En septiembre de 2018 entró en vigor la normativa Europea Payment Service Providers, en su acrónimo PSD2. Esta regulación establece diferentes medidas para que las transacciones se hagan con mayor seguridad y mejor gestión. Este que, a priori, solo debería afectar a los bancos y entidades financieras se puede convertir en un obstáculo para seguir realizando ventas. Vemos cómo y por qué. Con la entrada en vigor de la normativa europea PSD2 se busca reforzar la seguridad en los pagos electrónicos y regular la llegada de nuevos actores en el comercio on-line.
PSD2 reemplaza el mandato de 2007, la Directiva de Servicios de Pago (PSD) aprobada en 2015, para resaltar procedimientos, derechos y obligaciones de protección específicos de proveedores y usuarios en un esfuerzo por motivar la innovación y la competencia en la industria financiera. Si bien está diseñado y es principalmente aplicable a los estados miembros de la UE, los efectos e implicaciones de la directiva van más allá de la región. La directiva se aclama como un cambio de juego en la industria financiera, ya que elimina el control de la información de los clientes de los bancos establecidos y les da a los usuarios el derecho de compartir sus datos bancarios con proveedores de servicios financieros para la gestión financiera y otros fines.
PSD2 es una nueva directiva de servicios de pago compuesta por un conjunto de normas y prácticas de obligado cumplimiento que cambiarán la manera en que los consumidores accedemos a la banca online, pero también simplificará y hará más seguros los pagos realizados a través de Internet. Con esta nueva regulación sobre servicios de pago, vigente en toda la Unión Europea desde este mes, permitirá que haya terceros que tengan acceso a la infraestructura de los bancos y agilizará los pagos en Europa. Este fenómeno, conocido como Open Banking, permite que estos terceros puedan tener acceso a las cuentas de cada cliente. Eso sí, siempre y cuando la persona que es titular de cada cuenta les haya dado su consentimiento para ello.
Además de mejorar la seguridad, simplificar las transacciones y aportar innovación a los servicios de pago, la PSD2 llega con cambios que afectarán no solo a los usuarios, sino también a las entidades bancarias y cualquier tipo de comercio electrónico, incluido los tecnológicos. Además, no solo afecta a las empresas europeas, sino también a todas aquellas que, fuera del espacio geográfico de la UE, comercian con clientes en el espacio económico europeo.
Riesgos de seguridad de la nueva Banca Abierta
A pesar de las mejoras de seguridad que impone la nueva normativa, la firma Trend Micro ha publicado un estudio que detalla el impacto que puede tener la Directiva de Servicios de Pago (PSD2) de la UE, si no nos preparamos para el mismo y ante al atractivo que supone el sector financiero para los ciberdelincuentes, y las oportunidades de robar información personal y financiera confidencial.
«Nos preocupa que la industria no esté totalmente preparada para hacer frente a esta superficie de ataque tan amplia. Por eso queríamos entender los riesgos antes de que ocurran, para poder ayudar a FinTechs y a las entidades tradicionales a proteger sus activos primero», dice el estudio de Trend Micro señalando varios posibles escenarios de ataque bajo el nuevo régimen regulatorio:
- Ataques a las API: las API públicas están en el corazón del Open Banking, permitiendo a terceros autorizados acceder a los datos bancarios de los usuarios para proporcionar nuevos e innovadores servicios financieros. Los fallos de implementación en estas API permitirán a los atacantes explotar los servidores back-end para robar datos.
- Ataques a compañías FinTech: los usuarios se verán obligados a establecer una nueva relación de confianza con proveedores que pueden tener menos recursos que sus bancos y sin antecedentes en materia de protección de datos. En una rápida encuesta sobre Open Banking FinTechs, Trend Micro encontró que tienen una media de 20 empleados y ningún profesional de seguridad dedicado. Esto las convierte en objetivos ideales para los atacantes y plantea problemas de seguridad en sus apps móviles, API, técnicas de compartición de datos y módulos de seguridad que podrían implementarse incorrectamente.
- Ataques a las aplicaciones o plataformas móviles: la mayoría de los servicios de Banca Abierta se desplegarán como aplicaciones móviles, lo que los convierte en un objetivo prioritario para los atacantes. Encontrar el nombre de usuario, la contraseña o las claves de cifrado dentro de la aplicación permitiría a un delincuente recuperar datos bancarios y hacerse pasar por el usuario. Incluso si las apps no tienen permiso para realizar pagos, pueden contener datos de transacciones, lo que permite a un atacante crear un perfil muy preciso de sus víctimas.
- Ataques contra el usuario: debido a que las nuevas apps de Open Banking se convertirán en el medio principal para que los usuarios accedan a los datos y servicios financieros, los ataques de phishing podrían cosechar importantes recompensas para los atacantes.
Trend Micro también detalla cómo las instituciones financieras pueden mejorar su resiliencia cibernética. Esto incluye asegurar que la información confidencial nunca esté contenida en las rutas de las URL, priorizar los protocolos seguros y eliminar las prácticas arriesgadas, mientras que los desarrolladores y propietarios de aplicaciones de Banca Abierta deben adoptar un enfoque de seguridad por diseño, incluyendo auditorías regulares de software.
Fuente: Muy Seguridad | Informe de Trend Micro