Las FinTechs ganan popularidad entre los consumidores, pero también en las organizaciones criminales

Los consumidores se prepararon para inyectar a la economía digital entre 843 y 859 mil millones de dólares este año, más del doble de lo que eran en 2002, cuando las ventas navideñas totales alcanzaron solo 416.4 mil millones.

En última instancia, todo esto pasará por las instituciones de servicios financieros. Ya sea que los pagos se procesen a través de plataformas como Apple Pay o Venmo, PayPal o una tarjeta de débito, siempre existirá la participación de una cuenta en una institución de servicios financieros.

Esto, naturalmente, conduce a intentos por parte de actores malintencionados de obtener acceso a esas cuentas, especialmente a través de FinTechs. Ya sea a través de estafas de los mismos empleados, a través del relleno de credenciales (credential stuffing) o por la fuerza bruta, los ataques pueden producir ganancias inesperadas para quienes persisten en sus esfuerzos.

La mayoría de las infracciones exitosas de las que escuchamos hoy se ejecutan directamente contra las interfaces de usuario de una institución de servicios financieros, ya sea una aplicación web, un mensaje de texto o por correo electrónico.

Es preocupante considerar el impacto del crecimiento explosivo de las API que alimentan el ecosistema financiero digital y los riesgos asociados a terceros, que las organizaciones criminales están reconociendo rápidamente como un vector de ataque lucrativo.

Las API son cada vez más atractivas para las organizaciones criminales

Los consumidores de hoy se enfrentan a un ecosistema de pagos cada vez más diverso para financiar sus gastos:

• Más de 2 de 3 compradores de la Generación Z compran a través de canales no tradicionales como Instagram, WhatsApp y transmisiones en vivo.

• Según la encuesta NPD de Junio de 2021, más del 50% de los consumidores dicen haber realizado compras a través de Instagram o Facebook. El 15% de esos consumidores nombraron a TikTok como una plataforma de redes sociales donde descubren y aprenden sobre productos. (Fuente: Estadísticas y tendencias de e-commerce de compras navideñas 2021).

Un ecosistema de pagos próspero se basa en el uso de las API para facilitar las transacciones financieras digitales. La estandarización respalda la necesidad de transacciones rápidas y seguras para abordar la naturaleza impaciente de los consumidores, así como la capacidad de una empresa digital para adaptarse y crecer.

El estándar líder en la actualidad es FDX (Financial Data Exchange) y, a septiembre de 2021, cuenta con 22 millones de cuentas de consumidores que utilizan las API FDX para compartir datos financieros abiertos. En particular, esto ha resultado en un aumento significativo en el volumen de llamadas API, que se han disparado a 2 mil millones por mes. (Fuente: FinExtra)

Los informes recientes indican que las API, que impulsan desde pagos digitales hasta servicios de entretenimiento, actualmente suman alrededor de 200 millones. Para 2030, esa cifra podría llegar a 1.700 millones.

Los hallazgos de la investigación muestran que la cantidad de incidentes de seguridad de las API está creciendo cada año, muchas relacionadas a terceros como FinTechs.

Asegurar las API y proteger a los consumidores y a las compañías contra el fraude, es un enfoque cada vez más importante para las empresas digitales en todas las industrias, pero especialmente las de servicios financieros.

Los diferentes equipos de desarrollo que trabajan en múltiples aplicaciones a menudo utilizan conjuntos de herramientas dispares. Eso significa que los equipos de seguridad tradicionales pueden no poseer un punto de control centralizado para hacer cumplir la seguridad. Esto requiere un conjunto estándar de herramientas para integrar los controles correctos en los procesos de desarrollo y gestión de las API.

La guía de soluciones de open banking de F5 proporciona un enfoque integral de las soluciones de F5. Además, FDX ha publicado extensas recomendaciones sobre los controles que deben implementarse para proteger de amenazas y riesgos, la información de las cuentas de los consumidores y la integridad del servicio. Estos controles incluyen:

• Seguridad del software: control de las 10 principales vulnerabilidades de OWASP y otras vulnerabilidades de software, incluida la implementación de un firewall de aplicaciones web (WAF).

• Seguridad de redes y sistemas.

• Seguridad operativa.

• Seguridad física.

• Continuidad comercial y recuperación ante desastres.

• Seguridad del proveedor.

• Patrones de diseño para authN / authZ que incluyen controles para el relleno de credenciales (cedential stuffing).

• Patrones para una arquitectura de puerta de enlace segura (SGA), incluidos los controles de seguridad API integrados en el portal API .

Es importante señalar que la defensa de los datos financieros, es cada vez más importante en una economía digital. Si bien es cierto que el riesgo de fraude para las empresas es considerable, el riesgo para los consumidores es aún mayor.