aumentar el conocimiento de la situación y (2) minimizar su superficie de ataque. Asimismo, es muy importante dar a conocer los riesgos de seguridad a todos los empleados en la organización y ofrecer capacitación en ciberseguridad para los responsables de seguridad y tecnologías de la información.