La banca abierta impulsa la innovación y presenta riesgos para las instituciones financieras.

En tan solo unos pocos años, la banca abierta (el uso de API abiertas para permitir que terceros creen productos y servicios basados en las ofertas de bancos, compañías de seguros y otras instituciones financieras) ha cambiado el panorama de los servicios financieros.

La capacidad de aprovechar los productos de servicios financieros existentes para crear nuevas ofertas en espacios como préstamos, pagos y seguros ha hecho que sea mucho más sencillo para los consumidores completar transacciones, administrar sus vidas financieras y controlar sus datos personales. Al mismo tiempo, los protocolos API abiertos están impulsando la innovación en los servicios financieros y creando importantes flujos de ingresos para las instituciones financieras. Y con el nuevo lanzamiento de la API FDX 5.0 , que codifica estándares de seguridad, interoperabilidad y rendimiento de la API, así como la próxima fecha límite de autenticación fuerte de clientes (SCA) PSD2 en la Unión Europea, seguramente surgirán más innovaciones y nuevas oportunidades de ingresos.

Pero donde hay recompensa, invariablemente hay riesgo. Por su naturaleza, las API abiertas exponen datos internos y de clientes a terceros, lo que hace que esos datos sean más vulnerables al acceso por parte de actores maliciosos. Esto es especialmente preocupante en el caso de los agregadores de cuentas que, como Mint y Plaid, permiten ofrecer servicios financieros modernos a los consumidores. Continúe leyendo para saber cómo los actores maliciosos usan agregadores para atacar y defraudar a bancos, compañías de seguros y otras instituciones financieras.

Riesgo acelerado: Cómo los agregadores y proveedores de pagos externos habilitan el credential stuffing y la apropiación de cuentas

Los agregadores de cuentas financieras pueden agregar valor real a los consumidores, brindándoles una vista única de su vida financiera. También benefician a las instituciones financieras al reducir la fricción en las transacciones y crear nuevas fuentes de ingresos. Es por eso que muchas instituciones financieras relajan sus procedimientos de seguridad cuando se conectan con agregadores. Pero como pueden almacenar datos de cientos de millones de cuentas, los agregadores son objetivos atractivos para los actores maliciosos, especialmente los agregadores más pequeños, que pueden carecer de la financiación y la sofisticación de seguridad de sus pares más establecidos.

Mientras tanto, el crecimiento de los datos de cuentas robadas disponibles para actores maliciosos está alimentando los ataques automatizados de credential stuffing , en los que los actores maliciosos intentan acceder a las cuentas utilizando botnets y credenciales robadas. Estos ataques se han convertido en un problema considerable para las instituciones financieras, causando importantes violaciones de datos y considerables pérdidas financieras, hasta el punto de que el FBI emitió recientemente una advertencia formal al sector financiero estadounidense sobre la amenaza que representa el credential stuffing .

El resultado más alarmante del aumento del credential stuffing es el incremento de las apropiaciones de cuentas (ATO), en las que los atacantes toman el control de las cuentas a las que han obtenido acceso para vaciar fraudulentamente los fondos de esas cuentas. Según Javelin Strategy and Research, en su Estudio de fraude de identidad de 2021 , el fraude de ATO resultó en más de $6 mil millones en pérdidas totales en 2020.

La encuesta también calculó el costo promedio de los ataques de credential stuffing y descubrió, sorprendentemente, que puede ascender a más de seis veces los ingresos generados por los usuarios activos mensuales.

Los riesgos no terminan ahí y, desgraciadamente, son más graves de lo que algunos creen. Los actores maliciosos saben que es menos probable que se bloquee el tráfico de los agregadores, por lo que les gusta usarlos como puertas traseras a las instituciones financieras. En 2019, por ejemplo, el gigante de servicios financieros NCR Corp. se vio en la necesidad de bloquear temporalmente el acceso de ciertos agregadores a su plataforma de banca digital cuando descubrió una ola de apropiaciones automatizadas de cuentas provenientes de ellos.

Al abrir las API a los agregadores, las instituciones financieras también aumentan el riesgo de rendimiento del sistema al provocar o contribuir a picos de tráfico. Esto se debe en parte a que los agregadores se encuentran entre los usuarios más intensivos de las API de banca abierta y generan el 20% del tráfico de un banco típico . Otro factor, según el FBI, es que los ataques de credential stuffing pueden poner tal presión en los sistemas de autenticación de las instituciones financieras que éstas se convencen de que se enfrentan a un ataque de denegación de servicio .

El resultado final es que la banca abierta expone a las instituciones financieras a riesgos significativos y generalizados. Por eso, en F5, estamos adoptando un enfoque estratégico para ayudar a las instituciones financieras a gestionar y proteger las API de banca abierta.

Ayudamos a las instituciones financieras a adoptar la banca abierta de forma segura

F5 ya es líder en la entrega de gestión de API, puertas de enlace de API de alto rendimiento y controles de seguridad avanzados en una solución todo en uno, reduciendo la proliferación de herramientas y limitando la complejidad arquitectónica.

F5 monitorea los intentos de inicio de sesión en cuentas de instituciones financieras en tiempo real, lo que permite a las instituciones financieras distinguir entre usuarios reales, bots y automatización, e intentos de fraude manuales (efectuados por humanos). Nos gusta pensar que esa es una de las razones por las que los 15 principales bancos comerciales de EE. UU. utilizan soluciones F5 . Ahora estamos innovando para ampliar nuestro conjunto de soluciones y brindar un soporte aún más completo para la banca abierta.

En los próximos meses, verá más información de F5 sobre banca abierta, centrada en temas que incluyen una mejor gestión del tráfico de los agregadores y la protección contra ataques de API.

Un ejemplo es nuestro producto Aggregator Management, que ofrece a los clientes de F5 en la comunidad de banca abierta mayor visibilidad del tráfico de API, detección automática de credential stuffing, detección de tráfico anómalo y la capacidad de limitar los privilegios de acceso al contenido para los agregadores. Para las instituciones financieras, esto significa un control más preciso sobre los agregadores, una mejor protección de las cuentas de los consumidores contra el fraude, una mejor disponibilidad de las aplicaciones y menos riesgos.

¡Manténganse al tanto! Y mientras tanto, aprenda más sobre los riesgos de la banca abierta y cómo evitarlos:

• Mire nuestro seminario web, Tendencias, desafíos y oportunidades de la banca abierta , para obtener más información sobre la banca abierta.
• Explore nuestra solución de gestión de agregadores .
• Explore un plan para protegerse contra ataques de bots de banca abierta.
• Realice nuestra evaluación de amenazas para ver qué tan efectiva es la seguridad de su API actual.
• Descubra cómo F5 puede ayudar a las organizaciones a prevenir ataques ATO sin agregar fricción para los usuarios .
• Descubra cómo la tecnología Shape ayudó a uno de los 10 principales bancos de América del Norte a eliminar el credential stuffing .