¿Se está quedando atrás del movimiento de banca abierta en rápida evolución? Las empresas de tecnología financiera están acelerando el tiempo de comercialización e impulsando la innovación que desean sus clientes.
El uso de API de terceros está revolucionando la forma en que los clientes interactúan con las instituciones financieras.
Pero los volúmenes masivos de llamadas API generadas pueden causar problemas de seguridad, además de aumentar los costos en entornos tradicionales. Además, garantizar el cumplimiento de regulaciones estrictas, como la directiva europea PSD2 (Payment Services Directive 2) para servicios de pago electrónico, se vuelve cada día más difícil.
Aprovechar la oportunidad de crecimiento de la banca abierta global
La banca abierta es propicia para la innovación en API. Aprenda los 8 imperativos principales para el éxito.
No hay duda de que no es posible tener banca abierta sin una alta eficacia en materia de seguridad, pero muchos bancos y organizaciones de servicios financieros se preguntan si sus soluciones de seguridad actuales están preparadas para los crecientes riesgos asociados con la banca abierta. Esta preocupación se destacó en una encuesta realizada en 2020 a funcionarios de empresas BFSI. Cuando se les pidió que clasificaran los “cuatro factores más importantes a considerar antes de la integración con una API”, la seguridad (71,0%) se ubicó cerca del primer lugar.2
El auge de los ataques API y su impacto en la seguridad de la banca abierta
Los datos de servicios financieros se encuentran entre los tipos de datos más buscados por los ciberatacantes. Gartner ha predicho que para 2022, los abusos de API serán el vector de ataque más frecuente contra las aplicações web empresariales, lo que provocará violaciones de datos. Por eso es más importante que nunca proteger las API y salvaguardar sus aplicações y los datos que contienen, sin sofocar la innovación.
¿Cómo proteger adecuadamente las API?
Una investigación realizada por F5 Labs muestra que las API son muy susceptibles a los ciberataques. OWASP incluso tiene una lista de las 10 principales vulnerabilidades de las API porque, en sus palabras, “Sin API seguras, la innovación rápida sería imposible”. El problema más frecuente es la falta total de autenticación frente a los puntos finales de la API, seguido de una autenticación rota y una autorización rota.
Libro electrónico sobre seguridad de aplicação web de O'Reilly Media
Disponible como cortesía de F5, este libro electrónico de O’Reilly Media presenta consejos prácticos de seguridad que pueden ahorrarle a su empresa millones en violaciones de datos y recomendaciones que sus equipos de desarrollo y seguridad pueden usar de inmediato.
Los desafíos regulatorios de la banca abierta tienen su raíz en la seguridad
Si bien Estados Unidos aún no ha experimentado una intervención regulatoria en el ámbito de la banca abierta, otras partes del mundo ya han implementado iniciativas de este tipo. En Europa, la UE ha promulgado la Segunda Directiva de Servicios de Pago (PSD2), que exige a los bancos crear mecanismos (generalmente API) para proporcionar datos de forma rápida, segura y confiable a proveedores externos con el consentimiento de sus clientes. Otros países, como el Reino Unido, Canadá, Hong Kong, Japón, México y Australia, también están avanzando con estándares de banca abierta. El cumplimiento de los desafíos regulatorios requiere una inversión para mitigar el riesgo de incumplimiento que puede resultar en multas costosas.
La Matriz de Madurez de Banca Abierta de Twimbit mapea la posición relativa de 22 países importantes a través de dos criterios distintos: iniciativas regulatorias e iniciativas de mercado.
La serie de infografías sobre banca abierta global de Twimbit
Twimbit, con la ayuda de F5, analizó el mundo de la banca abierta: cómo funciona, las oportunidades disponibles, los actores clave a nivel mundial, los desafíos regulatorios y más.
Otros vectores de ataque que añaden estrés a la banca abierta: OFX y el raspado de pantalla
Las API estándar no son la única superficie de amenaza que requiere atención urgente en la banca abierta. Tradicionalmente, los terceros y los agregadores financieros que han requerido acceso a datos de los consumidores han aprovechado dos mecanismos:
- OFX (Open Financial eXchange), que se creó inicialmente para conectar aplicações financieras de consumidores (por ejemplo, MS Money, Intuit QuickBooks) con las instituciones financieras de un usuario.
- Extracción de pantalla, donde los consumidores proporcionan sus credenciales bancarias a un tercero, y el tercero inicia sesión y extrae esa información del canal web de servicios financieros.
OFX se puede utilizar como un canal para que los adversarios realicen credential stuffing, validaciones de cuentas y apropiaciones de cuentas a gran escala, tanto directamente como a través de agregadores financieros.
Las organizaciones de servicios financieros experimentaron la mayor proporción de incidentes de seguridad de inicio de sesión con contraseña, un 46%. Al desglosar estos datos, el 5 % se informó sobre API para aplicaciones móviles y el 4 % afectó a interfaces de Open Financial Exchange (OFX) .3
Los agregadores de datos FinTech forman parte de una nueva y emocionante frontera en los servicios financieros. Permiten mejorar las experiencias generales de los consumidores e incluso reforzar las propuestas de valor mediante sinergias para las organizaciones tradicionales y las FinTech.
Pero también introducen vulnerabilidades de seguridad a medida que aumenta el uso de API en FinServ, lo que puede afectar negativamente el rendimiento de las aplicação .
Proporcionar credenciales a terceros para realizar capturas de pantalla expone esas credenciales a la postura de seguridad de ese tercero. Estos mecanismos no brindan al consumidor un consentimiento detallado ni control sobre a qué información tiene acceso el tercero, lo que deja en riesgo miles de millones de transacciones y aumenta el potencial de provocar violaciones de seguridad extremadamente costosas.
Proteger la API FDX para defender los datos en Open Banking
Principales tendencias del impacto que tienen los agregadores de datos FinTech en los servicios financieros en 2022
Este libro electrónico explora el valor creciente que los agregadores de datos FinTech ofrecen a los servicios financieros y cómo mitigar los desafíos asociados que traen consigo.
Las API abiertas permiten a los bancos asociarse con fintechs para crear experiencias digitales nuevas y mejores.
Esta práctica también genera problemas de seguridad. En esta lección de lightboard, aprenderá cómo las soluciones adecuadas pueden brindar seguridad y eficiencia a las iniciativas de banca abierta.
Mira el video
Explicando la banca abierta y la seguridad de las API
Las mejores soluciones de seguridad de banca abierta en las que puede confiar
La seguridad de la puerta de enlace API por sí sola es en gran medida inadecuada para las API expuestas. Las soluciones de seguridad holísticas centradas en API de F5, que incluyen una puerta de enlace API de alto rendimiento, ofrecen una eficacia de seguridad API que las puertas de enlace API simplemente no pueden brindar por sí solas. Al igual que nuestra solución WAF que admite la ingesta de archivos OpenAPI/Swagger para permitir los controles de seguridad de API más precisos. Además, las soluciones de seguridad de F5 autentican el tráfico de proveedores externos, un requisito de cumplimiento bajo la PSD2 de la UE, y están mitigando el fraude y el abuso de API y otro tráfico de bots ilegítimo a menudo asociado con OFX y el raspado de pantalla.
¿Qué hace que la seguridad de banca abierta de F5 sea única?
Priorizar la seguridad de la banca abierta, independientemente de la infraestructura
Las soluciones de seguridad de banca abierta de F5 pueden proteger eficazmente las API y la infraestructura utilizada para alojarlas, independientemente de las preferencias de arquitectura. Nunca estará limitado por las limitaciones de un único entorno, ya sea alojado en la nube o en una infraestructura local. Nuestras soluciones de banca abierta se adaptan al futuro y respaldan un servicio API seguro y escalable para todos sus requisitos financieros.
El enfoque de banca abierta agrega valor al cliente en un entorno seguro
Al buscar formas de crear nuevas oportunidades para los titulares de sus cuentas, African Bank recurrió a la banca abierta, pero enfrentó desafíos relacionados con la seguridad y la necesidad de permitir interfaces siempre disponibles. Al centrarse en desarrollar arquitecturas de tipo microservicios, les permitió ofrecer lo mejor que sus clientes querían. Su enfoque de banca abierta impulsado por API generó ingresos adicionales y valor agregado para sus clientes.
Obtenga más información sobre el
Historia de un cliente de African Bank
La organización aborda los desafíos regulatorios de la banca abierta con F5
Al igual que muchos en Europa, una organización en Grecia se enfrentó a nuevos requisitos PSD2 que les costarían fuertes multas si se descubría que no los cumplían. Acudieron a F5 en busca de una solución. Con F5 BIG-IP APM (Administrador de políticas de acceso), su organización puede autenticar TPP (Proveedor externo) antes de acceder a su API de OpenBank y puede reenviar el QWAC (Certificado de autenticación de sitio web calificado) a su aplicación para su posterior procesamiento, sin cambios en su aplicación.
Pylones Hellas, utilizando la solución APM de F5, responde a la nueva directiva PSD2
¿Quiere ver cómo funciona?
Descubra cómo se utiliza NGINX App Protect para proteger las API de Open Banking y prevenir ataques L7DoS.
[1] Allied Market Research, “ Se espera que el mercado global de banca abierta alcance los 43.152 millones de dólares en 2026 ”
[2] Postman, “ Informe sobre el estado de la API 2020 ”
[3] F5 Labs, “ Informe de protección de aplicação 2021: Del rescate y la redención
Pruébelo gratis
Proteja sus aplicações y API donde sea que se ejecuten con seguridad líder en el mercado que abarca centros de datos, nubes y arquitecturas. Contáctanos para obtener más información sobre cómo comenzar tu prueba gratuita.
GRACIAS
Hemos recibido su solicitud. Nos pondremos en contacto con usted en breve.
Seguridad de los servicios financieros
Una seguridad sólida para los servicios financieros es fundamental. Es por eso que 15 de los 15 principales bancos de EE. UU. utilizan soluciones de F5.
Banca abierta
El Open Banking está revolucionando la forma en que la gente de todo el mundo interactúa con su banco. Pero también está abriendo los servicios financieros a nuevas amenazas de seguridad y problemas de rendimiento.
Transformación digital
La transformación digital es la clave para lograr una mejora con respecto al legado anterior y limitaciones de rendimiento y ofrecer así a los clientes las excepcionales experiencias digitales que esperan.
Gestión, riesgo y cumplimiento (GRC), y gestión del fraude
La protección de sus aplicaciones y el cumplimiento de las normas son esenciales para tener una presencia en línea de confianza. Uno de los retos es que las instituciones financieras son uno de los objetivos más lucrativos para las sofisticadas redes de delincuencia organizada.