Proteger la API FDX para defender los datos en Open Banking
En la reciente FDX Global Summit Spring 2021 , participé como panelista en representación de F5, junto con otros panelistas de Cequence Security y Mastercard-Nudata. Analizamos el trabajo del grupo de trabajo de seguridad de la API de FDX, que reúne a instituciones financieras, agregadores y proveedores de seguridad para colaborar en la definición de un estándar bancario seguro y abierto para el intercambio de datos.
Financial Data Exchange (FDX) es una organización sin fines de lucro enfocada en desarrollar el estándar FDX API (Interfaz de programación de aplicação ) para crear un estándar de datos interoperable común. Esto permitirá a los consumidores y a las empresas acceder de forma confiable y segura a sus datos financieros y establecerá el punto de referencia para la banca abierta en Estados Unidos y Canadá.
La banca abierta presenta una oportunidad emocionante para una mayor innovación y colaboración en la industria de servicios financieros, brindando acceso a las FinTechs y otros terceros autorizados para innovar y brindar servicios de valor agregado con información financiera del consumidor. Los estándares de banca abierta brindan a los consumidores la capacidad de consentir y permitir el acceso seguro y detallado por parte de terceros a datos financieros específicos del consumidor (por ejemplo, saldos, transacciones) y funciones (por ejemplo, pagos). Existen posibilidades interesantes para que terceros y FinTechs proporcionen servicios de valor añadido, entre ellos:
- Agregación de cuentas/servicios de múltiples instituciones en un solo lugar
- Iniciación de pago
- Comparación de productos financieros
- Proporcionar servicios bancarios que la institución no presta actualmente
- Proporcionar toma de decisiones y conocimientos basados en datos financieros, como verificación de identidad, evaluación de capacidad crediticia, etc.
F5 ha estado trabajando en estrecha colaboración con nuestros clientes de servicios financieros en todo el mundo implementando y protegiendo las API de banca abierta. F5 y Twimbit colaboraron para publicar una investigación sobre las tendencias mundiales en banca abierta.
Valor inherente de la información financiera del consumidor
La información financiera del consumidor es un producto que se comercializa en mercados de la darknet por un valor de entre 35 USD (para cuentas con saldos bajos que pueden utilizarse como cuentas mula para otros fraudes) y 150 USD o más (para cuentas con saldos mayores). Este valor negociado relativamente bajo de la información financiera del consumidor es el resultado de la abrumadora cantidad de cuentas y credenciales comprometidas disponibles. Por lo tanto, los adversarios han aprovechado la automatización (las API) para escalar sus operaciones, que comercian con miles de cuentas robadas; por lo tanto, las API financieras se han convertido en una superficie de amenaza principal que debe protegerse.
Los atacantes se centran en las API en la banca abierta
En los últimos tiempos, los ciberdelincuentes que atacan al sector de servicios financieros están comenzando a centrar más sus ataques en las interfaces de programación de aplicação (API). Las aplicações han evolucionado hacia un modelo cada vez más distribuido y descentralizado, con las API como puntos de conexión. La investigación más reciente de F5 muestra que el número de incidentes de seguridad de API crece cada año y la mayoría de los incidentes de API durante los últimos dos años estuvieron relacionados con un bajo nivel de madurez de seguridad, que a menudo es causado por la proliferación de herramientas. Los distintos equipos de desarrollo que trabajan en múltiples aplicações a menudo utilizan conjuntos de herramientas distintos. Esto significa que los equipos de seguridad tradicionales pueden no tener un punto de control centralizado para aplicar la seguridad. Esto requiere un conjunto estándar de herramientas para integrar los controles adecuados en los procesos de desarrollo y gestión de API.
Una evolución: OFX y el raspado de pantalla
Las API no son la única superficie de amenaza que requiere atención. Tradicionalmente, los terceros y los agregadores financieros que han requerido acceso a datos de los consumidores han aprovechado dos mecanismos:
- OFX (Open Financial eXchange), que se creó inicialmente para conectar aplicações financieras de consumidores (por ejemplo, MS Money, Intuit QuickBooks) con las instituciones financieras de un usuario.
- Extracción de pantalla: donde los consumidores proporcionan sus credenciales bancarias a un tercero, y el tercero inicia sesión y extrae esa información del canal web de servicios financieros.
OFX se puede utilizar como canal para que los adversarios realicen credential stuffing, validaciones de cuentas y apropiaciones de cuentas a gran escala, tanto directamente como a través de agregadores financieros:
- F5 observa regularmente que OFX se utiliza como canal para que los adversarios realicen credential stuffing, validaciones de cuentas y apropiaciones de cuentas a gran escala, tanto directamente como a través de agregadores financieros.
- Proporcionar credenciales a terceros para realizar capturas de pantalla expone esas credenciales a la postura de seguridad de ese tercero.
- Estos mecanismos no brindan al consumidor un consentimiento detallado ni control sobre a qué información tiene acceso el tercero, lo que da lugar a violaciones de la privacidad.
OFX se ha unido a FDX y finalmente se fusionará en un estándar unificado, lo que representa la oportunidad de modernizar los controles de seguridad y abordar los desafíos de seguridad del pasado. Los métodos basados en el raspado de pantalla continúan siendo un desafío para las instituciones financieras.
Recomendaciones para mejorar la seguridad
FDX ha publicado un asesoramiento completo sobre los controles que se deben implementar para proteger la información de las cuentas de los consumidores y la integridad del servicio contra amenazas y riesgos. Estos controles incluyen:
- Seguridad del software: control de las 10 principales vulnerabilidades de software según OWASP y otras vulnerabilidades, incluida la implementación de un firewall de aplicação web (WAF)
- Seguridad de redes y sistemas
- Seguridad operacional
- Seguridad física
- Continuidad del negocio y recuperación ante desastres
- Seguridad del proveedor
- Patrones de diseño para authN/authZ que incluyen controles para el credential stuffing
- Patrones para una arquitectura de puerta de enlace segura (SGA), incluidos los controles de seguridad de API integrados en la puerta de enlace de API
Finalmente, la guía de soluciones de banca abierta de F5 proporciona un enfoque integral de las soluciones de F5 para la banca abierta.
Un agradecimiento especial a los miembros de nuestro equipo de Servicios Financieros que contribuyeron a este artículo: Benn Alp, Chad Davis y Andy Franklin.