La nueva regulación PSD2 dispara los riesgos del sector financiero

Trend Micro ha publicado una investigación que demuestra que las nuevas normas bancarias europeas podrían aumentar en gran medida la superficie de ciberataque para las empresas de servicios financieros y sus clientes.

La investigación detalla el impacto de la Directiva de Servicios de Pago (PSD2) revisada de la UE, que está diseñada para brindar a los usuarios un mayor control sobre sus datos financieros y la opción de compartirlos con una nueva generación de empresas innovadoras de tecnología financiera (FinTech). Lo que a nivel mundial se conoce como Open Banking.

"El sector financiero siempre ha sido un objetivo muy atractivo para los ciberdelincuentes, y PSD2 y el Open Banking ofrecerán a los hackers aún más oportunidades para robar información personal y financiera confidencial", señala Ed Cabrera, director de ciberseguridad de Trend Micro. “Nuestra preocupación es que la industria no esté completamente preparada para lidiar con esta superficie de ataque tan extensa. Por eso queríamos entender los riesgos antes de que ocurran, para que podamos ayudar a FinTechs y a las financieras tradicionales a proteger sus activos".

El informe apunta varios posibles escenarios de ataque bajo el nuevo régimen regulatorio:

--Ataques a las APIs: las APIs públicas están en el corazón del Open Banking, lo que permite a terceros autorizados acceder a los datos bancarios de los usuarios para proporcionar nuevos servicios financieros innovadores. Los defectos de implementación en estas APIs permitirán a los atacantes explotar los servidores de back-end para robar datos.

--Ataques a empresas de FinTech: los usuarios se verán obligados a entablar una nueva relación de confianza con proveedores que pueden tener menos recursos que sus bancos en materia de protección de datos. En una encuesta a FinTechs, Trend Micro descubrió que tenían una media de 20 empleados y ningún profesional de seguridad dedicado. Esto los convierte en objetivos ideales para los atacantes y genera preocupaciones sobre las brechas de seguridad en sus aplicaciones móviles, API, técnicas de intercambio de datos y módulos de seguridad que podrían implementarse incorrectamente.

--Ataques en las aplicaciones o plataformas móviles: la mayoría de los servicios de Open Banking se implementarán como aplicaciones móviles, lo que los convierte en un objetivo para los atacantes. Encontrar el nombre de usuario, la contraseña o las claves de cifrado dentro de la aplicación permitiría a un delincuente recuperar datos bancarios y hacerse pasar por el usuario. Incluso si las aplicaciones no tienen permiso para realizar pagos, pueden contener datos de transacciones, lo que permite a un atacante crear un perfil muy preciso de sus víctimas.

--Ataques contra el usuario: Debido a que las nuevas aplicaciones de Open Banking se convertirán en el principal medio para que los usuarios accedan a datos y servicios financieros, los ataques de phishing podrían cosechar grandes recompensas para los atacantes.

Para prepararse, las instituciones financieras deben mejorar su ciberresiliencia. Esto incluye garantizar que la información confidencial nunca esté contenida en las rutas URL, priorizar protocolos seguros y eliminar prácticas de riesgo. Mientras tanto, los desarrolladores y propietarios de aplicaciones de Open Banking deben adoptar un enfoque seguro por diseño, incluidas auditorías de software regulares.