Las APIs bancarias pueden volverse puntos vulnerables

Las APIs bancarias son una de las principales fuerzas impulsoras de la innovación en el sector financiero actual. Estas interfaces de programación de aplicaciones son el puente que conecta a los bancos con un ecosistema digital, permitiendo la integración de servicios y la creación de experiencias de usuario que hacen la banca más eficiente y personalizable. Sin las APIs, cada empresa tendría que construir su propio sistema de comunicación con cada banco, lo que sería caro, lento y complejo. Las API simplifican dicho proceso, pero también se convierten en uno de los vectores más atractivos para los ciberatacantes.

Se prevé que el número de llamadas a las API de banca abierta crezca de 102 mil millones en 2023 a 580 mil millones en 2027, lo que resalta la importancia crítica de las API en la infraestructura bancaria del futuro. Por otro lado, se espera que el valor de las transacciones de la banca abierta también ascienda considerablemente y alcance los 330.000 mil millones de dólares en 2027.

Oswaldo Palacios, ejecutivo de cuentas senior para Latam de Akamai, explica que una API bancaria actúa como un puente entre diferentes software y aplicaciones. Cuando un usuario realiza, por ejemplo, una transferencia bancaria en una aplicación, la API es responsable de transmitir la solicitud a la entidad bancaria y luego de transmitir la respuesta de vuelta a la aplicación. “Una API bancaria es capaz de ofrecer una serie de beneficios en términos de adaptabilidad y rapidez en un contexto empresarial determinado por la inmediatez”, destaca el directivo.

Akamai considera que las API son pilares de la transformación digital, pues permiten a los bancos evolucionar y mantenerse competitivos frente al surgimiento de fintechs y techfins. A decir de Palacios, al igual que con cualquier aspecto de la informática, la seguridad de las API es una preocupación fundamental para las empresas y las organizaciones que dependen de éstas para proporcionar acceso a sus servicios y datos. “Las APIs pueden ser vulnerables a una amplia gama de riesgos de seguridad, lo que puede dar lugar a filtraciones de datos, accesos no autorizados y otras formas de abuso”, resalta. 

El estudio de Akamai “Fortalezas digitales bajo asedio: amenazas a las arquitecturas de aplicaciones modernas” destaca que los principales sectores verticales afectados por ataques a aplicaciones web y API, de enero 2023 a junio de 2024, fueron Comercio, Alta tecnología y Servicios financieros. Este último sector registró 55 mil millones de ataques, los cuales fueron particularmente problemáticos tanto para las organizaciones, como para los clientes debido a que pueden comprometer la información de las cuentas de los usuarios. Este tipo de ataques abre oportunidades para el robo de credenciales y otras formas de abuso en todo el panorama de aplicaciones de una organización.

Las APIs que carecen de una postura de seguridad efectiva están más expuestas ante los atacantes. Al respecto, Oswaldo Palacios mencióna cinco motivos por los cuales las API bancarias resultan atractivas para la ciberdelincuencia, y alerta al sector financiero a tomar las medidas de seguridad adecuadas:

1. Las API suelen contener las claves de una gran cantidad de información valiosa. Si no se protegen correctamente, pueden exponer datos confidenciales.
2. Los hackers buscan API creadas e implementadas sin las medidas de seguridad suficientes, porque ofrecen un punto de entrada sencillo. Las API heredadas, si no se actualizan con regularidad, también se convierten en objetivo de los atacantes, ya que suelen ofrecer varios puntos de entrada que se han ignorado o pasado por alto.
3. Un atacante puede inyectar código o comandos maliciosos en una solicitud de API para aprovechar una vulnerabilidad y obtener acceso no autorizado a datos confidenciales. El análisis de comportamiento puede ayudar a detectar este tipo de ataques identificando patrones anómalos, que podrían indicar que alguien está intentando aprovechar una debilidad de API.
4. Los usuarios no autorizados pueden explotar las vulnerabilidades de una API para interrumpir servicios o secuestrar el sistema para su uso. Entre las amenazas más comunes se incluyen los ataques de inyección, los ataques de máquina intermediaria (MITM) y los ataques DDoS dirigidos a saturar una API con tráfico.
5. El volumen, la velocidad y la complejidad del entorno de API en muchas organizaciones resultan un desafío para los equipos de seguridad. Un importante número de empresas carecen de visibilidad sobre su huella de API, lo que conduce a una imagen incompleta del panorama general de seguridad. Conocer el inventario completo de una superficie de ataque, y tener controles de seguridad implementados para proteger esa superficie, es crucial para mantener a los intrusos fuera de una red.

El ejecutivo de cuentas senior para Latam de Akamai aconseja implementar protocolos de autenticación y autorización sólidos, utilizar el cifrado para proteger los datos durante el tránsito, limitar la exposición de los terminales de API para reducir los posibles vectores de ataque, llevar a cabo auditorías de seguridad y evaluaciones de vulnerabilidad periódicas, y seguir un modelo de confianza cero que permite no confiar en ninguna solicitud de forma predeterminada.

“La protección de las API puede ser una tarea difícil, que va más allá de las restricciones de acceso. El objetivo es crear un entorno de seguridad alrededor de las API que pueda resistir los intentos de intrusión o uso indebido. Las organizaciones deben invertir tiempo, recursos y mantener una estrategia continua para proteger sus API frente a los numerosos riesgos de seguridad a los que se enfrentan”, finaliza Oswaldo Palacios.