Publicidad
Publicidad

¿A qué se enfrentan las fintech ante la falta de leyes reglamentarias?

Las instituciones financieras tienen un gran reto ante sí, ya que por un lado deben cumplir con los mandatos legales y, por otro, proteger a sus clientes, apunta Manuel Moreno.
mar 28 febrero 2023 08:29 AM
Cada año los daños a la ciberseguridad crecen más de 100%. En 2023 esto se espera de ciberataques.
Las entidades financieras deben contar y ejercer una política de seguridad de la información que proteja, en todo momento, la infraestructura propia o de terceros contratados, apunta Manuel Moreno.

(Expansión) - Aunque México fue uno de los primeros países en tener, en marzo de 2018, su Ley para regular las instituciones de Tecnología Financiera (la Ley FinTech) a fin de impulsar el Open Banking, hoy nuestro país se ha quedado atrás ante la falta de disposiciones relativas a la segunda fase, que debía regular el intercambio de datos transaccionales, algo que ya hizo Brasil desde agosto de 2022.

Incluso, ese país ha superado al nuestro en número de empresas fintech, teniendo, actualmente 771, frente a las 650 que operan en territorio nacional, pese a que hubo un aumento del 26% con respecto a lo reportado por Finnovista Fintech Radar México, en 2022.

Publicidad

Sin embargo, aún las entidades financieras están a la espera de la publicación de las normas para el intercambio de información y sobre todo las relativas a su protección. Por el momento, solo cuentan con las primeras reglas para la integración de las Application Programming Interfaces (APIs), mediante las cuales se establece la obligatoriedad de intercambiar datos públicos, agregados y transaccionales, lo que los pone en estado potencial de vulneración, al estar particularmente expuestas a los riesgos cibernéticos, que van desde la suplantación de identidad hasta el robo de datos, sin las medidas establecidas de ciberseguridad.

Durante 2022, la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef), reportó que 129 instituciones financieras se vieron afectadas por la suplantación de su nombre comercial, denominación, logotipo e, incluso, de algunos de sus datos fiscales o administrativos, con el fin de contactar a usuarios y tratar de cometer fraude.

En lo que va de 2023, ya van 30 reportes de suplantación de su identidad. La mayoría de estas instituciones son sociedades financieras de objeto múltiple, entidades no reguladas (Sofomes E.N.R.).

En cuanto al robo de datos, el principal desafío está en las APIs que se desarrollan o se adoptan. Según el informe “Estado de la seguridad de las API 2022” de Salt Security, 34% de las organizaciones no tienen ninguna estrategia de seguridad y 27% adicional, menciona que solo tienen una básica que consiste en un escaneo mínimo y revisiones manuales del estado de seguridad las APIs, sin controles ni gestión sobre las mismas.

Es decir, cada nueva API que es publicada y puesta en operación representa un objetivo de ataque adicional para la organización, considerando la arquitectura de las aplicaciones modernas, incluido el acceso móvil, los patrones de diseño de microservicios y el uso híbrido, local y en la nube, lo cual complica la seguridad.

Por eso, las entidades financieras deben contar y ejercer una política de seguridad de la información que proteja, en todo momento, la infraestructura propia o de terceros contratados. Además de que, es fundamental, que evalúen la interoperabilidad, ya que, sin ello, también se estaría poniendo en riesgo la privacidad, la integridad y la autenticidad de la información.

Publicidad

De acuerdo con el informe de Akamai, “Enemigo a las puertas” en 2022 hubo un aumento de 257% en ciberataques a aplicaciones web y APIs, con respecto a 2021. Y es que, incluso, se refiere que la ciberdelincuencia cuesta a la región latinoamericana 90,000 millones de dólares al año. Entre las principales amenazas de la región se incluyen el cryptojacking, el fraude, los troyanos bancarios y el ransomware, lo que demuestra que la principal motivación de los agentes maliciosos es económica.

Así que las instituciones financieras tienen un gran reto ante sí, ya que por un lado deben cumplir con los mandatos legales y, por otro, proteger a sus clientes. Una gran cantidad de incidentes de seguridad que involucran a las APIs tiene una cosa en común: la organización afectada nunca supo acerca de sus vulnerabilidades hasta que fue demasiado tarde y, como siempre, los más afectados son nuestros datos, que aun cuando no vemos de inmediato el daño, sí nos convierten en víctimas a posteriori de delitos como el robo de identidad, de propiedad e incluso de extorsión.

Nota del editor: Manuel Alexandro Moreno Liy es Director de Habilitación de Ventas de Seguridad en IQSEC. Síguelo en LinkedIn . Las opiniones publicadas en esta columna corresponden exclusivamente al autor.

Consulta más información sobre este y otros temas en el canal Opinión

Publicidad

Newsletter

Únete a nuestra comunidad. Te mandaremos una selección de nuestras historias.

Publicidad

Publicidad