Una nueva era de Banca Abierta (pagos y transacciones en Internet) ha llegado de la entrada en vigor de la normativa europea PSD2. Con ella se busca reforzar la seguridad en los pagos electrónicos y regular la llegada de nuevos actores en el comercio on-line, como puedes revisar en el completo especial de nuestros compañeros de muycanal.

Además de mejorar la seguridad, simplificar las transacciones y aportar innovación a los servicios de pago, la PSD2 llega con cambios que afectarán no solo a los usuarios, sino también a las entidades bancarias y cualquier tipo de comercio electrónico, incluido los tecnológicos. Además, no solo afecta a las empresas europeas, sino también a todas aquellas que, fuera del espacio geográfico de la UE, comercian con clientes en el espacio económico europeo.

Riesgos de seguridad de la nueva Banca Abierta

A pesar de las mejoras de seguridad que impone la nueva normativa, la firma Trend Micro ha publicado un estudio que detalla el impacto que puede tener la Directiva de Servicios de Pago (PSD2) de la UE, si no nos preparamos para el mismo y ante al atractivo que supone el sector financiero para los ciberdelincuentes, y las oportunidades de robar información personal y financiera confidencial.

«Nos preocupa que la industria no esté totalmente preparada para hacer frente a esta superficie de ataque tan amplia. Por eso queríamos entender los riesgos antes de que ocurran, para poder ayudar a FinTechs y a las entidades tradicionales a proteger sus activos primero», dice el estudio de Trend Micro señalando varios posibles escenarios de ataque bajo el nuevo régimen regulatorio:

– Ataques a las API: las API públicas están en el corazón del Open Banking, permitiendo a terceros autorizados acceder a los datos bancarios de los usuarios para proporcionar nuevos e innovadores servicios financieros. Los fallos de implementación en estas API permitirán a los atacantes explotar los servidores back-end para robar datos.

– Ataques a compañías FinTech: los usuarios se verán obligados a establecer una nueva relación de confianza con proveedores que pueden tener menos recursos que sus bancos y sin antecedentes en materia de protección de datos. En una rápida encuesta sobre Open Banking FinTechs, Trend Micro encontró que tienen una media de 20 empleados y ningún profesional de seguridad dedicado. Esto las convierte en objetivos ideales para los atacantes y plantea problemas de seguridad en sus apps móviles, API, técnicas de compartición de datos y módulos de seguridad que podrían implementarse incorrectamente.

– Ataques a las aplicaciones o plataformas móviles: la mayoría de los servicios de Banca Abierta se desplegarán como aplicaciones móviles, lo que los convierte en un objetivo prioritario para los atacantes. Encontrar el nombre de usuario, la contraseña o las claves de cifrado dentro de la aplicación permitiría a un delincuente recuperar datos bancarios y hacerse pasar por el usuario. Incluso si las apps no tienen permiso para realizar pagos, pueden contener datos de transacciones, lo que permite a un atacante crear un perfil muy preciso de sus víctimas.

– Ataques contra el usuario: debido a que las nuevas apps de Open Banking se convertirán en el medio principal para que los usuarios accedan a los datos y servicios financieros, los ataques de phishing podrían cosechar importantes recompensas para los atacantes.

Trend Micro también detalla cómo las instituciones financieras pueden mejorar su resiliencia cibernética. Esto incluye asegurar que la información confidencial nunca esté contenida en las rutas de las URL, priorizar los protocolos seguros y eliminar las prácticas arriesgadas, mientras que los desarrolladores y propietarios de aplicaciones de Banca Abierta deben adoptar un enfoque de seguridad por diseño, incluyendo auditorías regulares de software.

Más información sobre los riesgos de la Banca Abierta | Informe de Trend Micro