Breve guía de seguridad para las fintech

¿Qué es lo que los desarrolladores y operadores de plataformas bursátiles deben tener en cuenta?

En 2019, el mercado bursátil mundial creció $17 billones de dólares, y pese a que la pandemia ha azotado al mercado mundial —por usar una expresión moderada—, el interés en las inversiones no se ha desvanecido. Desde inicios de 2020, el número de usuarios de aplicaciones de operaciones bursátiles ha incrementado.
La desventaja consiste en que los activos y los datos personales de e-traders son un botín atractivo para los cibercriminales, y en caso de un incidente, los operadores de la plataforma de transacciones bursátiles tienen que hacer frente a las consecuencias. En esta publicación, hablamos de las principales amenazas que enfrentan las empresas, y cómo vencerlas.

Vulnerabilidades de la aplicación

Como cualquier software, las plataformas de operaciones bursátiles presentan vulnerabilidades. En 2018, el experto en ciberseguridad Alejandro Hernández encontró defectos en 79 de estas aplicaciones,  incluyendo el nulo cifrado para almacenar o transmitir datos (cualquiera podría verlos o modificarlos) y no cerrar la sesión de los usuarios luego de un periodo de inactividad. Los defectos a nivel de diseño incluían la posibilidad de crear contraseñas poco seguras.

Un año después, los analistas de ImmuniWeb emprendieron una investigación similar  y llegaron a una conclusión igualmente negativa: de 100 productos de desarrollo de fintech (tecnologías financieras) analizados, todos eran vulnerables en cierta medida. Se encontraron problemas en las aplicaciones web y móviles, con muchos bugs (errores de programación) heredados desde la fase de desarrollo de terceros, y de herramientas usadas por los programadores. Para algunas de las vulnerabilidades existían ya parches, pero no se habían implementado. Uno de dichos parches se lanzó en 2012, pero los autores de la aplicación de fintech nunca encontraron el momento para instalarlo.

De modo inexorable, si un producto tiene problemas de seguridad, estos se presentarán y provocarán un daño potencial en la reputación de las empresas y asustarán a sus clientes. Y si, como resultado de un bug en una aplicación, los usuarios ven filtrados sus datos o experimentan una pérdida financiera, el desarrollador podría recibir una fuerte multa o verse obligada a pagar daños.

A veces, el creador de la plataforma es la única víctima. Por ejemplo, los autores de la aplicación de operaciones bursátiles Robinhood no pudieron detectar un bug que les permitió a los usuarios prémium solicitar en préstamo fondos ilimitados de la plataforma para negociar valores; un usuario solicitó un préstamo de un millón de dólares contra un depósito de apenas $4,000. Los comerciantes lo llamaron “el truco del dinero infinito”.

Para evitar pérdidas relacionadas con los bugs y las vulnerabilidades, los creadores de código de las plataformas de operaciones bursátiles necesitaron considerar la seguridad en la etapa del desarrollo y pensar por adelantado cosas como el cierre de sesión automático del usuario, el cifrado y una prohibición en cuanto al uso de contraseñas inseguras. También deberían revisar periódicamente el código en busca de errores y corregirlos oportunamente.

Ataques a la cadena de suministro

Para ahorrar tiempo y dinero, la mayoría de las empresas no sólo escriben su propio código, sino que también emplean desarrollos, marcos y servicios de terceros. Pero si la infraestructura de un proveedor se ve comprometida, las empresas que la utilizan también pueden verse afectadas.

Por ejemplo, eso es lo que le pasó a Pepperstone, un corredor de divisas. En agosto de 2020, los cibercriminales infectaron las computadoras de un contratista de la empresa, y ganaron acceso al sistema de CRM de Pepperstone. Si bien el robo se neutralizó rápidamente, los atacantes lograron robar ciertos datos del cliente. El corredor afirma que sus sistemas financieros y bursátiles no se vieron afectados. Como sea, recordemos que las filtraciones de datos pueden resultar muy costosas para las empresas si el código de terceros es el culpable.

Para evitar riesgos potenciales, elige siempre socios confiables y conscientes de la seguridad, y nunca confíes solamente en sus mecanismos de protección. Cualquier empresa en el ramo de las finanzas debería adoptar una rigurosa política de seguridad.

 

Phishing personalizado

El factor humano a menudo es la causa de los ciberincidentes. Esta es la razón por la cual los atacantes usan a los empleados para infiltrarse en la infraestructura de las empresas.

En ese contexto, en julio de este año, los investigadores de ciberseguridad vincularon una serie de ataques contra las instituciones de fintech en la UE, el Reino Unido, Canadá y Australia con el grupo de APT Evilnum. Los cibercriminales enviaron correos a los empleados de la empresa con un enlace a un archivo ZIP albergado en un servidor de nube legítimo. Los mensajes se disfrazaron como correspondencia de negocios y el contenido del archivo, como documentos o imágenes. Aunque el documento o la imagen prometidos aparecieron en la pantalla, abrirlo puso en marcha la cadena de infección.

En ocasiones, los atacantes se meten en las cuentas de correo electrónico que hace que su phishing sea más convincente. En agosto de este año, la empresa de operaciones bursátiles Virtu sufrió uno de estos ataques. De acuerdo con los representantes de la empresa, los cibercriminales se metieron en el correo de un ejecutivo de alto nivel y pasaron dos semanas enviando correos a los departamentos de contabilidad con órdenes de transferir grandes sumas de dinero a China. La confianza ciega le costó a la empresa cerca de $11 millones de dólares.

Para rechazar dichos ataques, el personal de ciberseguridad necesita una capacitación adecuada. Elabora a una lista de señales de alarma de phishing en correos y úsala para diseñar un plan de acción en caso de que un colega, socio o cliente te solicite (o parezca solicitarte) enviarle un millón (o a veces un poco menos) a Fulano de Tal.

 

Problemas del cliente

A veces los usuarios pierden dinero sin que  tu empresa o aplicación sean responsables, al descargar malware, ingresar contraseñas en sitios de phishing o al actuar de modo irresponsable. Aquí también, por desgracia, pueden presentar reclamaciones contra la plataforma de operaciones bursátiles. En algunos países, las empresas están obligadas por ley a cuando menos averiguar lo que sucedió, así que vale la pena advertir de vez en cuando a los operadores bursátiles sobre los peligros potenciales e instarlos a protegerse (y a ti, por añadidura).

También es una buena idea recordarles periódicamente a los clientes que cualquier software de terceros, especialmente si es pirata o se obtuvo de fuentes dudosas, puede suponer una amenaza. Por ejemplo, puede ser que robe contraseñas, incluyendo aquellas para las cuentas de operaciones bursátiles.

Advierte a los clientes que los cibercriminales pueden hacerse pasar por tu servicio para sustraer sus credenciales. Aconséjalos para que presten gran atención a los correos sobre problemas con el servicio, y que revisen cuidadosamente la dirección del remitente y el mensaje en busca de errores tipográficos y mala redacción. Recomiéndales que ingresen manualmente la URL en el navegador, abran la aplicación cliente o llamen a servicios a clientes en caso de dudas.

Cómo proteger tu dinero y reputación

Manipular dinero es una gran responsabilidad, y descuidar la seguridad puede costarles mucho a las empresas de fintech. Por lo tanto:

  • Supervisa la seguridad de tus aplicaciones y programas. Busca en ellas vulnerabilidades y no toleres bugs ni errores.
  • Instala una solución de seguridad confiable en los dispositivos del trabajo, idealmente uno que esté basado en la nube y que se administre mediante un panel de control sencillo.
  • Capacita a los empleados en los principios básicos de ciberseguridad, de modo que no cometan errores que puedan provocarles pérdidas de dinero o estrés a tus clientes.
  • Utiliza la política más estricta posible para los empleados y los proveedores terceros.
  • Recuérdales a los clientes que la seguridad de su dinero depende en gran medida de ellos. Recomiéndales que instalen una solución de seguridad en el dispositivo que utilizan para realizar operaciones bursátiles y que lo mantengan libre de aplicaciones basura.
  • Implementa mecanismos de seguridad en tus desarrollos desde el primer día. Esto significa, como mínimo, comenzar por prohibir las contraseñas inseguras e implementar el cifrado y el cierre de sesión automático para usuarios inactivos.

 

Consejos