BLOG

Garantizar las finanzas abiertas en 2025: Información esencial para instituciones financieras

Miniatura de Chad Davis
Chad Davis
Publicado el 23 de mayo de 2025

En 2025, los ecosistemas interconectados de bancos, FinTechs, proveedores de pagos y proveedores externos se convertirán en estándar en la industria, transformando fundamentalmente el panorama de los servicios financieros globales. Impulsado por las API y alimentado por la demanda de los titulares de cuentas de experiencias financieras personalizadas y fluidas y la creciente adopción de casos de uso de IA (como los asociados con el intercambio de datos), el movimiento de finanzas abiertas continúa creciendo.

Desafortunadamente, a medida que los sistemas financieros se vuelven más conectados, los riesgos de seguridad se expanden exponencialmente. Las mismas características que hacen atractivos a los ecosistemas de finanzas abiertas (datos compartidos, colaboraciones con terceros y mayor accesibilidad) son también las que los hacen vulnerables.

Para sobresalir en 2025, las instituciones financieras deben adoptar estrategias de seguridad proactivas y herméticas que aborden los desafíos únicos de las finanzas abiertas. Exploremos los riesgos clave y las medidas prácticas necesarias para fortalecer el futuro de los ecosistemas financieros abiertos.

Riesgos críticos de seguridad en las finanzas abiertas en 2025

Con la maduración de los ecosistemas de servicios financieros, ciertos desafíos de seguridad están llamados a destacarse en la lista de vulnerabilidades potenciales. A continuación se presentan tres de los riesgos financieros abiertos más urgentes que las instituciones deben abordar en 2025.

1.Vulnerabilidades de la API

Las API son el corazón de las finanzas abiertas. Facilitan el intercambio de datos financieros entre bancos, FinTechs y aplicaciones de terceros, lo que permite a los consumidores acceder a servicios innovadores con facilidad. Sin embargo, debido a que sirven como “puerta de entrada” a sistemas sensibles, las API también son objetivos principales para los atacantes.

Amenazas clave:

  • Las API insuficientemente protegidas pueden permitir que los atacantes intercepten o roben datos confidenciales.
  • Exploits como ataques de inyección, autorización a nivel de objeto rota (BOLA) o autenticación incorrecta pueden otorgar a partes no autorizadas acceso a cuentas de clientes o sistemas financieros.

2.Riesgos de terceros

En un blog tecnológico reciente publicado en el sitio web de JPMorganChase, titulado Carta abierta a los proveedores externos , el CISO de la empresa afirmó: “Nos encontramos en un momento crítico. Los proveedores deben repriorizar urgentemente la seguridad, poniéndola al mismo nivel o por encima del lanzamiento de nuevos productos”. Estas redes de proveedores externos (TPP) de las que habla el CISO son de las que dependen las finanzas abiertas. Si bien estas colaboraciones y asociaciones entre TPP e instituciones financieras impulsan la innovación, también crean puntos de entrada adicionales para los atacantes. Una vulnerabilidad de seguridad en el sistema de un solo socio, por pequeña que sea, podría comprometer todo el ecosistema.

Muchas instituciones financieras ahora incluyen declaraciones de advertencia en sus sitios web aconsejando a los consumidores tener cuidado con los TPP, como los agregadores, debido a los posibles riesgos asociados. Estas advertencias recuerdan a los consumidores que compartir sus credenciales es contrario a los términos de sus acuerdos y que las instituciones financieras no serán responsables de ningún daño que resulte de compartir credenciales.

Amenazas clave:

  • Los proveedores que no hayan sido examinados adecuadamente o que no cumplan con los estándares de cumplimiento podrían introducir vulnerabilidades que hagan a los usuarios susceptibles a la explotación dentro del sistema.
  • El acceso con permisos excesivos otorgados a desarrolladores externos puede exponer datos financieros o funcionalidades confidenciales.

3.Cuestiones relacionadas con la protección de datos personales

Compartir información confidencial de los consumidores (como historiales de transacciones financieras y saldos de cuentas) entre múltiples plataformas es un requisito fundamental de las finanzas abiertas. Si bien este intercambio de datos sustenta nuevos servicios, también aumenta la exposición a amenazas como infracciones y uso indebido. Además, los consumidores esperan una mayor privacidad de los datos y el cumplimiento de regulaciones como el Reglamento General de Protección de Datos de la Unión Europea (GDPR), la Directiva de Servicios de Pago 2 (PSD2) y sólidos estándares de API abiertos relacionados con las finanzas, como Financial Data Exchange (FDX) .

Amenazas clave:

  • Violaciones de datos resultantes de un cifrado insuficiente o prácticas de intercambio inadecuadas.
  • Daños legales y reputacionales por no proteger la privacidad del consumidor.

Directrices clave para la protección de las finanzas abiertas en 2025

Las instituciones financieras deben dar prioridad a la seguridad para gestionar estos riesgos de manera eficaz y establecer una base sólida para las finanzas abiertas. A continuación se presentan dos recomendaciones esenciales que, una vez implementadas, también ayudarán a las empresas financieras a proteger la información personal mediante un cifrado más fuerte, una autenticación más estricta y un control de acceso más granular.

1.Mejorar la seguridad de la API para contrarrestar las amenazas en constante evolución.

Dado que las API son fundamentales para las finanzas abiertas, protegerlas debería ser una prioridad absoluta. La protección de las API garantiza la integridad de las conexiones entre instituciones de servicios financieros, terceros y usuarios finales.

Las medidas prácticas para fortalecer la seguridad de la API incluyen:

  • Políticas de autenticación estrictas: Utilice estándares de la industria para la autenticación abierta, como OAuth2.0, TLS mutuo u otros protocolos sólidos para autenticar a los usuarios de API y evitar el acceso no autorizado.
  • Monitoreo en tiempo real: Utilice soluciones para identificar actividad irregular de API o posible abuso antes de que escalen. Considere soluciones con descubrimiento e inspección basados en código y tráfico, y evaluación de la superficie de ataque externa (escaneo de dominio).
  • Optimizar la gobernanza: Utilice soluciones que puedan ayudar con la gestión del inventario de API, como agregar fácilmente las API recién descubiertas al inventario. Además, incorpore análisis de cumplimiento de API y realice un mejor seguimiento de los cambios en la postura de cumplimiento a través de alertas automáticas.
  • Estándares de cifrado: Todo el tráfico de API debe estar encriptado utilizando protocolos como TLS 1.3 para garantizar que los datos estén seguros en tránsito.
  • Pruebas regulares: Realice pruebas de penetración de rutina para identificar y solucionar vulnerabilidades en su arquitectura de API. Considere soluciones que ofrezcan pruebas de API antes del tiempo de ejecución.

Conocimiento: Las API pueden facilitar la innovación detrás de las finanzas abiertas, pero también presentan la mayor oportunidad de explotación. Trate las API como lo haría con cualquier producto digital crítico: monitoréelas, protéjalas y optimícelas continuamente. Considere soluciones que incorporen protección integral en tiempo de ejecución, como WAF, reglas de protección de API, limitación de velocidad y protectores de datos.

2.Evaluar y mantener una supervisión continua de las relaciones con terceros.

La naturaleza de terceros de las finanzas abiertas requiere que las instituciones financieras colaboren con los proveedores y desarrolladores que interactúan con sus sistemas y datos. Garantizar que estas asociaciones sean seguras es esencial para reducir el riesgo general.

Las medidas prácticas para asegurar las relaciones con terceros incluyen:

  • Investigación rigurosa: Realice una diligencia debida exhaustiva antes de incorporar socios FinTech o proveedores externos. Evalúe sus protocolos de seguridad, historial de cumplimiento y certificaciones técnicas.
  • Monitoreo en tiempo real: Adopte herramientas que monitoreen la actividad de terceros dentro de su ecosistema de API, marcando acciones no autorizadas o comportamiento inusual.
  • Controles de acceso granulares: Limite el acceso de terceros a los datos y niveles de acceso "mínimos necesarios" requeridos para su función, reduciendo el riesgo de exceso de permisos.
  • Cláusulas de seguridad contractual: Refuerce las alianzas con acuerdos contractuales claros que requieran auditorías periódicas, responsabilidad por las infracciones y adhesión a sus estándares de seguridad.

Conocimiento: Su ecosistema de finanzas abiertas es tan seguro como su eslabón más débil, que, en muchos casos, será un socio externo. Aplicar un marco de "confianza pero verificación" a todas las relaciones con los proveedores.

Construyendo ecosistemas financieros abiertos para la resiliencia a largo plazo

Como las finanzas abiertas serán ahora un pilar fundamental de los servicios financieros en 2025, invertir en soluciones de seguridad de API más sólidas se ha vuelto esencial. Las instituciones financieras que hoy priorizan la protección integral de las API y la gestión rigurosa de riesgos de terceros se posicionarán para el éxito en un ecosistema cada vez más conectado, innovador, pero propenso al riesgo. Al construir sobre una base de confianza, cumplimiento y seguridad, los bancos y las empresas financieras pueden liberar con confianza todo el potencial de las finanzas abiertas y ofrecer experiencias de cliente más fluidas y seguras.

Obtenga más información sobre cómo proteger mejor su ecosistema de finanzas abiertas y vea cómo los productos F5 ayudan a su organización a implementar mejor una estrategia de seguridad de aplicação para una protección de 360° que va más allá de las pruebas de vulnerabilidades de software.