La llegada del 'open banking' o banca abierta ha supuesto una verdadera revolución para el sector de los servicios financieros. Básicamente, es un modelo que tiene el objetivo de que el cliente sea el dueño de sus datos y tenga potestad para decidir si quiere o no compartirlos con terceros. Esto se traduce en que, si por ejemplo, tienes tres cuentas bancarias en tres entidades distintas, puedes ver tu posición global y gestionarlas desde una sola aplicación.
Este intercambio de datos es posible a través de interfaces de programación de aplicaciones, también conocidas como APIs, de los bancos que han adoptado este sistema. Así, las APIs son el canal que permite integrar sistemas y compartir datos entre diferentes plataformas. Pero, ¿el open banking es un modelo seguro?
Desde la compañía de ciberseguridad ESET han abordado esta cuestión. Si bien remarca que su implantación todavía está en marcha en muchos países y que algunos podrían elaborar directrices más estrictas para establecer qué aplicaciones y proveedores podrán beneficiarse de sus ventajas, ESET advierte que el open banking implica algunos riesgos que van más allá de la privacidad. En total, enumera seis, asociados a posibles ciberataques. A continuación los repasamos siguiendo su información.
Los posibles ciberriesgos asociados al open banking
- Phishing: Si introducir las credenciales bancarias en una página web falsa es un problema hoy en día, imagina cómo de peligrosos serían estos ataques si te engañan para que des acceso a una aplicación que recopila todo tu historial financiero.
- Las aplicaciones móviles fraudulentas pueden hacerte creer que son aplicaciones reales con funciones de open banking y te solicitarán tus credenciales bancarias para vaciar tus cuentas.
- Las filtraciones de datos podrían exponer el historial financiero completo de todas las personas que depositaron su confianza en un proveedor de servicios atacado.
- Diferentes empresas podrían pagar por ver tus datos, y las empresas con malas intenciones podrían incluso utilizarlos sin consentimiento.
- Los ataques de amenazas persistentes avanzadas (APT) pueden dirigirse a personas concretas. Un APT es un tipo de malware diseñado para atacar a una empresa o institución con el fin de robar información y mantenerse oculto todo el tiempo que le sea posible.
- Otros tipos de ataques que pueden comprometer la infraestructura de una aplicación o aprovechar sus vulnerabilidades.