Las FinTechs están ganando popularidad entre los consumidores y las organizaciones criminales.

Los consumidores se están preparando para inyectar a la economía digital un estimado de “843-859 mil millones de dólares este año, más del doble de lo que fueron en 2002, cuando las ventas totales durante las fiestas alcanzaron apenas 416,4 mil millones de dólares”.

En última instancia, todo esto pasará por las instituciones de servicios financieros. Ya sea que los pagos se procesen a través de Apple Pay o Venmo, PayPal o una tarjeta de débito, siempre existe participación en una cuenta en una institución de servicios financieros.  

Esto, naturalmente, conduce a intentos por parte de actores maliciosos de obtener acceso a esas cuentas, especialmente a través de FinTechs. Ya sea a través de estafas, como las que experimentaron los usuarios de Zelle o los empleados de servicio al cliente de Robinhood , o directamente a través del credential stuffing o fuerza bruta, los ataques pueden producir ganancias inesperadas para aquellos que persisten en sus esfuerzos.

La mayoría de las infracciones más exitosas de las que oímos hablar hoy en día se ejecutan directamente contra las interfaces de usuario de una institución de servicios financieros: una aplicación web, un mensaje de texto o un correo electrónico. Es preocupante, entonces, considerar el impacto potencial del crecimiento explosivo de las API que impulsa el ecosistema financiero digital y las implicaciones de los riesgos de terceros asociados, que las organizaciones criminales están reconociendo rápidamente como un vector de ataque lucrativo.

Las API son cada vez más atractivas para las organizaciones criminales

Hoy en día, los consumidores tienen a su disposición un ecosistema de pagos cada vez más diverso desde el cual financiar sus gastos de vacaciones:

• Más de 2 de cada 3 compradores de la Generación Z planean comprar a través de canales no tradicionales como Instagram, WhatsApp y transmisiones en vivo durante esta temporada navideña. 
• Según una encuesta de NPD de junio de 2021 , más del 50% de los consumidores afirman haber realizado compras a través de Instagram o Facebook. El 15% de esos consumidores nombraron a TikTok como una plataforma de redes sociales donde descubren y aprenden sobre productos. (Fuente: Estadísticas y tendencias de comercio electrónico para las compras navideñas de 2021
  

Un ecosistema de pagos próspero depende del uso de API para facilitar las transacciones financieras digitales. La estandarización respalda la necesidad de transacciones rápidas y seguras para abordar la naturaleza impaciente de los consumidores y la capacidad de una empresa digital para adaptarse y crecer. El estándar líder hoy en día es FDX (Financial Data Exchange), y a septiembre de 2021 cuenta con 22 millones de cuentas de consumidores que utilizan la API FDX para compartir datos financieros abiertos. Cabe destacar que esto ha resultado en un aumento significativo en el volumen de llamadas API, que han aumentado a casi 2 mil millones por mes. (Fuente: FinExtra )

Un informe publicado recientemente por la Oficina del CTO de F5, “ Continuous API Sprawl: “Desafíos y oportunidades en una economía impulsada por API ”, señala la rápida proliferación de API y los riesgos de gobernanza y seguridad que esto plantea. 

Se descubrió que las API, que impulsan todo, desde pagos digitales hasta servicios de entretenimiento y posibilitan mercados sólidos, actualmente suman alrededor de 200 millones. Para 2030, esa cifra podría alcanzar los 1.700 millones.

Junto con los hallazgos de la investigación de F5 Labs que muestra que la cantidad de incidentes de seguridad de API, muchos de los cuales están relacionados con terceros como FinTechs, está creciendo cada año, las instituciones financieras tienen mucho más de qué preocuparse que la posibilidad de una acción regulatoria inminente y las fuerzas competitivas.

Defendiendo la economía digital

Proteger las API y proteger a los consumidores y a las empresas contra el fraude es una prioridad cada vez más importante para las empresas digitales de todas las industrias, pero especialmente para aquellas del sector de servicios financieros.

Además: “Los diferentes equipos de desarrollo que trabajan en múltiples aplicações a menudo utilizan conjuntos de herramientas distintos. Esto significa que los equipos de seguridad tradicionales pueden no tener un punto de control centralizado para aplicar la seguridad. Esto requiere un conjunto estándar de herramientas para integrar los controles adecuados en los procesos de desarrollo y gestión de API”. (Fuente: Renuka Nadkarni, CTO de Seguridad de F5, asegura la API FDX para defender los datos en la banca abierta

La guía de soluciones de banca abierta de F5 proporciona un enfoque integral de las soluciones de F5 para la banca abierta. Además, Nadkarni señala que "FDX ha publicado un asesoramiento exhaustivo sobre los controles que deben implementarse para proteger la información de las cuentas de los consumidores y la integridad del servicio". Estos controles incluyen:

• Seguridad del software: control de las 10 principales vulnerabilidades de software según OWASP y otras vulnerabilidades, incluida la implementación de un firewall de aplicação web (WAF)
• Seguridad de redes y sistemas
• Seguridad operacional
• Seguridad física
• Continuidad del negocio y recuperación ante desastres
• Seguridad del proveedor
• Patrones de diseño para authN/authZ que incluyen controles para el credential stuffing
• Patrones para una arquitectura de puerta de enlace segura (SGA), incluidos los controles de seguridad de API integrados en la puerta de enlace de API

Por último, es importante destacar que la defensa de los datos financieros, ya sea en tránsito o en reposo, es cada vez más importante en una economía digital por defecto. Si bien el riesgo de fraude para las empresas es considerable, el riesgo para los consumidores es aún mayor.