Sin embargo, aún las entidades financieras están a la espera de la publicación de las normas para el intercambio de información y sobre todo las relativas a su protección. Por el momento, solo cuentan con las primeras reglas para la integración de las Application Programming Interfaces (APIs), mediante las cuales se establece la obligatoriedad de intercambiar datos públicos, agregados y transaccionales, lo que los pone en estado potencial de vulneración, al estar particularmente expuestas a los riesgos cibernéticos, que van desde la suplantación de identidad hasta el robo de datos, sin las medidas establecidas de ciberseguridad.
Durante 2022, la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef), reportó que 129 instituciones financieras se vieron afectadas por la suplantación de su nombre comercial, denominación, logotipo e, incluso, de algunos de sus datos fiscales o administrativos, con el fin de contactar a usuarios y tratar de cometer fraude.
En lo que va de 2023, ya van 30 reportes de suplantación de su identidad. La mayoría de estas instituciones son sociedades financieras de objeto múltiple, entidades no reguladas (Sofomes E.N.R.).
En cuanto al robo de datos, el principal desafío está en las APIs que se desarrollan o se adoptan. Según el informe “Estado de la seguridad de las API 2022” de Salt Security, 34% de las organizaciones no tienen ninguna estrategia de seguridad y 27% adicional, menciona que solo tienen una básica que consiste en un escaneo mínimo y revisiones manuales del estado de seguridad las APIs, sin controles ni gestión sobre las mismas.
Es decir, cada nueva API que es publicada y puesta en operación representa un objetivo de ataque adicional para la organización, considerando la arquitectura de las aplicaciones modernas, incluido el acceso móvil, los patrones de diseño de microservicios y el uso híbrido, local y en la nube, lo cual complica la seguridad.
Por eso, las entidades financieras deben contar y ejercer una política de seguridad de la información que proteja, en todo momento, la infraestructura propia o de terceros contratados. Además de que, es fundamental, que evalúen la interoperabilidad, ya que, sin ello, también se estaría poniendo en riesgo la privacidad, la integridad y la autenticidad de la información.