5 motivos por lo que las APIs bancarias son atractivas para los ciberdelincuentes

Se prevé que el número de llamadas a la API de banca abierta crezca de 102 mil millones en 2023 a 580 mil millones en 2027.

Las APIs bancarias son una de las principales fuerzas impulsoras de la innovación en el sector financiero actual. Estas Interfaces de Programación de Aplicaciones son el puente que conecta a los bancos con un ecosistema digital, permitiendo la integración de servicios y la creación de experiencias de usuario que hacen la banca más eficiente y personalizable. Sin las APIs, cada empresa tendría que construir su propio sistema de comunicación con cada banco, lo que sería caro, lento y complejo. Gracias a las APIs bancarias, se simplifica dicho proceso, sin embargo, también se convierten en uno de los vectores más atractivos para los ciber atacantes.

Se prevé que el número de llamadas a las API de Open Banking crezca de 102 mil millones en 2023 a 580 mil millones en 2027, lo que resalta la importancia crítica de las APIs en la infraestructura bancaria del futuro. Por otro lado, se espera que el valor de las transacciones de la banca abierta también ascienda considerablemente y alcance los 330.000 mil millones de dólares en 2027.

Oswaldo Palacios, Latam Senior Account Executive de Akamai, explicó que una API bancaria actúa como un puente entre diferentes softwares y aplicaciones. Cuando un usuario realiza, por ejemplo, una transferencia bancaria en una aplicación, la API es responsable de transmitir la solicitud a la entidad bancaria y luego transmitir la respuesta de vuelta a la aplicación. “Una API bancaria es capaz de ofrecer una serie de beneficios en términos de adaptabilidad y rapidez en un contexto empresarial determinado por la inmediatez”, destacó el directivo.

Las APIs son pilares de la transformación digital, permitiendo a los bancos evolucionar y mantenerse competitivos frente al surgimiento de Fintech y Techfins. A decir del experto, al igual que con cualquier aspecto de la informática, la seguridad de las APIs es una preocupación fundamental para las empresas y las organizaciones que dependen de éstas para proporcionar acceso a sus servicios y datos. “Las APIs pueden ser vulnerables a una amplia gama de riesgos de seguridad, lo que puede dar lugar a filtraciones de datos, accesos no autorizados y otras formas de abuso”, resaltó. 

El estudio de Akamai Fortalezas digitales bajo asedio: amenazas a las arquitecturas de aplicaciones modernas, destaca que los principales sectores verticales afectados por ataques a aplicaciones web y API de enero 2023 a junio de 2024 fueron: Comercio, Alta tecnología y Servicios financieros. Este último sector registró 55 mil millones de ataques, los cuales fueron particularmente problemáticos tanto para las organizaciones como para los clientes debido a que pueden comprometer la información de las cuentas de los usuarios. Esto abre oportunidades para el robo de credenciales y otras formas de abuso en todo el panorama de aplicaciones de una organización.

Las APIs que carecen de una postura de seguridad efectiva podrían estar más expuestas a los atacantes que tienen un ojo agudo para las debilidades y son rápidos para aprovecharlas. Al respecto, Oswaldo Palacios mencionó los cinco motivos por los cuales las APIs bancarias resultan un atractivo para la ciberdelincuencia, asimismo alertó al sector financiero a tomar las medidas de seguridad adecuadas:

1) A los ciberdelincuentes les encantan las APIs porque suelen contener las claves de una gran cantidad de información valiosa. Si no se protegen correctamente, las API pueden exponer datos confidenciales.

2) Los hackers buscan las APIs creadas e implementadas sin las medidas de seguridad suficientes, las cuales ofrecen un punto de entrada sencillo. Mientras que las APIs heredadas, si no se actualizan con regularidad, también se convierten en el objetivo de los atacantes, ya que suelen ofrecer varios puntos de entrada que se han ignorado o pasado por alto.

3) Un atacante puede inyectar código o comandos maliciosos en una solicitud de API para aprovechar una vulnerabilidad y obtener acceso no autorizado a datos confidenciales. El análisis de comportamiento puede ayudar a detectar este tipo de ataques identificando patrones anómalos que podrían indicar que alguien está intentando aprovechar una debilidad de API.

4) Los usuarios no autorizados pueden explotar las vulnerabilidades de una API para interrumpir servicios o secuestrar el sistema para su uso. Entre las amenazas más comunes se incluyen los ataques de inyección, los ataques de máquina intermediaria (MITM) y los ataques DDoS dirigidos a saturar una API con tráfico.

5) Los equipos de seguridad enfrentan desafíos únicos dado el volumen, la velocidad y la complejidad del entorno de API en muchas organizaciones. Un importante número de empresas carecen de visibilidad sobre su huella de API, lo que conduce a una imagen incompleta del panorama general de seguridad. Conocer tanto el inventario completo de una superficie de ataque como tener controles de seguridad implementados para proteger esa superficie es crucial para mantener a los intrusos fuera de una red.

Es por ello que, Oswaldo Palacios aconsejó implementar protocolos de autenticación y autorización sólidos, utilizar el cifrado para proteger los datos durante el tránsito, limitar la exposición de los terminales de API para reducir los posibles vectores de ataque, llevar a cabo auditorías de seguridad y evaluaciones de vulnerabilidad periódicas, y seguir un modelo Zero Trust: no confiar en ninguna solicitud de forma predeterminada.

“La protección de las API puede ser una tarea difícil que va más allá de las restricciones de acceso. El objetivo es crear un entorno de seguridad alrededor de las API que pueda resistir los intentos de intrusión o uso indebido. Las organizaciones deben invertir tiempo, recursos y mantener una estrategia continua para proteger sus APIs frente a los numerosos riesgos de seguridad a los que se enfrentan”, finalizó Oswaldo Palacios.