En el sector de los servicios financieros, la confianza es esencial.
Los clientes confían su información privada a tu empresa
con la esperanza de que sea tratada con cuidado y de forma segura.
Y tienen razón al esperar eso.
La mayoría de los servicios financieros no solo han actualizado sus sistemas
para afrontar las modificaciones de protección de datos,
sino que también han cambiado sus procedimientos
para garantizar una seguridad continua.

La protección de datos se refiere a las prácticas,
tecnologías y normativas que garantizan la disponibilidad,
seguridad y privacidad de la información.
Los desarrolladores de software que trabajan en este campo
son conscientes de la presión adicional a la que se enfrentan.
Saben que deben hacer frente a las difíciles tareas
de cumplir con las regulaciones y las buenas prácticas de seguridad.
Los desarrolladores de tu equipo no solo deben tener en cuenta el software
que construyen (que sea útil y operable).
También deben considerar el acceso que permite,
los datos y recursos a los que accede,
y los ciberdelincuentes que podrían utilizarlo
para sus actividades delictivas.

Este artículo aborda los datos que se deben proteger,
los retos y las medidas que deben tenerse en cuenta
a la hora de crear software para servicios financieros.
Primero entendamos qué datos hay que proteger.

Entendiendo la protección de datos

La protección de datos se refiere
a las prácticas generales para proteger la información personal
contra daños corrupción o pérdida.
Garantiza que los usuarios puedan acceder fácilmente
a los datos mediante copias de seguridad,
recuperación y una gobernanza adecuada.
Las instituciones financieras manejan una amplia gama de datos sensibles,
los cuales deben tenerse en cuenta
a la hora de desarrollar una aplicación de software.
Entre los tipos de datos que tu producto debe proteger
se encuentran los siguientes:

• Datos personales: Esto incluye nombres, direcciones, números de teléfono,
  direcciones de correo electrónico y números de identificación nacional.

• Datos financieros: Se incluyen números de cuenta,
  historial de transacciones, saldos, información sobre
  tarjetas de crédito y débito.

• Datos de autenticación: Incluye usuarios,
  contraseñas y otras credenciales utilizadas para acceder a cuentas financieras
  como información biométrica.

• Datos internos: Esto incluye datos de empleados,
  correos electrónicos internos y memorandos,
  propiedad intelectual y presupuestos y pronósticos de ingresos.

• Datos del sistema: Esto incluye datos sobre el software utilizado
  por las plataformas o la infraestructura informática de la entidad.

¿Por qué es importante la protección de datos?

Garantizar la seguridad de los datos financieros
mientras se desarrolla el software
debería ser una de las mayores prioridades para los desarrolladores.

Dar prioridad a la seguridad de los datos es importante
por diferentes razones.
Algunas tienen que ver con el cumplimiento
(cumplir los requisitos legales y reglamentarios
es necesario para evitar sanciones y acciones legales)
y reducción de riesgos
(una sólida protección de los datos minimiza
los riesgos de ciberataques como la violación de datos).

Otras razones son la confianza del cliente
(los incidentes la deterioran),
continuidad operativa
(prevención de la pérdida de servicios y garantía
de que los sistemas siguen funcionando)
y la reducción de las pérdidas económicas
(pérdidas directas por ataques de ransomware
o pérdidas indirectas por tiempo de inactividad o por recuperación de datos).

Desafíos en el desarrollo de software para servicios financieros

Cuando se desarrolla software para el sector financiero
surge un conjunto particular de retos,
y podrían ir más allá de los problemas comunes del desarrollo de software.

Uno de esos retos
es conseguir el equilibrio adecuado entre seguridad y utilidad.
Unos protocolos de seguridad demasiado estrictos
pueden frustrar a los usuarios,
obstaculizar su adopción y hacer que la aplicación resulte ineficaz.
La clave está en implementar funciones de seguridad sólidas
de forma que no haya fisuras,
haciendo que la aplicación sea fácil de usar y lógica,
sin dejar de cumplir con las normativas.

Otro reto para los desarrolladores
es la integración con sistemas tradicionales.
Las instituciones financieras a menudo dependen de sistemas tradicionales
construidos con tecnologías obsoletas.
Integrar un nuevo software con estos sistemas antiguos
puede resultar complejo y costoso.
Una planificación cuidadosa, estrategias de mitigación de datos
el uso de API modernas, son todas formas de salvar la brecha
entre los sistemas tradicionales y los componentes nuevos de software.

Existe otro reto
el mantenerse al día con el panorama regulatorio cambiante.
Esto podría incluir nuevas leyes,
estándares y directrices del sector que no interactúan entre sí.
A su vez,
no estar al día puede dar lugar a vulnerabilidades y,
tal vez, a multas elevadas.
Los desarrolladores deben encontrar un sistema integrado
con una visión única y completa de todos los requisitos regulados
para ahorrarse futuros quebraderos de cabeza.

Las instituciones financieras a menudo
necesitan integrar su software con sistemas de terceros,
como pasarelas de pago o centrales de crédito.
Los desarrolladores deben tomarse su tiempo
y garantizar una integración segura
y sin obstáculos con estos sistemas externos.

Por supuesto, uno de los mayores retos
es en sí proteger los datos de los usuarios.

Retos en la protección de datos

Las organizaciones se enfrentan a un laberinto de aspectos relacionados
con la privacidad de datos,
sobre todo en el sector financiero.
Las siguientes son los principales puntos de dificultad:

• Extensa cantidad de datos: El creciente volumen de datos
  dificulta su seguimiento, gestión y protección efectiva.
  Las instituciones financieras recopilan una gran cantidad de datos sensibles,
  y organizar estos datos dispersos en distintos sistemas
  aumenta el riesgo a la exposición.

• Gestionar el ciclo de vida de los datos: Los datos pasan por varias etapas
  a lo largo de su ciclo de vida,
  desde su creación y almacenamiento hasta su uso y eliminación.
  Los datos específicos, como la información financiera o confidencial,
  requieren cumplimientos específicos y otros reglamentos,
  lo que añade complejidad a la gestión del ciclo de vida de los datos.

• Factor humano: El error humano es un factor importante
  a las violaciones y fugas accidentales de datos.
  La negligencia o la falta de concienciación
  de los empleados pueden ser tan perjudiciales como los ataques maliciosos.

• Inquietudes sobre la seguridad en la nube: A medida
  que más instituciones financieras
  adoptan soluciones basadas en la nube,
  surgen problemas de seguridad de los datos.

• Controles de acceso: Proporcionar acceso y autorización
  para un personal híbrido y aplicaciones de terceros dificulta
  la gestión de los controles,
  ya que cualquiera de ellos puede sufrir un ataque.
  Las credenciales robadas
  o las contraseñas débiles también posibilitan las brechas.

El software financiero debe construirse
con fuertes medidas de seguridad de datos
para evitar el acceso no autorizado,
la violación de datos o el robo de identidad.
Estas medidas se abordarán más adelante.

Cumplimiento de regulaciones y estándares de seguridad de datos

En un principio, comprender los reglamentos y leyes que aplican
a la organización en particular forma parte
de crear un software seguro.
A continuación presentamos las leyes y regulaciones
relacionadas con la protección de datos que afectan sobre todo
al sector financiero.

• Reglamento general de protección de datos (GDPR): Esta
  regulación exhaustiva de la Unión Europea se centra en la privacidad en línea
  y la gestión de datos en los estados miembros de la UE.
  Nosotros, en Fluid Attacks,
  hemos asociado
  requisitos específicos de seguridad
  con estas regulaciones.

• Requisitos de ciberseguridad del departamento
  de servicios financieros de Nueva York:
  Esta regulación requiere alinear las estrategias de ciberseguridad con el
  marco NIST.
  Esto incluye desplegar una infraestructura de seguridad robusta,
  disponer de un sistema actualizado de detección de ataques a la seguridad,
  nombrar un CISO (director de seguridad de la información),
  y proporcionar informes detallados sobre sus riesgos de ciberseguridad,
  la eficacia de sus políticas y procedimientos.
  Por nuestra parte,
  establecimos estos requisitos
  utilizando esta regulación.

• Ley Gramm-Leach-Bliley (GLBA): Esta ley exige que
  las instituciones financieras informen
  a los clientes sobre las prácticas de intercambio de datos
  y les ofrezcan la opción de no compartir sus datos con terceros.
  La GLBA pretende proteger la información personal no pública de los clientes,
  lo que incluye los números de seguridad social e historiales de transacciones.
  Establecimos estos requisitos
  basándonos en esta ley.

• Estándares de seguridad de los datos de la industria
  de tarjetas de pago (PCI DSS):
  Este set de estándares de seguridad busca proteger los datos
  de los titulares de tarjetas.
  También establece normas sobre cómo los comerciantes,
  proveedores de servicios instituciones financieras,
  desarrolladores y soluciones de pago procesan,
  almacenan y transmiten los datos de los consumidores.
  Su última versión, PCI DSS v4.0
  actualizó los títulos de sus 12 categorías principales.
  Estos son
  los requisitos de seguridad del software que hemos establecido
  utilizando este estándar.

Otras leyes de cumplimiento regulatorio y protección de datos son:

• Ley Sarbanes-Oxley (SOX)

• Directiva de servicios de pago (PSD2)

• Basilea III

• Ley de privacidad del consumidor de California (CCPA)

Todas ellas están centradas en la protección de información sensible
pero deben tenerse en cuenta en cada caso.
Su cumplimiento contribuye a un sector fiable
y sostenible de los servicios financieros
y les ayuda a navegar con éxito
el complicado entorno normativo.

Saber qué regulaciones se aplican y comprender todas las particularidades
que aplican a tu empresa es de suma importancia.
Esto también ayuda a mantener una posición proactiva en caso de auditorías.
Hablando de esto, realizar auditorías internas y externas con regularidad
puede ayudar a identificar y hacer frente a las deficiencias en el cumplimiento
o en las prácticas de protección de datos.

Los equipos de desarrollo y consultoría
deberían establecer un conjunto claro
y unificado de directrices para el tratamiento de datos.

Esto garantiza que todos los implicados sepan exactamente cómo los datos
se recopilan, almacenan y utilizan, y si cumplen con las regulaciones.

El uso de herramientas para automatizar las tareas de cumplimiento
y presentación de informes también podría agilizar el proceso.

Se podría contratar a abogados o consultores de seguridad de datos
para analizar las leyes aplicables,
sugerir soluciones y ayudar a cumplir con los requisitos de seguridad.

Para el equipo de desarrollo
hay requisitos muy específicos que se necesitan en el software.
Analizamos algunos de ellos a continuación.

Medidas de protección de datos

La base de la relación entre las instituciones de servicios financieros
y sus clientes es la confianza.
Esta confianza se basa en la capacidad de las entidades
para mantener la información privada fuera de las manos equivocadas.
La reputación y las operaciones económicas de una empresa
pueden verse afectadas de forma significativa
y permanente por una mala seguridad de datos.

Los desarrolladores deben atenerse a regulaciones estrictas
que controlan todos los aspectos de su proceso de desarrollo de software,
incluidas las herramientas que utilizan.
Deben dar prioridad a medidas de seguridad sólidas
para proteger los datos sensibles,
y podrían considerar estas medidas de seguridad.

Controles tecnológicos para la seguridad de datos almacenados

Los desarrolladores y otros equipos pueden realizar
distintas gestiones básicas desde un punto tecnológico.
Una de ellas es el cifrado de discos,
que consiste en convertir los datos guardados
en un dispositivo de almacenamiento en código,
que los hace ilegibles a cualquiera que no tenga la clave de descifrado.
Los datos se cifran mediante algoritmos.
Se utiliza una clave de cifrado para cifrar y descifrar los datos,
y la clave puede protegerse con contraseñas, PIN o con medidas biométricas.
El cifrado de discos garantiza la confidencialidad de los datos
y que estén protegidos de accesos no autorizados.
Si forma parte de un plan de respuesta a incidentes,
puede incluirse en la estrategia de recuperación.

Para ir un paso más allá, las soluciones de seguridad
para terminales
como Zero Trust Network Access
pueden utilizarse en todos los dispositivos
que accedan a datos sensibles.
ZTNA puede reforzar significativamente las posturas de seguridad
y proteger los datos como exigen las regulaciones.

Otra medida es utilizar una solución
de prevención de pérdida de datos (DLP)
la cual detecta y previene la fuga de datos de los clientes
o el intercambio, transferencia o uso inapropiados de datos sensibles.

Además,
los servicios en la nube y las aplicaciones basadas en la nube
pueden utilizarse para realizar copias de seguridad y recuperación,
beneficiándose de su disponibilidad y escalabilidad.

Y, por supuesto, una infraestructura segura
se sugiere siempre para todos los recursos críticos.
Por ejemplo,
PCI DSS insiste en diferentes aspectos de la seguridad, como:

• Firewalls correctamente configurados,
  los cuales requieren un mantenimiento
  como mínimo cada seis meses y deben tener un reglamento de uso registrado.

• Segmentación de la red, que debe hacerse de forma lógica.
  Dividiendo la red en zonas con distintos niveles de seguridad,
  buscando aislar el entorno de datos
  de los titulares de tarjetas de usuarios no autorizados.

• Proteger todos los sistemas y aplicaciones es un procedimiento esencial
  que requiere procesos y mecanismos
  (como el despliegue de soluciones antimalware o escaneos periódicos)
  para detectar vulnerabilidades, las cuales deben ser oportunamente parcheadas.

Procesos y prácticas de protección de datos

Un aspecto muy importante de la seguridad de datos
es la copia de seguridad y recuperación de los mismos.
Las copias de seguridad programadas deben realizarse
con regularidad para garantizar
que los datos puedan restaurarse en caso de pérdida o daños.
Estas copias de seguridad deben almacenarse en varias ubicaciones,
incluso fuera de las infraestructuras o en soluciones basadas en la nube.
Deben realizarse pruebas para garantizar los procesos de recuperación.

Otro aspecto muy importante es el control de acceso.
Un modelo de acceso puede ser más o menos laxo
en los requisitos de autenticación
y autorización. Un modelo estricto es ZTNA.
Parte de la filosofía de zero trust,
en la que se basa ZTNA, es el acceso granular.
Conceder a los usuarios acceso únicamente a los datos
que necesitan para realizar su trabajo,
o control de acceso de mínimo privilegio,
que minimiza los posibles daños causados por credenciales comprometidas.

Otra forma de proteger los datos es recopilar
y almacenar los datos absolutamente necesarios para el funcionamiento,
lo que se denomina reducción de datos.

Otra medida consiste en identificar
y parchear periódicamente las vulnerabilidades del código en desarrollado.
Mediante la gestión de vulnerabilidades
dentro de la metodología DevSecOps
los desarrolladores pueden llegar pronto a las vulnerabilidades,
reduciendo la exposición al riesgo.
Este proceso implica evaluaciones de seguridad periódicas,
mediante pruebas de penetración y
escaneo de vulnerabilidades,
y rápidos métodos de remediación.

Otras medidas como clasificar los datos en base a su sensibilidad
para priorizar los esfuerzos de protección o crear
un inventario completo que recoja todos los datos recopilados
y utilizados en pro de la transparencia,
pueden adoptarse para hacer frente a los retos tecnológicos.

A un nivel más general, una práctica extremadamente importante es
la concientización entre los empleados.
Formarlos en buenas prácticas de seguridad de los datos,
ataques de phishing,
tácticas de ingeniería social
y otros peligros que podrían desencadenarse por errores humanos
deben tratarse con ellos.

Otro proceso importante que debe compartirse ampliamente
dentro de la organización es establecer
un plan documentado de respuesta a incidentes
que describa los procedimientos para la detección,
respuesta y recuperación ante violaciones de datos o incidentes.

Por último,
PCI DSS tiene una guía
sobre cómo responder a una violación de datos de titulares de tarjetas
y estipula cómo las organizaciones deben aplicar
un plan de respuesta a incidentes.
Esta guía de detección y notificación de violaciones de datos
proporciona información como:
limitación de la exposición de los datos,
quién debe ser informado inmediatamente en caso de una violación,
y que los contratos con terceros cuentan con planes de respuesta a incidentes.
También trata en detalle en qué casos es necesaria la asistencia de
un investigador forense del sector de las tarjetas de pago (PFI).

Gestión de cumplimiento de requisitos de software

Como ya hemos visto
existen requisitos que las instituciones financieras deben cumplir.
La mayoría de las leyes y regulaciones requieren cosas como:
encriptación fuerte, políticas de contraseñas,
gestión de sesiones, controles de acceso,
requisitos de cumplimiento en materia de privacidad,
mantenimiento de registros y auditoría.
Analicemos algunos de los requisitos clave
y comprendamos cómo y con qué debe cumplir el equipo de desarrollo
si quiere garantizar el acatamiento de la normativa.
Para ser breves y coherentes
nos ceñiremos a los requisitos y consejos de PCI DSS.

• Cifrado de datos: PCI DSS exige que
  todos los datos de los titulares de tarjetas transmitidos
  a través de redes públicas estén cifrados,
  lo que protege los datos en caso de interceptación,
  y que los datos de los titulares de tarjetas almacenados
  en bases de datos o servidores también estén cifrados.
  El uso de algoritmos de cifrado con un mínimo
  de 128 bits de fuerza de clave efectiva
  es absolutamente necesario para cumplir este requisito.
  Algunos ejemplos de algoritmos que cumplen este requisito son
  el popular AES y el sistema de cifrado público RSA.
  Otros requisitos estrechamente relacionados para cumplir
  con PCI son: documentar los procesos y procedimientos de gestión de claves,
  hacer pruebas constantes y actualizar los protocolos,
  reducir al mínimo el almacenamiento de datos de titulares de tarjetas,
  y supervisar estrictamente la actividad de la red.

• Requisitos de contraseña: PCI DSS 4.0
  exige una longitud mínima en las contraseñas de 12 caracteres.
  Ocho caracteres si el sistema no admite 12.
  Las contraseñas deben ser complejas e incorporar una combinación de
  de letras minúsculas y mayúsculas,
  números y caracteres especiales.
  Esto las hace más resistentes a los ataques de fuerza bruta
  y a las herramientas de descifrado de contraseñas.
  El PCI DSS también exige el restablecimiento de las contraseñas cada 90 días.
  El establecimiento de un número determinado
  de intentos fallidos de inicio de sesión y
  el uso de autenticación multifactor para el acceso son otros requisitos.
  Además, todas las contraseñas de sistemas y aplicaciones por defecto
  deben cambiarse inmediatamente después del primer uso.

• Gestión de sesiones: Existen algunos requisitos
  PCI DSS obligatorios sobre este tema.
  Tiempos de espera para las sesiones de usuario inactivas
  (normalmente tras 15 minutos de inactividad),
  lo cual requiere que el usuario vuelva a autenticarse para reactivar
  el terminal o la sesión.
  Otros incluyen identificadores (ID) de sesión únicos
  y la supervisión de la actividad de sesiones no autorizadas.
  También se deben revisar los registros
  para detectar comportamientos sospechosos.

• Controles de acceso: El acceso a los datos y sistemas debe concederse
  según el principio de mínimo privilegio.
  Esto significa que los usuarios solo deben tener
  los permisos de acceso mínimos
  en base a su clasificación laboral y sus funciones.
  Estos privilegios deben ser aprobados por personal autorizado
  y revisarse al menos una vez cada seis meses.

Contribución de Fluid Attacks a la seguridad del software del sector

Como se ha demostrado en la última sección
la defensa de las instituciones financieras contra las amenazas
no abarca una única solución.
Tu organización puede beneficiarse enormemente
de un enfoque de múltiples niveles
para proteger sus activos financieros,
lo que incluye los datos de los usuarios.
Hablando desde la experiencia,
en Fluid Attacks sabemos que las vulnerabilidades
pueden ser puertas de entrada
a las redes y que los ciberdelincuentes tienen los medios
para obtener acceso no autorizado y llegar a activos importantes.
No obstante,
también sabemos cómo prevenir los ciberataques que pueden conducir
a violaciones de datos,
ransomware
o cualquier otro tipo de incidente grave.

Hemos trabajado con importantes empresas de servicios financieros.
Una de ellas es una conocida entidad de transferencia de dinero
que facilita su envío a cualquier parte del mundo.
Uno de sus objetivos principales
es mantener protegida la información personal de sus clientes
ya que recopila todo tipo de información sensible.
La empresa ha establecido normas sobre cómo se
recogen, almacenan, transmiten y utilizan esos datos,
También cumple
con distintas leyes y regulaciones a escala mundial.
La empresa realizaba pruebas de seguridad puntuales,
que son evaluaciones periódicas del nivel de seguridad de la entidad.
Sin embargo, este enfoque suele dar lugar a informes obsoletos
y afectó a esta empresa al informar de vulnerabilidades
solamente después de que el software
se pusiera a disposición de los usuarios.
La entidad buscó una compañía que encontrara vulnerabilidades a lo largo de
el ciclo de vida de desarrollo de software (SDLC),
utilizara tecnologías y herramientas, así como hackers éticos
para identificar posibles vulnerabilidades,
y creyera en la metodología DevSecOps como algo indispensable
para el desarrollo de software.

Desde 2021,
nuestra solución de Hacking Continuo
ha reforzado la postura de seguridad de la entidad mencionada,
identificando diferentes tipos de vulnerabilidades,
informando de ellas a su equipo de desarrollo,
proporcionando asistencia y sugiriendo estrategias de remediación eficaces.
antes de desplegar su software.
Para el primer trimestre de 2023
esta empresa había reducido su exposición al riesgo en un 75%.
Y no solo eso,
sino que sus equipos colaboraban más gracias a nuestros procesos y plataforma,
ambos orientados a fomentar el trabajo en equipo en materia de seguridad.
Destacaron nuestra capacidad, la utilidad de nuestras evaluaciones
de explotabilidad de las vulnerabilidades detectadas
y la gran ayuda que ofrecía nuestro equipo de hacking.
Puedes encontrar más información sobre
su caso de éxito aquí.

Esta entidad financiera es una de las muchas, muchas empresas
a las que nuestras soluciones han ayudado.
Manteniéndolas al día sobre su estado de seguridad
con nuestra solución de pruebas de seguridad,
cuya precisión es posible en gran medida
por las pruebas de penetración manuales
realizadas por nuestro experto equipo de hacking,
estas empresas saben que pueden confiar
en nosotros para la identificación de vulnerabilidades
sin que ello afecte a su tiempo de lanzamiento al mercado.
Siempre estamos para ayudar, contáctanos.