PSD2 y los riesgos de seguridad para el sector financiero

La nueva Directiva de Servicios de Pago (PSD2) de la UE está diseñada para dar a los usuarios un mayor control sobre sus datos financieros y la opción de compartirlos con una nueva generación de empresas innovadoras de tecnología financiera (FinTech). Las mismas ideas se están difundiendo globalmente bajo el término "Banca Abierta" u “Open Banking”. 

Trend Micro ha realizado una investigación sobre el impacto en la seguridad porque el sector financiero siempre ha sido un objetivo muy atractivo para los ciberdelincuentes y quería entender los riesgos que puede conllevar su aplicación. “PSD2 y Open Banking están preparados para ofrecer a los hackers aún más oportunidades de robar información personal y financiera confidencial", explica Ed Cabrera, su director de ciberseguridad.

El trabajo de la firma concluye que son varios los escenarios de ataque bajo el nuevo régimen regulatorio que las entidades y startups financieras deben tener en cuenta:

- Ataques a las API: las API públicas están en el corazón del Open Banking, permitiendo a terceros autorizados acceder a los datos bancarios de los usuarios para proporcionar nuevos e innovadores servicios financieros. Los fallos de implementación en estas API permitirán a los atacantes explotar los servidores back-end para robar datos.

- Ataques a compañías FinTech: los usuarios se verán obligados a establecer una nueva relación de confianza con proveedores que pueden tener menos recursos que sus bancos y sin antecedentes en materia de protección de datos. En una rápida encuesta sobre Open Banking FinTechs, Trend Micro encontró que tienen una media de 20 empleados y ningún profesional de seguridad dedicado. Esto las convierte en objetivos ideales para los atacantes y plantea problemas de seguridad en sus apps móviles, API, técnicas de compartición de datos y módulos de seguridad que podrían implementarse incorrectamente.

- Ataques a las aplicaciones o plataformas móviles: la mayoría de los servicios de Banca Abierta se desplegarán como aplicaciones móviles, lo que los convierte en un objetivo prioritario para los atacantes. Encontrar el nombre de usuario, la contraseña o las claves de cifrado dentro de la aplicación permitiría a un delincuente recuperar datos bancarios y hacerse pasar por el usuario. Incluso si las apps no tienen permiso para realizar pagos, pueden contener datos de transacciones, lo que permite a un atacante crear un perfil muy preciso de sus víctimas.

- Ataques contra el usuario: debido a que las nuevas apps de Open Banking se convertirán en el medio principal para que los usuarios accedan a los datos y servicios financieros, los ataques de phishing podrían cosechar importantes recompensas para los atacantes.

Para prepararse ante este nuevo panorama, Trend Micro detalla cómo las instituciones financieras pueden mejorar su resiliencia cibernética. Esto incluye asegurar que la información confidencial nunca esté contenida en las rutas de las URL, priorizar los protocolos seguros y eliminar las prácticas arriesgadas.

La compañía les recomienda también los desarrolladores y propietarios de aplicaciones de Open Banking deben adoptar un enfoque de seguridad por diseño, incluyendo auditorías regulares de software.