APIs bancarias: El nuevo objetivo de los ciberdelincuentes

Las APIs bancarias son fundamentales en la transformación digital del sector financiero, impulsando la innovación y mejorando la eficiencia operativa. Estas Interfaces de Programación de Aplicaciones permiten a los bancos conectarse con un ecosistema digital más amplio, facilitando la integración de servicios y creando experiencias de usuario más personalizadas. Sin embargo, con el crecimiento exponencial en el uso de APIs, también aumenta su atractivo para los ciberdelincuentes.

Se prevé que el número de llamadas a las API de Open Banking crecerá de 102 mil millones en 2023 a 580 mil millones en 2027. Este aumento no solo destaca la importancia de las APIs en la infraestructura bancaria, sino también los riesgos de seguridad asociados. Oswaldo Palacios, Latam Senior Account Executive de Akamai, subraya la importancia de proteger estas interfaces críticas, ya que las APIs bancarias pueden ser vulnerables a una amplia gama de riesgos, desde filtraciones de datos hasta accesos no autorizados.

1) Alto valor de la información

Las APIs bancarias son un tesoro de información valiosa. Datos personales, credenciales de acceso y detalles financieros son algunos de los tipos de información que pueden ser expuestos si una API no está adecuadamente protegida. Para los ciberdelincuentes, acceder a estos datos es altamente lucrativo, ya que pueden ser vendidos en el mercado negro o utilizados para cometer fraudes financieros.

2) Falta de seguridad en el desarrollo e implementación

Muchas APIs son creadas e implementadas sin las medidas de seguridad necesarias, lo que las convierte en un blanco fácil para los hackers. APIs heredadas, que no se han actualizado adecuadamente, pueden ofrecer puntos de entrada que los ciberdelincuentes explotan para acceder a sistemas críticos.

3) Vulnerabilidades en el código

Los atacantes pueden inyectar código malicioso en las solicitudes de API para explotar vulnerabilidades y obtener acceso no autorizado a datos confidenciales. Este tipo de ataques, conocidos como inyecciones, son comunes y pueden ser difíciles de detectar si no se realiza un análisis de comportamiento adecuado en el tráfico de API.

4) Explotación de vulnerabilidades para interrumpir servicios

Las APIs pueden ser explotadas por usuarios no autorizados para interrumpir servicios o secuestrar sistemas. Ataques de inyección, ataques de intermediario (MITM) y ataques DDoS son solo algunas de las amenazas a las que se enfrentan las APIs. Estas vulnerabilidades pueden paralizar operaciones bancarias críticas, afectando tanto a las organizaciones como a sus clientes.

5) Desafíos en la visibilidad y control del entorno de API

El entorno de API es complejo y su gestión puede ser un desafío para los equipos de seguridad. Muchas organizaciones carecen de visibilidad completa sobre su huella de API, lo que dificulta la implementación de una estrategia de seguridad efectiva. Sin un inventario completo de las APIs y controles de seguridad adecuados, las organizaciones están en mayor riesgo de sufrir brechas de seguridad.

También te puede interesar leer: Los mejores smartphones plegables de 2024

Para protegerse contra estas amenazas, Oswaldo Palacios recomienda implementar protocolos de autenticación y autorización sólidos, cifrar los datos durante su tránsito, limitar la exposición de las APIs, y realizar auditorías de seguridad y evaluaciones de vulnerabilidad periódicas. Seguir un modelo de seguridad Zero Trust, donde ninguna solicitud es confiable por defecto, también es crucial para mantener la seguridad en el entorno bancario.