Aumentan ataques a aplicaciones web y API en servicios financieros

El nuevo informe de Akamai, Lo que está en juego en la innovación: tendencias de ataque en los servicios financieros, sobre el estado de Internet explora los ciberataques existentes y emergentes contra la industria de los servicios financieros.

Dicho informe señala que los ataques a aplicaciones y API en la vertical de servicios financieros crecieron un 65 por ciento al comparar el segundo trimestre de 2022 con el segundo trimestre de 2023. Esto equivale a más de nueve mil millones de ataques durante un período de 18 meses. Los ataques fueron impulsados en parte por grupos de ciberdelincuentes que abusaban de las vulnerabilidades de día cero y de día uno como vías para la intrusión inicial. El informe muestra que los servicios financieros han superado a los juegos como la principal vertical de ataques DDoS. Esto se debe a los ataques DDoS de capa 3 y 4 causados por el dramático aumento en el poder de las botnets de máquinas virtuales y el hacktivismo motivado por el conflicto entre Rusia y Ucrania.

La investigación de Akamai presenta comentarios y recomendaciones de Teresa Walsh, directora global de inteligencia del Centro de análisis e intercambio de información de servicios financieros (FS-ISAC). “Uno de los vectores de amenazas clave que enfrenta el sector financiero global es el riesgo de la cadena de suministro. Como lo muestra el informe, el aumento significativo de los ataques y vulnerabilidades a través de API y scripts de terceros requiere que las empresas adopten un enfoque cada vez más activo para fortalecer los sistemas y la gestión de riesgos de terceros en general”.

Otros hallazgos clave del informe incluyen:

• El rápido aumento del número de solicitudes de bots maliciosos (1,1 billones), que incrementó un 69 por ciento, ejemplifica el ataque continuo contra los clientes y sus datos a través de ataques como la apropiación de cuentas y los riesgos que plantean los agregadores financieros (a menudo administrados por fintech, ofrecen servicios que consolidan información financiera de múltiples instituciones).
• Si bien los servicios financieros tienen menos scripts de terceros en comparación con otras industrias (34 por ciento), son propensos a ataques como el web skimming (robo de datos personales y de tarjetas de crédito). Sin embargo, las entidades de servicios financieros están contraatacando proactivamente con la adopción de soluciones para cumplir con los nuevos requisitos de PCI DSS 4.0.
• Las vulnerabilidades de inclusión de archivos locales (LFI) están impulsando el aumento de los ataques a aplicaciones web y API con un crecimiento del 53 por ciento en el último año. LFI se ha mantenido constantemente como el principal vector de ataque web.

"Los servicios financieros son el principal objetivo de los atacantes con amenazas de seguridad nuevas y antiguas", afirmó Steve Winterfled, CISO asesor de Akamai. La mencionada investigación evalúa el enorme volumen de tráfico de amenazas de Akamai para proporcionar información y análisis que ayudarán al sector financiero a defender los datos críticos y mejorar la seguridad de sus clientes".

Recomendaciones de Akamai para mejorar la seguridad de los servicios financieros

• Mientras la industria continúa innovando y brindando más acceso a los clientes basado en API, el sector financiero debe concentrarse en garantizar que cuenta con visibilidad y mitigaciones automatizadas. Con el aumento de las API ocultas y los ataques de elusión del control de acceso, es necesario detectar rápidamente las API no autorizadas (tanto internas como orientadas al cliente), monitorearlas en busca de ataques o abusos, establecer procesos para investigar incidentes y automatizar políticas de mitigación.
• Estas mismas recomendaciones de visibilidad y respuesta se aplican a problemas relacionados con la apropiación de cuentas, los agregadores financieros, el web scraping y el phishing. Estos problemas de vanguardia son un área excelente en la que aprovechar OWASP Top 10 y el marco MITRE ATT&CK para desarrollar capacitación, mediciones de referencia de madurez y planes de prueba para su equipo rojo/grupo de prueba de penetración. Incluso se puede utilizar la herramienta ATT&CK Navigator para organizar un equipo morado en función de una amenaza específica.
• Otra área en la que vemos una mayor atención tanto por parte de los ciberdelincuentes como de los reguladores es el entorno de los scripts. Aunque esta área no ha sido tan alta en nuestros registradores de riesgo en el pasado, se debe actuar con anticipación para implementar los controles adecuados para evitar una crisis en el cumplimiento del PCI DSS v4.0 recientemente lanzado. También se debe colaborar estrechamente con su departamento jurídico para actualizar las políticas que aborden las regulaciones emergentes en áreas como la resiliencia.
• Dado que DDoS sigue siendo un vector de amenaza importante, la banca debe asegurarse de tener planes actualizados para ataques de Capa 3, Capa 4 y Capa 7. Deberá validar sus libros de jugadas y realizar un seguimiento de las tendencias de ataque tanto en tamaño como en velocidad para evaluar su riesgo en función de las capacidades actuales. Otra buena práctica es determinar un factor desencadenante para realizar un ejercicio técnico. (Normalmente, si no se ha tenido un ataque en los últimos tres trimestres, deberá realizar un ejercicio en vivo).
• Es importante detectar y responder rápidamente a los web scrapers que recopilan información sobre clientes o sitios web con el objetivo de configurar sitios de phishing falsos. Hay una serie de herramientas y servicios para lograr esto y es importante colaborar con su equipo de prevención de fraude al desarrollar su solución.

El informe de Akamai: Lo que está en juego en la innovación: tendencias de ataque en los servicios financierosse basa tanto en el tráfico de amenazas como en las mejores prácticas aprendidas  de sus clientes que proporcionan enfoques tácticos eficaces para defender al sector financiero y a sus clientes de las inminentes amenazas.