La ciberseguridad te afecta. Seas como seas, un poco más o un poco menos, pero cada vez más. La digitalización de la sociedad ha hecho que toda tu información personal (tus gustos, tus aficiones, tus amistades, pero también tu información médica, tu información laboral y, por supuesto, tu información financiera) se almacene en soportes digitales cuya custodia también depende de ti.
No debes preocuparte, pero sí que debes ocuparte de algunas cosas muy fáciles que debes gestionar para proteger tu información más sensible. En este artículo vamos a explicarte de forma sencilla cuáles son esas amenazas invisibles de las que debes cuidarte y cómo hacerlo.
- Ciberseguridad, una tarea más en tu rutina
- ¿Qué son las apps de gestión de finanzas personales?
- Ciberseguridad y apps financieras
Ciberseguridad, una tarea más en tu rutina
Cuando salimos de casa nos aseguramos de cerrar la puerta para evitar que alguien entre en nuestra ausencia y se apropie de nuestras pertenencias, ¿verdad? Pues con tus datos debes tomar la misma conciencia. ¿Dejarías tus llaves de casa a cualquiera que te lo pidiera?
Por eso, la ciberseguridad es algo que debemos normalizar en nuestras vidas. Cuidar los riesgos posibles y mantener nuestros datos personales a salvo debe vivirse como algo cotidiano.
Porque los hackers se están volviendo más hábiles y cuentan cada día con más recursos y aliados: cada día nos descargamos más apps, compramos más online, guardamos más imágenes y documentos en la nube y hacemos más gestiones telemáticas.
Por eso, crear unos hábitos y un enfoque precavido alrededor de nuestros equipos tecnológicos y de las aplicaciones y programas que utilizamos en nuestro día a día nos ayudará a controlar los posibles riesgos de ciberseguridad a los que nos enfrentamos en muchas de nuestras acciones y gestiones rutinarias.
Quizás lo veas más claro con algunos datos:
- El número de brechas de seguridad y de ciberataques a mayo de 2019 afectó a más de 1.000 millones de documentos. La cifra exacta es 1.389.463.242.
- 5 millones de clientes vieron afectados sus datos en la filtración que tuvo como objetivo al 4º proveedor de telefonía de Canadá.
- En Panamá, 3.427.396 personas vieron comprometidos sus datos personales por una filtración.
- En cuanto al secuestro de datos (ransomware), ciudades como Baltimore ya contabilizan su segundo ataque de este tipo en un año.
- La conocida herramienta de diseño gráfico Canva ha sufrido un ciberataque masivo de datos que ha afectado a 139 millones de usuarios.
- Un ciberataque a una base de datos de influencers en Instagram puso al descubierto 49 millones de datos de contacto.
Estos datos invitan a ser precavidos, ¿verdad? Tener cuidado a diario puede marcar la diferencia entre ser parte de estas estadísticas o no.
Puedes saber más sobre brechas de seguridad, ciberataques o secuestros de datos en este artículo.
¿Qué son las apps de gestión de finanzas personales?
Cuando hablamos de apps de gestión de finanzas personales nos referimos a aquellas aplicaciones tanto para Android como para IOS que utilizan tus datos personales de carácter financiero para ofrecer diferentes servicios: pueden ser apps para control de gastos, aplicaciones para visualizar todos tus cuentas de forma agregada, para realizar pagos, para enviar dinero al extranjero o para obtener recomendaciones de inversión, entre muchas otras.
Quizás te estés preguntado por qué este tipo de servicios de la industria “fintech” (el sector que ha surgido en el espacio que comparten las empresas tecnológicas y las financieras) pueden dar problemas. La respuesta es sencilla: porque cada vez que interactúas con una de ellas y le das acceso a tus cuentas, estás también dando vía libre al acceso y la explotación de información sobre tus finanzas, y eso abre la puerta a nuevos riesgos de seguridad.
¿Tiene que haber problemas por trabajar con apps de gestión de finanzas personales? La respuesta es no. ¿Puede haber problemas si no actuamos de forma precavida y responsable? Sí, podría.
Y ante el riesgo ya sabemos que la solución es un mayor y mejor control.
Ciberseguridad y apps financieras, un tándem que manejar con control
El uso de apps fintech podría conllevar ciertos riesgos de privacidad.
¿Tienen todas las apps financieras de gestión el mismo riesgo? No, el porcentaje de riesgo no es el mismo entre todas las ofertas del mercado. Por este motivo, y como venimos mencionando en este artículo, se hace necesario una decisión meditada.
Un dato a tener en cuenta es que las principales brechas de seguridad en apps fintech tienen su origen en aplicaciones desarrolladas por empresas muy avanzadas en cuanto a su visión del mercado pero con recursos muy limitados, hecho este que remarca el esfuerzo de las grandes entidades financieras por preservar los datos y la ciberseguridad de sus clientes.
Para entender mejor el problema de contratar servicios de terceros, lo vamos a poner en contexto detallando los aspectos susceptibles de hacer que las apps de fintech no sean seguras.
Consejos para proteger tu información financiera
Si quieres proteger tu información financiera y evitar sustos, compartimos contigo algunos puntos clave que debemos tener en cuenta.
1. ¿Es la empresa que ofrece la app una empresa confiable?
Debemos asegurarnos de que la empresa a la que le damos acceso a nuestros datos es un referente con experiencia contrastada en tecnología financiera.
Tener la certeza de que han sido capaces de diseñar una aplicación segura de fintech con un desarrollador experto en esta materia nos aportará la tranquilidad que necesitamos.
Además, debes comprobar que esta empresa está registrada debidamente en su país como un proveedor financiero, y que cumple los requisitos legales y técnicos para tener acceso a tu dinero.
2. ¿Son expertos en ciberseguridad?
Aparte de la experiencia del desarrollador escribiendo código, será necesario que los profesionales implicados sean especialistas en datos y ciberseguridad. Desconfía de aquellas empresas que por trayectoria o recursos puedan tener dificultades de solvencia en la protección de tus datos.
3. ¿Qué se dice de esta app?
Comprueba los testimonios que existen sobre la app: es una buena manera de tomar el pulso al desempeño de la misma.
Para ello podemos servirnos tanto de las reseñas directas de los usuarios como de los casos de éxito de los clientes. Ambos son dos excelentes termómetros de lo que vamos a recibir (o no) al contratar la app en cuestión. Infórmate, no te fíes solo de lo que te cuenta la empresa que desarrolla la app.
4. ¿Cómo gana dinero esa empresa?
Pregúntate cuál es la fuente de ingresos de la empresa que ha desarrollado esa app. Hazlo si has pagado por descargarla pero, sobre todo, si se trata de una aplicación gratuita: deberían ser transparentes y explícitos diciéndote cómo ganan dinero.
10 aspectos que toda app fintech debe incluir
Para que comprendas el nivel de seguridad que debe tener cualquier aplicación financiera, a continuación te listamos diez puntos clave con los que toda app financiera debe contar para avalar la ciberseguridad de sus usuarios:
1. Ser una aplicación segura a lo largo de todo el proceso de uso
Con esto nos referimos a que la aplicación fintech deberá ofrecer a sus clientes un sistema de seguridad en todos y cada uno de los pasos del proceso que el usuario va a recorrer.
Para ello, deberá haber determinado previamente qué información es más confidencial y qué mecanismos de protección va a incorporar.
Estos son algunos de los aspectos que pueden afectar a la seguridad en cada paso del proceso:
- Sólo almacenar información crucial
- Establecer una estructura de roles y permisos
- Forzar el uso de contraseñas con un nivel mínimo de complejidad
- La doble autenticación
- Registrarlo todo
- Monitorización, sistema de alertas y bloqueo
- Sistema de procesos de aprobación en varios pasos para acciones clave
2. Habilitar sistemas de código de seguridad
El código de seguridad es un punto importantísimo en toda app. Los datos personales se guardan en el dispositivo del usuario y se protegen en el servidor.
¿Cómo se protege el código de una app?
- Incluyendo la validación de entrada
- Comprobando los datos enviados a redes externa
- Negando el acceso a todas las funciones de las apps por defecto
- Comprobando los mensajes del sistema
- Definiendo reglas de control de acceso
- Protegiendo contra infiltraciones SQL
- Previniendo la exposición de datos sensibles
3. Seguridad de infraestructura
Para que una app sea segura la propia infraestructura debe serlo, por este motivo, las aplicaciones fintech tienen una serie de tareas que cumplir:
- Implementar una defensa del perímetro con routers perfectamente configurados
- Mantener los sistemas operativos y los servidores actualizados
- No instalar aplicaciones o servicios en el servidor
- Gestionar los componentes de terceros
- Contar con infraestructura para recuperación en situaciones críticas
- Proteger el servidor web
- Utilizar HTTPS
- Crear redes seguras con VPN
- Asegurar un mantenimiento web regular
4. Implementar sistemas de seguridad en los flujos de trabajo diarios
El factor humano es altamente determinante en la seguridad de las empresas, por eso es importante que los empleados de las apps fintech estén plenamente concienciados de que los protocolos de seguridad son medidas rutinarias que afectan a sus flujos de trabajo del día a día.
Una mala configuración del sistema, la pérdida de dispositivos o el acceso a URLs no seguras son algunas de las brechas de seguridad que se pueden dar en apps financieras pero que, por otro lado, son fáciles de controlar.
Aquí algunas de las soluciones para tapar esas mencionadas posibles brechas:
- Tener una política concreta de copias de seguridad
- Realizar simulaciones de recuperación de ataques
- Utilizar hardware corporativo
- Redactar acuerdos de confidencialidad con empleados, trabajadores externos y asesores independientes
- Implementar el certificado ISO 27001
5. Incluir etapas de prueba
Antes de lanzar una app Fintech es interesante que hayan realizado una serie de pruebas en distintas etapas para comprobar aspectos tales como:
- La seguridad de la red
- La aplicación mientras se ejecuta el navegador (también se conoce como pruebas internas).
- La seguridad del servidor tanto de forma interna como externa (auditoría).
Que una app se moleste en realizar este tipo de pruebas previas a lanzamiento es síntoma de confianza y aporta credibilidad a la marca tras la aplicación. La responsabilidad es un factor clave en la ciberseguridad en general.
6. Implementar una rotación automática del token de la API
Este paso de seguridad API debe constar de tres medidas de seguridad importantes: identificación, autenticación y autorización.
7. Contar con un sistema de identificación, autenticación y autorización
La identificación dice quién es el usuario, la autenticación prueba que es quien dice ser y la autorización es el paso que cierra el proceso y que informa de lo que el usuario está autorizado a hacer.
La API debe restringir el acceso a todas las áreas importantes susceptibles de ser atacadas.
8. Utilizar el cifrado de datos
Con el cifrado de datos, los responsables de la app lo que buscan es proteger los datos que se envían a diferentes entidades. Este momento se considera de alto riesgo para el robo de datos y por eso, la aplicación debe incluirlo en su oferta de servicios de seguridad.
El cifrado AES (Advanced Encryption Standard) el que se considera como más seguro.
9. Educar a los clientes
No todo es trabajo por parte de la marca que desarrolla la app fintech. De hecho, los consejos básicos de seguridad son bien recibidos por parte de los usuarios que lo interpretan como un plus de responsabilidad a la hora de proteger sus datos.
Algunos consejos educativos para los clientes son:
- Usar apps autorizadas no implica que no sean susceptibles de ser objeto de ataques de ciberseguridad
- Almacenar el nombre de usuario y la contraseña en una app es una puerta abierta a ataques
- Nunca se debe usar una app en una red WIFI pública
- El uso de VPN es una medida de seguridad adicional
- Usar software antivirus no es una opción sino una necesidad
10. Bloqueo de pagos
Muchas apps no cuentan con un sistema de bloqueo de pagos, tal y como lo hacen las entidades bancarias.
Con este sistema se puede bloquear la actividad inusual, como hacer retiradas de dinero desde un lugar no habitual o en una cantidad sospechosa y por lo tanto, será uno de los requisitos fundamentales que deberán ofrecer a sus clientes.
Recuerda que los contenidos de este blog tienen carácter informativo. Cualquier actuación motivada por su contenido o por la interpretación de las normas a las que hace referencia deberá ser analizada de forma específica teniendo en cuenta la situación particular de que se trate.