Breve guía de seguridad para las fintech

¿Qué deben tener en cuenta los desarrolladores de plataformas de trading?

En el 2019, el mercado bursátil mundial creció en 17 billones de dólares y, pese a que la pandemia ha azotado al mercado mundial, por decirlo de alguna forma, el interés en las inversiones no se ha desvanecido. Desde principios del 2020, el número de usuarios en aplicaciones de operaciones bursátiles ha seguido creciendo.

Pero, por otro lado, los activos y los datos personales de los e-traders son un botín que resulta muy atractivo para los ciberdelincuentes y, en caso de incidente, son los operadores de la plataforma de trading los que tienen que hacer frente a las consecuencias. En esta publicación, nos centraremos en las principales amenazas a las que se enfrentan las empresas y cómo combatirlas.

Vulnerabilidades de la aplicación

Como cualquier software, las plataformas de trading presentan vulnerabilidades. En el 2018, el experto en ciberseguridad Alejandro Hernández encontró fallos en 79 de estas aplicaciones, como no usar el cifrado para almacenar o transmitir datos (cualquiera podría verlos o modificarlos) y no cerrar la sesión de los usuarios después de un periodo de inactividad. En cuanto al diseño, también encontró errores como la posibilidad de crear contraseñas poco seguras.

Un año después, los analistas de ImmuniWeb llevaron a cabo una investigación similar y su conclusión fue igual de negativa: de los 100 productos desarrollados por la tecnología fintech que se analizaron, todos resultaron vulnerables en cierta medida. Se encontraron problemas en las aplicaciones web y móviles, con muchos bugs heredados de las creaciones y de herramientas de terceros usadas por los programadores. Para algunas de las vulnerabilidades existían ya parches, pero no se habían implementado. De hecho, uno de esos parches se lanzó en el 2012, pero los autores de la aplicación fintech nunca encontraron el momento de instalarlo.

Asimismo, si un producto tiene problemas de seguridad, estos se presentarán y provocarán un daño potencial en la reputación de las empresas y ahuyentarán a sus clientes. Y si, como resultado de un bug en una aplicación, los usuarios acaban con sus datos filtrados o experimentan una pérdida financiera, el desarrollador podría recibir una fuerte multa o verse obligado a pagar daños.

A veces, el creador de la plataforma es la única víctima. Por ejemplo, los autores de la aplicación de trading Robinhood no pudieron detectar un bug que permitía a los usuarios premium coger prestado fondos ilimitados de la plataforma para intercambiar valores; un usuario solicitó un préstamo de un millón de dólares contra un depósito de apenas 4000. Los traders lo llamaron “el truco del dinero infinito”.

Para evitar pérdidas relacionadas con los bugs y las vulnerabilidades, los creadores del código de la plataforma de trading necesitan replantear la seguridad en la etapa de desarrollo y pensar en cosas como el cierre de sesión automático del usuario, el cifrado y una prohibición en cuanto al uso de contraseñas inseguras. También deberían revisar periódicamente el código en busca de errores y corregirlos a tiempo.

Ataques a la cadena de suministro

Para ahorrar tiempo y dinero, la mayoría de las empresas no sólo escriben su propio código, sino que también emplean desarrollos, marcos y servicios de terceros. Pero si la infraestructura de un proveedor se ve comprometida, las empresas que la utilizan también pueden verse afectadas.

Por ejemplo, eso es lo que le pasó a Pepperstone, un corredor de divisas. En agosto del 2020, los ciberdelincuentes infectaron los ordenadores de un contratista de la empresa y consiguieron acceder al sistema de CRM de Pepperstone. Aunque el robo se neutralizó rápidamente, los atacantes lograron robar ciertos datos del cliente. La compañía afirma que sus sistemas financieros y bursátiles no se vieron afectados. Igualmente, vale la pena recordar que las filtraciones de datos pueden salir muy caras a las empresas si el código de terceros es el culpable.

Para evitar posibles riesgos, elige siempre socios de confianza y sensibilizados con la seguridad, y nunca confíes solamente en sus mecanismos de protección. Cualquier empresa del sector de las finanzas debería adoptar una rigurosa política de seguridad.

Spear phishing

El factor humano es una de las causas más comunes de los ciberincidentes. Por ello, a menudo los atacantes usan a los empleados para infiltrarse en la infraestructura de las empresas.

Dicho esto, en julio de este año, un grupo de investigadores de ciberseguridad vincularon una serie de ataques contra las instituciones fintech en la UE, el Reino Unido, Canadá y Australia con el grupo de APT Evilnum. Los ciberdelincuentes enviaron correos a los empleados de la empresa con un enlace a un archivo ZIP albergado en un servidor de nube legítimo. Los mensajes se disfrazaron como correspondencia de negocios y el contenido del archivo, como documentos o imágenes. Aunque el documento o la imagen prometidos aparecían en la pantalla, al abrirlos, se puso en marcha la cadena de infección.

En ocasiones, los atacantes se meten en las cuentas de correo electrónico, lo que hace que su phishing sea más convincente. En agosto de este año, la empresa de operaciones bursátiles Virtu sufrió uno de estos ataques. De acuerdo con los representantes de la empresa, los ciberdelincuentes suplantaron el correo de un ejecutivo de alto nivel y se pasaron dos semanas enviando correos a los departamentos de contabilidad con órdenes de transferir grandes sumas de dinero a China. La confianza ciega de los empleados le costó a la empresa cerca de 11 millones de dólares.

Para rechazar dichos ataques, el personal de ciberseguridad necesita una formación adecuada. Recopila una lista de señales de alarma de phishing en correos y úsala para diseñar un plan de acción en caso de que un colega, socio o cliente te pida (o parezca pedir) que envíes unos mil millones (o a veces un poco menos) a un desconocido.

Problemas del cliente

A veces los usuarios pierden dinero sin que tu empresa o aplicación sean los responsables, al descargar malware, introducir contraseñas en sitios de phishing o al actuar de forma irresponsable. Por desgracia, en este caso también pueden presentar reclamaciones contra la plataforma de trading. En algunos países, las empresas están obligadas por ley a, como mínimo, averiguar lo sucedido, así que vale la pena advertir de vez en cuando a los traders sobre los peligros potenciales e instarlos a protegerse (y a ti, por ende).

También es una buena idea recordarles periódicamente a los clientes que cualquier software de terceros, especialmente si es pirata o se ha obtenido de fuentes de dudosa reputación, puede suponer una amenaza. Por ejemplo, puede ser que robe contraseñas, incluyendo aquellas para las cuentas de trading.

Advierte a los clientes de que los ciberdelincuentes pueden hacerse pasar por tu servicio para sustraer sus credenciales. Aconséjalos para que presten gran atención a los correos sobre problemas con el servicio y que revisen cuidadosamente la dirección del remitente y el mensaje en busca de errores tipográficos y de mala redacción. Recomiéndales que introduzcan manualmente la URL en el navegador, abran la aplicación cliente o llamen al servicios de atención al cliente en caso de dudas.

Cómo proteger tu dinero y reputación

Manipular dinero es una gran responsabilidad, y descuidar la seguridad puede costarle mucho a las empresas fintech. Por lo tanto:

  • Supervisa la seguridad de tus aplicaciones y programas. Busca en ellas vulnerabilidades y no toleres bugs ni errores.
  • Instala una solución de seguridad de confianza en los dispositivos del trabajo, a ser posible, uno que esté basado en la nube y que se administre mediante un panel de control sencillo.
  • Establece formaciones para tus empleados con los principios básicos de ciberseguridad, para que no cometan errores que puedan provocarles pérdidas de dinero o situaciones de estrés a tus clientes.
  • Utiliza la política más estricta posible para los empleados y los proveedores.
  • Recuérdales a los clientes que la seguridad de su dinero depende en gran medida de ellos. Recomiéndales que instalen una solución de seguridad en el dispositivo que utilizan para el trading y que lo mantengan libre de aplicaciones basura.
  • Implementa mecanismos de seguridad en tus desarrollos desde el primer día. Esto significa, como mínimo, comenzar por prohibir las contraseñas inseguras e implementar el cifrado y el cierre de sesión automático para usuarios inactivos.
Consejos