Las empresas fintech llevan
casi 20 años transformando el sector financiero,
introduciendo nuevos productos y servicios que buscan satisfacer
las necesidades en evolución de los clientes.
Las demandas y los comportamientos cambiantes
de los consumidores impulsan el sector fintech
ya que los clientes buscan formas más fáciles,
rápidas y accesibles de manejar su dinero
o hacer cosas como operaciones bancarias,
inversiones y pago de facturas.
De 2019 a 2024, el número de fintechs
ha aumentado más del doble.
Se ha calculado que en todo el mundo había 12.211 antes de 2020,
pero a partir de 2024, hay alrededor de 29.955 empresas,
siendo América, Europa, Oriente Medio y África
los que experimentaron el crecimiento más notable.

A medida que estas empresas crecen,
también lo hace la gran necesidad de contar
con medidas de ciberseguridad robustas
para proteger los datos financieros confidenciales
y mantener la confianza de los clientes.
Las fintech pueden verse afectadas
por la amenaza constante que suponen los actores maliciosos.
El hecho de ser empresas basadas en la web
las convierte en un objetivo codiciado por las ciberamenazas
y las deja expuestas a violaciones de datos,
robos de identidad, ataques de ransomware,
vulnerabilidades de API y otros incidentes,
sin mencionar que el valor de los datos que manejan
las fintech puede provocar también amenazas internas.
Sobra decir que cualquier tipo de incidente
en una empresa fintech puede provocar daños a la reputación,
interrupciones operativas, problemas de cumplimiento,
algunos de los cuales conducen a multas reglamentarias,
y pérdida de clientes.
Ninguna empresa quiere pasar por cualquiera de estas situaciones,
por lo que la ciberseguridad debe ser parte esencial en el sector fintech.

Empresas fintech

La industria fintech
—abreviación de financial technology (tecnología financiera)—
consiste en utilizar la tecnología para innovar
y cambiar la forma en que se vienen prestando los servicios financieros.
Las fintech forman parte de diferentes sectores,
entre entidades que ofrecen soluciones
como servicios de pago por internet o móvil,
transferencias entre particulares,
dinero electrónico, gestión financiera y patrimonial,
aseguradoras, neobancos o bancos digitales,
plataformas de trading y criptomonedas,
proveedores de servicios de activos virtuales
(VASP, por sus iniciales en inglés), etcétera.

Los servicios de las empresas fintech
se prestan a través de aplicaciones móviles
y soluciones web.
Se basan en una combinación de tecnologías avanzadas
y consolidadas para prestar sus servicios financieros.
Las tecnologías más utilizadas son:

• Interfaz de programación de aplicaciones (API): Las API
  son mensajeros que permiten a diferentes aplicaciones hablar entre sí.
  Las fintech utilizan las API para conectar con entidades
  como bancos u otras instituciones financieras,
  accediendo a una mayor variedad de servicios de distintos proveedores.

• Inteligencia artificial (IA) y aprendizaje automático (AM): El aprendizaje
  y la resolución de problemas hechos fáciles.
  En fintech, la IA y el AM se utilizan para el análisis de datos de clientes,
  la detección de fraudes, los patrones de transacciones
  para detectar anomalías y para ofrecer un servicio
  de atención al cliente automatizado con chatbots.

• Blockchain: Esto hace posible que los sistemas
  de contabilidad sean descentralizados e inalterables,
  donde cada transacción financiera se registra cronológicamente
  y de forma segura, lo que hace que sea casi imposible alterar los datos.

• Computación en la nube: Las plataformas en la nube
  (como Amazon Web Services, Google Cloud Platform o Microsoft Azure)
  permiten a organizaciones como las fintech ampliar sus operaciones,
  almacenar y procesar cantidades masivas de datos
  y acceder a potentes recursos informáticos sin necesidad
  de una gran infraestructura local.

• Software de código abierto y software como servicio (SaaS):
  Los componentes de código abierto pueden utilizarse
  para construir el núcleo de las plataformas fintech,
  y las soluciones SaaS pueden ayudar a proporcionar aplicaciones
  con diferentes funcionalidades,
  como para la gestión de clientes o mercadeo.

Las empresas fintech tienen acceso
a una gran variedad de datos sensibles
e información personal debido a la naturaleza
de los servicios financieros que prestan.
Estos datos incluyen: información de identificación personal
(nombres completos, direcciones, números de teléfono,
direcciones de correo electrónico, geolocalización, fechas de nacimiento),
información financiera
(detalles de cuentas bancarias,
números de tarjetas de crédito y débito,
historial de transacciones, saldo de cuentas,
detalles de préstamos, portafolios de inversión),
datos de autenticación
(nombres de usuario y contraseñas, preguntas
y respuestas de seguridad, datos biométricos),
información crediticia (puntuaciones de crédito, informes, historial),
datos de comportamiento (hábitos de gasto,
comportamientos de inversión, patrones de ahorro,
datos de uso de banca en línea y móvil),
datos transaccionales
(detalles de transferencias, pagos de facturas)
y datos corporativos
(estados financieros, números de identificación fiscal,
puntuaciones de crédito de empresas, nóminas,
detalles de pagos a proveedores y contratistas).

El acceso a esta información diversa
y sensible evidencia la necesidad crítica de medidas estrictas
de ciberseguridad en cada empresa de tecnología financiera.
La protección de datos es fundamental
para mantener la confianza de los consumidores,
evitar daños financieros o de reputación
y cumplir los requisitos legales y normativos.

Cumplimiento de seguridad en fintech

Dependiendo del lugar en el que opere la *fintech
y del tipo de servicio que preste,
existen normas de seguridad específicas que deben aplicarse
y cuyo cumplimiento legal debe garantizarse.
Algunas de esas regulaciones son:

• Prevención del lavado de dinero (AML)

• Conocer al cliente (KYC)

• 6ª Directriz contra el lavado de dinero (AMLD)

• eIDAS

• PSD2

• Reglamento general de protección de datos (GDPR)

• ISO 27001 para el sector Fintech

• Marco de ciberseguridad del instituto nacional de normalización
  y tecnología (NIST)

• Ley de privacidad del consumidor de California (CCPA)

Amenazas y desafíos de seguridad

Las fintech se enfrentan a un conjunto único de retos
y desafíos debido a su naturaleza de operar en línea,
a través de portales de internet
que están expuestos a los ciberdelincuentes,
siempre al acecho.
Los datos sensibles que manejan las fintech
las hacen especialmente atractivas para estos últimos.
Las violaciones de datos procedentes
de las fintech pueden hacer que la información
de los clientes quede expuesta a chantajes,
robos de identidad, fraudes financieros y transacciones ilícitas.
Este tipo de incidentes no son inusuales.
En 2020, la aplicación de banca digital Dave
sufrió una violación de datos que afectó
a 7,5 millones de usuarios.
Los ataques de ransomware también pueden afectar
a una empresa de tecnología financiera.
A principios de 2024, un ataque de ransomware a
EquiLend Holdings
terminó en una violación
de datos que obligó a la empresa a suspender
sus servicios durante varios días y, posteriormente,
a informar a sus empleados de que su información había sido robada.
Los ataques API han ido en aumento
con el uso de las tecnologías fintech.
En 2020,
los hackers vulneraron las herramientas
de mercadeo API del proveedor de billeteras
de hardware Ledger,
que se utilizaban para
el envío de correos electrónicos de mercadeo,
lo que llevó a que un millón de direcciones
de correo electrónico quedaran expuestas.
No menos preocupantes son otros ataques como el phishing,
la denegación de servicio distribuido (DDoS)
y las amenazas internas.

Las fintech también se enfrentan a desafíos
que exigen vigilancia y adaptación constantes.
Uno de esos desafíos es la seguridad móvil,
que tiene especial importancia para la industria fintech,
ya que los dispositivos móviles son fundamentales para ellas.
Desde la banca en línea hasta las aplicaciones de pago sin contacto,
su comodidad depende a menudo de los teléfonos inteligentes.
Sin embargo,
las aplicaciones móviles ofrecen una gran superficie de ataque,
son susceptibles a ataques de malware o ingeniería social y,
si no se tienen en cuenta,
no se actualizan con regularidad
y no resuelven las vulnerabilidades de seguridad.
Otro reto es los problemas de los terceros,
dado que las empresas de tecnología financiera
a menudo dependen de las redes de estos proveedores.
Pueden surgir problemas como la dependencia excesiva
de un proveedor concreto,
las brechas de seguridad en los sistemas de terceros
y la garantía del cumplimiento normativo
por parte de varios proveedores externos.
Un nuevo reto está surgiendo con
la integración de la IA y el aprendizaje automático
en el sector de las empresas de tecnología financiera.
Se ha informado que puede haber sesgo en los algoritmos
dentro de los datos con los que se entrenan,
lo que lleva, por ejemplo, a resultados injustos
para ciertos grupos
al solicitar préstamos;
planteando así preguntas sobre la transparencia
y la imparcialidad de los sistemas que utilizan estas tecnologías.

Las ciberamenazas seguirán evolucionando y surgirán nuevos desafíos,
ya que este sector es bastante joven.
Pero reconocer estos problemas
y prepararse para afrontarlos puede hacer
que las empresas fintech sean entidades
financieras más seguras y fiables.

Ciberseguridad de las fintech: ¿Por qué es importante?

Como hemos dicho antes,
las empresas de fintech manejan una gran cantidad
de información personal y financiera,
lo que las convierte en un objetivo prioritario para los ciberataques.
La importancia de la ciberseguridad en este sector es primordial.
Cualquier violación o incidente de seguridad
puede deteriorar significativamente la confianza de los clientes,
lo que podría conducir a la pérdida de clientes
y daños a la reputación en el largo plazo.
Por lo tanto,
la aplicación de medidas de ciberseguridad robustas
es esencial para proteger estos datos de violaciones
y accesos no autorizados, garantizando la privacidad
y la seguridad de los clientes.

Además,
el sector fintech está regulado con estrictos requisitos de cumplimiento,
y el cumplimiento de estas regulaciones puede lograrse
mejor disponiendo de prácticas de ciberseguridad sólidas,
evitando así repercusiones legales o multas elevadas.
Una ciberseguridad eficaz también desempeña
un papel crucial en la prevención del fraude financiero,
la protección de la propiedad intelectual
y la garantía en la continuidad de las actividades minimizando
las interrupciones operativas.

Buenas prácticas de seguridad para las fintechs

Mediante la implementación de tecnologías de ciberseguridad,
una cimentación sólida,
una gestión adecuada de la relación con terceros
y la adopción de una cultura de seguridad,
las fintech pueden construir un marco de seguridad fuerte
y prosperar en el competitivo panorama financiero.
A continuación presentamos buenas prácticas para este sector:

• Cifrado de datos: Mediante este proceso,
  la información se transforma de su representación
  original a una forma cifrada.
  Se trata de una medida de seguridad imprescindible
  que puede proteger la información de accesos externos no autorizados.

• Autenticación multifactor (MFA): Esto va más allá de las contraseñas
  y requiere pasos adicionales de verificación,
  escaneos biométricos o códigos de un solo uso para iniciar sesión
  o realizar transacciones.

• Copias de seguridad constantes: La información importante
  puede salvarse de una pérdida total haciendo una copia de la misma.
  Es necesario hacer copias de seguridad periódicas
  de los archivos críticos para así conservar los datos editados
  y modificados.

• Controles de acceso: Aplicar el principio de mínimo privilegio
  y conceder acceso a los datos y sistemas únicamente por funciones.

• Auditorías de seguridad periódicas: Identificar y abordar
  proactivamente las vulnerabilidades mediante
  pruebas de penetración periódicas
  y gestión de vulnerabilidades.

• Plan de respuesta a incidentes: Debe existir un plan documentado
  que describa la forma de responder eficazmente a un incidente de seguridad,
  con el fin de minimizar los daños y el tiempo de inactividad.

• Seguridad de la aplicación durante el desarrollo: Aplicar prácticas
  de codificación segura y
  realizar pruebas de seguridad en las primeras fases de desarrollo
  para identificar y corregir vulnerabilidades en los sistemas.

• Evaluación de riesgos de proveedores: Evaluar a fondo
  la postura de seguridad de los proveedores externos
  y asegurarse de que cumplen las pautas de seguridad necesarias
  antes de establecer asociaciones.
  Supervisar el rendimiento de la seguridad de los proveedores externos
  y establecer mecanismos para solucionar los puntos débiles detectados.

• Mantener actualizado el software: Es crucial parchear
  las vulnerabilidades y actualizar periódicamente los sistemas operativos,
  las aplicaciones móviles y todos los componentes de software.

• Formación de usuarios y empleados: Educar a los empleados
  y usuarios sobre sus prácticas recomendadas específicas para protegerse.
  En el caso de los empleados, capacítarlos regularmente
  sobre las prácticas de ciberseguridad
  y las vulnerabilidades a las que son susceptibles.
  En el caso de los usuarios, infórmarles sobre prácticas móviles seguras,
  como mantener actualizado el software,
  evitar enlaces sospechosos y utilizar contraseñas seguras.

• Fomentar una cultura de seguridad para el desarrollo de software:
  Promover una cultura de concientización sobre la seguridad
  en la que todos jueguen un papel importante
  en la protección de datos y sistemas.

Adoptar una cultura DevSecOps

En esta época dinámica en la que las amenazas evolucionan a diario
y los actores maliciosos siempre están ideando
formas innovadoras de causar estragos,
la seguridad también debe ser un proceso continuo
y no un esfuerzo puntual.
El desarrollo de software debe incluir pruebas de seguridad constantes,
ya sean manuales o automáticas,
y a lo largo de todo el ciclo de vida de desarrollo de software (SDLC),
no solo después de que este se haya desplegado.

Una cultura DevSecOps puede ayudar
a enfatizar la colaboración y la comunicación entre los equipos de desarrollo,
seguridad y operaciones desde el principio,
donde todos comparten la responsabilidad de la seguridad.
Al hacer que la seguridad forme parte
del proceso de desarrollo desde el principio,
el producto de software se desarrolla en colaboración,
y las vulnerabilidades y problemas de seguridad se encuentran
en él de forma proactiva,
lo que reduce la necesidad de correcciones posteriores.
La detección precoz de las vulnerabilidades también supone
una reducción de los gastos de mitigación y del tiempo de reparación.
Todo ello sirve para evitar consecuencias negativas para el usuario.

La transición a DevSecOps
es una responsabilidad colectiva,
en la que los equipos de seguridad
pueden tomar la iniciativa en la planificación,
con el objetivo de incorporar la seguridad
con una interrupción mínima al flujo de trabajo existente,
y abordar las vulnerabilidades identificadas.
Los desarrolladores hacen su parte escribiendo código seguro,
y las operaciones mantienen una infraestructura segura.

DevSecOps puede lograrse desplazando la seguridad a la izquierda,
es decir, adelantando los aspectos de seguridad en el ciclo
de vida del desarrollo e integrando herramientas
y prácticas de pruebas de seguridad en todo el proceso de desarrollo.
También rompiendo silos mediante el fomento de la comunicación abierta
y la colaboración entre los equipos,
como la integración de herramientas de pruebas de seguridad
en el pipeline CI/CD.

El sector de las fintech, entre otros,
puede beneficiarse enormemente de la incorporación
de una cultura DevSecOps.
Al abordar de forma proactiva
la seguridad en todo el ciclo de vida de desarrollo,
las fintech pueden reducir significativamente
el riesgo de violaciones de datos y ciberataques,
mejorando su postura de seguridad.
La experiencia de Fluid Attacks brilla aquí,
ya que ofrecemos nuestra solución de pruebas de seguridad
donde nos apoyamos en nuestro equipo de hacking ético
y técnicas automatizadas
(SAST,
SCA,
DAST y
CSPM)
para encontrar tantas vulnerabilidades reales
como sea posible y reportarlas continuamente
en nuestra plataforma multifuncional.
Al realizar pruebas de seguridad en una fase temprana
e identificar y resolver vulnerabilidades,
DevSecOps ayuda a agilizar el proceso de desarrollo
y a garantizar un despliegue seguro.
Puesto que creemos en ello,
ayudamos a las empresas a implementar
una cultura DevSecOps.
Las organizaciones que optan por utilizar la metodología DevSecOps
se beneficiarán de ella, sobre todo en términos de seguridad
y calidad de sus productos y operaciones.

Casos de éxito con Fluid Attacks

Con nuestra solución Hacking Continuo,
que es experta en identificar, explotar y reportar vulnerabilidades,
seguimos ayudando a las compañías fintech
a establecer posturas de seguridad robustas.
Una de esas empresas fintech es akaunt,
una entidad de billetera digital que opera en Colombia
y que utiliza nuestra solución desde principios de 2023.
Mediante el uso de nuestras herramientas de pruebas AppSec,
el equipo de hacking ético y la IA generativa
para encontrar vulnerabilidades,
se han anticipado a los incidentes y han reducido su exposición
al riesgo a un ritmo rápido. Aquí
nos cuentan su caso de éxito.

Otra empresa fintech que se ha beneficiado
de nuestra solución es la pasarela de pagos Payválida,
que opera en Latinoamérica.
Están encantados con nuestra capacidad para encontrar vulnerabilidades
a la velocidad que necesita su empresa,
entregar los reportes a tiempo y adaptarnos rápidamente
a sus necesidades de reataques.
Payválida remedió el 96% de las vulnerabilidades
de su sistema mientras trabajaba junto con Fluid Attacks,
remediando vulnerabilidades a lo largo del ciclo de vida de desarrollo,
aprovechando la metodología DevSecOps.
Puedes encontrar más de su caso de éxito aquí.

Si estás interesado en saber cómo Fluid Attacks
puede ayudar a tu organización fintech, contáctanos.