21 de febrero de 2019

¿Son seguras las API?

Una API (Application Programming Interface) es un conjunto de funciones y procedimientos que permite a dos aplicaciones comunicarse entre sí enviando peticiones y recibiendo respuestas.

Las API en la banca abierta

Las APIs son relevantes para los profesionales de las finanzas y la tesorería debido a Banca abierta y PSD2 (Directiva de Servicios de Pago 2).

Banca abierta exige que los bancos pongan sus API a disposición de particulares y terceros para que puedan acceder a los datos financieros personales de forma segura. Y según la DSP2, casi todos los bancos de la UE tendrán que permitir el acceso a los datos de los clientes a través de las API.

Así que la verdadera pregunta aquí es: ¿qué tan seguras son las API para realizar transacciones y compartir sus datos financieros?

Hasta hace poco, los bancos solían crear silos financieros, obligando a los clientes a depender de sus servicios para acceder a sus datos financieros de forma segura. Pero las API y la banca abierta están cambiando todo eso.

A través de una rica API, las instituciones financieras pueden obtener una ventaja competitiva y poner a sus clientes en control de sus finanzas al proporcionar datos seguros en tiempo real.

Hay muchos ejemplos de cómo las empresas y los consumidores ya están adoptando las API para hacer la vida más fácil:

Empresas

Con la transformación digital como prioridad en la agenda de las empresas de todo el mundo, las APIs pueden aportar varios beneficios a los tesoreros de las empresas. Las APIs ponen a disposición de los equipos de tesorería más pequeños tecnologías avanzadas que antes sólo estaban al alcance de las grandes empresas, lo que permite trabajar en tiempo real, tomar decisiones más rápidamente y mejorar la experiencia de los clientes.

Las API pueden proporcionar a las empresas conexiones bancarias directas con los bancos desde los sistemas de planificación de recursos empresariales (ERP) o mediante integraciones de datos en vivo con herramientas de inteligencia empresarial.

Consumidores

Para los consumidores, las API ofrecen rapidez y sencillez para crear experiencias financieras mejoradas.

Yolt es un ejemplo perfecto de la Banca Abierta basada en el consumidor en la práctica, ya que utiliza las API para centralizar cuentas dispares y ayudar a los usuarios a vigilar más de cerca sus hábitos de gasto.

¿Cuáles son los riesgos?

La introducción de las API abiertas hace que los bancos dependan de la seguridad de los TPP (terceros proveedores) que utilizan estas API, lo que plantea algunas preguntas -o preocupaciones- para los bancos y los usuarios de los servicios:

  • Al haber más consumidores que utilizan herramientas de terceros, se reduce el número de transacciones realizadas a través de los canales propiedad de los bancos. Esto repercute negativamente en el volumen de datos que los bancos pueden recopilar, que utilizan para distinguir entre las transacciones legítimas y las fraudulentas.
  • Las nuevas herramientas de banca abierta abren el camino a nuevos tipos de transacciones, que podría dificultar aún más la lucha contra el fraude en los pagos.
  • Existe la posibilidad de que los defraudadores se dirijan a los datos que se transmiten a través de las API. Si tienen éxito, los datos de los clientes no autorizados podrían utilizarse en una toma de posesión de cuentas (ATO) u otra forma de ciberataque.
  • Los bancos están interactuando con los TPP sin conocer del todo sus medidas de seguridad, lo que supone un nuevo riesgo en cuanto al lugar en el que acabarán estando los datos. Como resultado, los bancos pueden estar expuestos a cientos de nuevas amenazas fuera de sus áreas normales de control.
  • Si un TPP se ve comprometido, los hackers pueden enviar solicitudes a los bancos que parezcan autorizadas. Y como las estafas son cada vez más sofisticadas, no pasará mucho tiempo antes de que alguien encuentre la manera de falsificar el consentimiento del cliente.

"Las APIs ofrecen otra vía de ataque a los ciberdelincuentes... si no puedo atacar las puertas principales de los bancos, quizá pueda hacerme pasar por un pequeño desarrollador y encontrar una puerta lateral alternativa que me siga haciendo llegar al banco, de una forma u otra".  Sumit Agarwal, Shape Security

¿Cómo se aseguran las APIs?

A pesar de estas preocupaciones, una API bien diseñada proporcionará una conexión segura a las aplicaciones de terceros.

Es importante recordar que son los propios bancos los que construyen y prueban sus puntos finales de API.

Así, los bancos pueden mitigar el riesgo de ataques por sí mismos implementando una arquitectura sólida que integre los requisitos y las herramientas de seguridad en la propia API. En última instancia, esto permite a los bancos ser proactivos, en lugar de reactivos, cuando se trata de proteger las API.

Los TPP están muy regulados

Lo primero que hay que recordar es que las API se basan en permisos. Así que, tanto si eres un consumidor como una empresa, no tienes que compartir tus datos con un TPP si no quieres.

Esto es fundamental para las API en la banca abierta. Las normas dicen que los bancos deben permitir que sus datos se compartan con los TPP, pero SÓLO si usted lo permite. Esto significa que los TPP no pueden acceder libremente a las cuentas, sino que deben obtener su consentimiento, que puede ser retirado en cualquier momento.

Los TPP también están sujetos a leyes de protección de datos como el GDPR, así como a las normas técnicas reglamentarias de la PSD2, lo que significa que son responsables de proteger cualquier dato personal que procesen.

¿Qué son los AISP y los PISP?

Tras la introducción de la Directiva de Servicios de Pago de la UE (PSD2), los servicios en línea que utilizan API para acceder a los datos de su cuenta o realizar pagos en su nombre están ahora regulados por la Autoridad de Conducta Financiera.

Para que un proveedor de servicios financieros esté plenamente autorizado a través de la DSP2 a utilizar las API de banca abierta, debe estar registrado como AISP, PISP o ambos.

Un proveedor de servicios de información sobre cuentas (AISP) autorizado puede pedir permiso para conectarse a una cuenta bancaria y utilizar la información de esa cuenta para prestar un servicio. Los AISP están autorizados a acceder a la información de las cuentas bancarias en régimen de "solo lectura", es decir, pueden mirar pero no tocar.

Entre los ejemplos más comunes de AISP se encuentran las comparaciones de precios, las comprobaciones de crédito, las aplicaciones para ahorrar dinero como Yolt y los paquetes de contabilidad como Sage y QuickBooks para empresas.

Los proveedores de servicios de iniciación de pagos autorizados (PISP) pueden pedir permiso para conectarse a una cuenta bancaria e iniciar pagos desde la cuenta bancaria del cliente en su nombre.

Aunque las normas de la DSP2 dejan claro que los PISP "no utilizarán, accederán o almacenarán ningún dato para fines distintos de la prestación del servicio de iniciación de pagos solicitado explícitamente por el ordenante".

Entre los ejemplos más comunes de PISP basados en el consumidor se encuentran las instalaciones de pago instantáneo que suelen utilizar las tiendas minoristas y de comercio electrónico, y que existen para mejorar la experiencia del cliente de los compradores habituales.

¿Cómo saber si un TPP está autorizado?

Siempre es una buena idea comprobar el Registro de Servicios Financieros que se autorice primero a una empresa que preste Servicios de Información de Cuentas o Servicios de Iniciación de Pagos.

Puede comprobar si una empresa está autorizada en el Registro de la FCA o en el Directorio de Open Banking.

Los TPP autorizados sólo podrán acceder a los datos necesarios para el servicio que hayas contratado. Por lo tanto, si has pedido a un TPP registrado que revise tu cuenta corriente en un banco, no tendrá ninguna visibilidad sobre otros servicios que tengas en ese banco.

Y como todos los TPP deben cumplir la legislación sobre protección de datos, el proveedor debe informarte de qué datos utilizará, durante cuánto tiempo y qué hará con ellos antes de que te registres.

Si utiliza un proveedor externo no regulado, no tendrá los mismos niveles de protección contra el fraude. Es decir, si pierdes dinero utilizando un servicio no regulado, existe la posibilidad de que tu banco no te pague.

APIs vs Screen Scraping

Las API suelen ser mucho más seguras que las soluciones alternativas. Un ejemplo de ello es el screen scraping.
Las aplicaciones que utilizan el screen scraping le piden que entregue sus datos de acceso al banco y requieren su permiso para recoger o "screen-scrapear" sus datos.

Básicamente, se hacen pasar por usted, el cliente, lo que puede exponer datos personales muy sensibles y dejarle expuesto al fraude. El uso del screen-scraping continuará durante un periodo de transición hasta aproximadamente septiembre de 2019, cuando se prohibirá por temor a que no sea tan seguro como las API.

Entonces, ¿son las API lo suficientemente seguras para las transacciones de datos financieros?

A la hora de considerar la seguridad de las API, no hay que confundir la apertura con una seguridad deficiente. Investigando un poco y eligiendo las TPP adecuadas, las empresas y los consumidores pueden aprovechar las ventajas de las API para simplificar la gestión financiera.

Sin embargo, aunque algunos TPP siguen sin estar regulados y técnicas como el Screen Scraping siguen estando a disposición de los consumidores, está claro que el sector todavía tiene un camino que recorrer para garantizar que el uso de las API sea lo más seguro posible.