Hubo 3,5 veces más ataques de aplicaciones web y API al sector financiero entre 2021 y 2022. Recomendaciones que ayudarán a las empresas del sector a proteger su entorno.
A medida que más instituciones financieras se sumergen en la digitalización y adoptan iniciativas innovadoras como la banca abierta, la banca como servicio y las finanzas integradas, el intercambio de datos e información a través de API (interfaz de programación de aplicaciones) se convierte en una herramienta fundamental y poderosa para este sector. Las finanzas integradas han ganado impulso en todo el mundo y se espera que generen ingresos de alrededor de 180.000 millones de dólares para 2027, según la investigación de Juniper.
Sin embargo, aunque esta dirección presenta oportunidades de crecimiento, también conlleva riesgos. Los ataques a instituciones bancarias están creciendo a un ritmo alarmante, principalmente dirigidos a aplicaciones web y API. Según un informe reciente de Akamai, aumentaron 3,5 veces más en 2022 en comparación con 2021, lo que representa el mayor aumento interanual de ataques contra cualquier vector, excepto los juegos de azar.
Tanto las aplicaciones web como las API son esenciales en la transformación digital de la banca. Con las API, los bancos y terceros pueden estandarizar la conexión de datos o el intercambio de información financiera de los clientes entre organizaciones y terceros. Las aplicaciones web mejoran la experiencia de los clientes al ofrecer comodidad, rapidez y fiabilidad, al mismo tiempo que reducen los costos para las empresas de servicios financieros. Helder Ferrão, director estratégico de la industria para Latinoamérica de Akamai, subraya la necesidad de que las instituciones financieras tomen medidas de seguridad adecuadas para proteger sus aplicaciones y API de posibles ataques.
Las API y las aplicaciones web, las cuales podrían considerarse como parte de los sistemas críticos de la banca, tienen muchos beneficios y ventajas, pero al mismo tiempo representan una nueva superficie de ataque que los ciberdelincuentes desde luego ya están aprovechando. En los últimos 12 meses los servicios financieros junto con comercio y alta tecnología, fueron los sectores con más ataques hacia aplicaciones Web y API que juntos representan casi el 50% del volumen total de ataques dirigidos a estas interfaces. En América Latina, donde el costo anual del cibercrimen asciende a 90 mil millones de dólares.
Tan solo a finales de 2021, se contabilizaron más de 1.500 plataformas bancarias que ofrecían más de 5.000 APIs; un 75% de estas plataformas eran europeas. Otro ejemplo del crecimiento de las APIs en América Latina es el anuncio dado a conocer por Visa a finales del año pasado donde destacaba que habían superado más de mil millones de solicitudes de Interfaces de Programación de Aplicaciones de Visa Solutions, disponibles a través de la plataforma Visa Developer, y ya contaban con más de 200 proyectos lanzados en la región.
Graves consecuencias por APIs o aplicaciones Web hackeadas
En 24 horas, la explotación de las vulnerabilidades de día cero recién descubiertas contra los servicios financieros puede alcanzar varios miles de ataques por hora y llega a su punto álgido rápidamente, lo que deja poco tiempo para aplicar parches y reaccionar. Helder Ferrão explicó que una vez que los atacantes lancen ataques a aplicaciones web con éxito, podrían robar datos confidenciales y, en casos más graves, conseguir acceso inicial a una red y obtener más credenciales que les permitirían moverse lateralmente.
Aparte de las implicaciones de una filtración, agregó el experto, la información robada se podría vender de forma clandestina o se podría utilizar para otros ataques. Esto es muy preocupante dado el volumen de datos, como la información de identificación personal y los datos de las cuentas bancarias, que posee el sector de los servicios financieros.
El mencionado informe de Akamai, destaca que el aumento de los ataques a aplicaciones web y API se ha visto impulsado principalmente por la inclusión de archivos locales (LFI) y los scripts entre sitios (XSS). A diferencia de las inyecciones SQL, los atacantes suelen aprovechar la LFI y el XSS para infiltrarse en las redes de sus objetivos, en lugar de simplemente acceder a una base de datos.
Los atacantes sondean constantemente Internet mediante herramientas automatizadas para buscar posibles objetivos. Los ataques de LFI permiten a los atacantes verificar si la organización objetivo es realmente vulnerable. Además, los atacantes podrían inyectar código malicioso en el servidor web y aprovechar la vulnerabilidad de la LFI para la ejecución remota de código, lo que pondría en peligro la seguridad del sistema. Lo que es peor, se podría emplear la LFI para filtrar información confidencial a los atacantes.
Por su parte, el XSS también plantea riesgos de seguridad a las organizaciones. Los atacantes pueden utilizar vulnerabilidades de XSS para inyectar código en los sitios web y, a continuación, cada vez que los usuarios visitan un sitio web comprometido, corren el riesgo de que la información se exponga. El atacante envía otro tipo de XSS a las víctimas a través de enlaces maliciosos que llevan a la descarga de una carga útil. Los atacantes suelen emplear este vector para llevar a cabo ataques de phishing, así como la desfiguración en los sitios web.
El aumento acelerado de los ataques a aplicaciones web y API en el mercado de los servicios financieros es motivo de preocupación, sobre todo por sus implicaciones de seguridad. Sin embargo, tener un conocimiento claro de las superficies y vectores de ataque podría ayudar a las empresas de servicios financieros a proteger su entorno.
En ese sentido, el directivo de Akamai recomendó al sector bancario contar con una mayor visibilidad sobre sus superficies de ataque y exposiciones de riesgo para ayudarlo a diseñar planes de mitigación. Hay dos cosas que siempre brindan un gran retorno de la inversión: Aumentar el conocimiento de la situación y minimizar su superficie de ataque. Asimismo, es muy importante dar a conocer los riesgos de seguridad a todos los empleados en la organización y ofrecer capacitación en ciberseguridad para los responsables de seguridad y tecnologías de la información.
Comments