{"id":20672,"date":"2020-12-03T13:42:03","date_gmt":"2020-12-03T19:42:03","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=20672"},"modified":"2020-12-03T13:42:03","modified_gmt":"2020-12-03T19:42:03","slug":"security-tips-for-trading-platforms","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/security-tips-for-trading-platforms\/20672\/","title":{"rendered":"Breve gu\u00eda de seguridad para las fintech"},"content":{"rendered":"

En 2019, el mercado burs\u00e1til mundial creci\u00f3 $17 billones de d\u00f3lares, y pese a que la pandemia ha azotado al mercado mundial \u2014por usar una expresi\u00f3n moderada\u2014, el inter\u00e9s en las inversiones no se ha desvanecido. Desde inicios de 2020, el n\u00famero de usuarios de aplicaciones de operaciones burs\u00e1tiles ha incrementado.
\nLa desventaja consiste en que los activos y los datos personales de e-traders son un bot\u00edn atractivo para los cibercriminales, y en caso de un incidente, los operadores de la plataforma de transacciones burs\u00e1tiles tienen que hacer frente a las consecuencias. En esta publicaci\u00f3n, hablamos de las principales amenazas que enfrentan las empresas, y c\u00f3mo vencerlas.<\/p>\n

Vulnerabilidades de la aplicaci\u00f3n<\/h2>\n

Como cualquier software<\/em>, las plataformas de operaciones burs\u00e1tiles presentan vulnerabilidades. En 2018, el experto en ciberseguridad Alejandro Hern\u00e1ndez encontr\u00f3 defectos en 79 de estas aplicaciones, <\/a>\u00a0incluyendo el nulo cifrado para almacenar o transmitir datos (cualquiera podr\u00eda verlos o modificarlos) y no cerrar la sesi\u00f3n de los usuarios luego de un periodo de inactividad. Los defectos a nivel de dise\u00f1o inclu\u00edan la posibilidad de crear contrase\u00f1as poco seguras.<\/p>\n

Un a\u00f1o despu\u00e9s, los analistas de ImmuniWeb emprendieron una investigaci\u00f3n similar <\/a>\u00a0y llegaron a una conclusi\u00f3n igualmente negativa: de 100 productos de desarrollo de fintech<\/em> (tecnolog\u00edas financieras) analizados, todos eran vulnerables en cierta medida. Se encontraron problemas en las aplicaciones web y m\u00f3viles, con muchos bugs<\/em> (errores de programaci\u00f3n) heredados desde la fase de desarrollo de terceros, y de herramientas usadas por los programadores. Para algunas de las vulnerabilidades exist\u00edan ya parches, pero no se hab\u00edan implementado. Uno de dichos parches se lanz\u00f3 en 2012, pero los autores de la aplicaci\u00f3n de fintech<\/em> nunca encontraron el momento para instalarlo.<\/p>\n

De modo inexorable, si un producto tiene problemas de seguridad, estos se presentar\u00e1n y provocar\u00e1n un da\u00f1o potencial en la reputaci\u00f3n de las empresas y asustar\u00e1n a sus clientes. Y si, como resultado de un bug<\/em> en una aplicaci\u00f3n, los usuarios ven filtrados sus datos o experimentan una p\u00e9rdida financiera, el desarrollador podr\u00eda recibir una fuerte multa o verse obligada a pagar da\u00f1os.<\/p>\n

A veces, el creador de la plataforma es la \u00fanica v\u00edctima. Por ejemplo, los autores de la aplicaci\u00f3n de operaciones burs\u00e1tiles Robinhood no pudieron detectar un bug<\/em><\/a> que les permiti\u00f3 a los usuarios pr\u00e9mium solicitar en pr\u00e9stamo fondos ilimitados de la plataforma para negociar valores; un usuario solicit\u00f3 un pr\u00e9stamo de un mill\u00f3n de d\u00f3lares contra un dep\u00f3sito de apenas $4,000. Los comerciantes lo llamaron \u201cel truco del dinero infinito\u201d.<\/p>\n

Para evitar p\u00e9rdidas relacionadas con los bugs<\/em> y las vulnerabilidades, los creadores de c\u00f3digo de las plataformas de operaciones burs\u00e1tiles necesitaron considerar la seguridad en la etapa del desarrollo y pensar por adelantado cosas como el cierre de sesi\u00f3n autom\u00e1tico del usuario, el cifrado y una prohibici\u00f3n en cuanto al uso de contrase\u00f1as inseguras. Tambi\u00e9n deber\u00edan revisar peri\u00f3dicamente el c\u00f3digo en busca de errores y corregirlos oportunamente.<\/p>\n

Ataques a la cadena de suministro<\/h2>\n

Para ahorrar tiempo y dinero, la mayor\u00eda de las empresas no s\u00f3lo escriben su propio c\u00f3digo, sino que tambi\u00e9n emplean desarrollos, marcos y servicios de terceros. Pero si la infraestructura de un proveedor se ve comprometida, las empresas que la utilizan tambi\u00e9n pueden verse afectadas.<\/p>\n

Por ejemplo, eso es lo que le pas\u00f3 a Pepperstone<\/a>, un corredor de divisas. En agosto de 2020, los cibercriminales infectaron las computadoras de un contratista de la empresa, y ganaron acceso al sistema de CRM de Pepperstone. Si bien el robo se neutraliz\u00f3 r\u00e1pidamente, los atacantes lograron robar ciertos datos del cliente. El corredor afirma que sus sistemas financieros y burs\u00e1tiles no se vieron afectados. Como sea, recordemos que las filtraciones de datos pueden resultar muy costosas para las empresas<\/a> si el c\u00f3digo de terceros es el culpable.<\/p>\n

Para evitar riesgos potenciales, elige siempre socios confiables y conscientes de la seguridad, y nunca conf\u00edes solamente en sus mecanismos de protecci\u00f3n. Cualquier empresa en el ramo de las finanzas deber\u00eda adoptar una rigurosa pol\u00edtica de seguridad.<\/p>\n

\u00a0<\/p>\n

Phishing<\/em> personalizado<\/h2>\n

El factor humano<\/a> a menudo es la causa de los ciberincidentes. Esta es la raz\u00f3n por la cual los atacantes usan a los empleados para infiltrarse en la infraestructura de las empresas.<\/p>\n

En ese contexto, en julio de este a\u00f1o, los investigadores de ciberseguridad vincularon una serie de ataques contra las instituciones de fintech<\/em> en la UE, el Reino Unido, Canad\u00e1 y Australia con el grupo de APT Evilnum<\/a>. Los cibercriminales enviaron correos a los empleados de la empresa con un enlace a un archivo ZIP albergado en un servidor de nube leg\u00edtimo. Los mensajes se disfrazaron como correspondencia de negocios y el contenido del archivo, como documentos o im\u00e1genes. Aunque el documento o la imagen prometidos aparecieron en la pantalla, abrirlo puso en marcha la cadena de infecci\u00f3n.<\/p>\n

En ocasiones, los atacantes se meten en las cuentas de correo electr\u00f3nico que hace que su phishing<\/em> sea m\u00e1s convincente. En agosto de este a\u00f1o, la empresa de operaciones burs\u00e1tiles Virtu sufri\u00f3 uno de estos ataques. De acuerdo con los representantes de la empresa, los cibercriminales se metieron en el correo de un ejecutivo de alto nivel<\/a> y pasaron dos semanas enviando correos a los departamentos de contabilidad con \u00f3rdenes de transferir grandes sumas de dinero a China. La confianza ciega le cost\u00f3 a la empresa cerca de $11 millones de d\u00f3lares.<\/p>\n

Para rechazar dichos ataques, el personal de ciberseguridad necesita una capacitaci\u00f3n adecuada. Elabora a una lista de se\u00f1ales de alarma de phishing<\/em> en correos y \u00fasala para dise\u00f1ar un plan de acci\u00f3n en caso de que un colega, socio o cliente te solicite (o parezca solicitarte) enviarle un mill\u00f3n (o a veces un poco menos) a Fulano de Tal.<\/p>\n\n

\u00a0<\/p>\n

Problemas del cliente<\/h2>\n

A veces los usuarios pierden dinero sin que \u00a0tu empresa o aplicaci\u00f3n sean responsables, al descargar malware<\/em>, ingresar contrase\u00f1as en sitios de phishing<\/em> o al actuar de modo irresponsable. Aqu\u00ed tambi\u00e9n, por desgracia, pueden presentar reclamaciones contra la plataforma de operaciones burs\u00e1tiles. En algunos pa\u00edses, las empresas est\u00e1n obligadas por ley a cuando menos averiguar lo que sucedi\u00f3, as\u00ed que vale la pena advertir de vez en cuando a los operadores burs\u00e1tiles sobre los peligros potenciales e instarlos a protegerse (y a ti, por a\u00f1adidura).<\/p>\n

Tambi\u00e9n es una buena idea recordarles peri\u00f3dicamente a los clientes que cualquier software<\/em> de terceros, especialmente si es pirata o se obtuvo de fuentes dudosas, puede suponer una amenaza. Por ejemplo, puede ser que robe contrase\u00f1as, incluyendo aquellas para las cuentas de operaciones burs\u00e1tiles.<\/p>\n

Advierte a los clientes que los cibercriminales pueden hacerse pasar por tu servicio para sustraer sus credenciales. Acons\u00e9jalos para que presten gran atenci\u00f3n a los correos sobre problemas con el servicio, y que revisen cuidadosamente la direcci\u00f3n del remitente y el mensaje en busca de errores tipogr\u00e1ficos y mala redacci\u00f3n. Recomi\u00e9ndales que ingresen manualmente la URL en el navegador, abran la aplicaci\u00f3n cliente o llamen a servicios a clientes en caso de dudas.<\/p>\n

C\u00f3mo proteger tu dinero y reputaci\u00f3n<\/h2>\n

Manipular dinero es una gran responsabilidad, y descuidar la seguridad puede costarles mucho a las empresas de fintech<\/em>. Por lo tanto:<\/p>\n