{"id":24332,"date":"2020-12-04T14:22:13","date_gmt":"2020-12-04T12:22:13","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=24332"},"modified":"2020-12-04T14:24:05","modified_gmt":"2020-12-04T12:24:05","slug":"security-tips-for-trading-platforms","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/security-tips-for-trading-platforms\/24332\/","title":{"rendered":"Breve gu\u00eda de seguridad para las fintech"},"content":{"rendered":"

En el 2019, el mercado burs\u00e1til mundial creci\u00f3 en 17 billones de d\u00f3lares y, pese a que la pandemia ha azotado al mercado mundial, por decirlo de alguna forma, el inter\u00e9s en las inversiones no se ha desvanecido. Desde principios del 2020, el n\u00famero de usuarios en aplicaciones de operaciones burs\u00e1tiles ha seguido creciendo.<\/p>\n

Pero, por otro lado, los activos y los datos personales de los e-traders<\/em> son un bot\u00edn que resulta muy atractivo para los ciberdelincuentes y, en caso de incidente, son los operadores de la plataforma de trading los que tienen que hacer frente a las consecuencias. En esta publicaci\u00f3n, nos centraremos en las principales amenazas a las que se enfrentan las empresas y c\u00f3mo combatirlas.<\/p>\n

Vulnerabilidades de la aplicaci\u00f3n<\/h2>\n

Como cualquier software<\/em>, las plataformas de trading<\/em> presentan vulnerabilidades. En el 2018, el experto en ciberseguridad Alejandro Hern\u00e1ndez encontr\u00f3 fallos en 79 de estas aplicaciones<\/a>, como no usar el cifrado para almacenar o transmitir datos (cualquiera podr\u00eda verlos o modificarlos) y no cerrar la sesi\u00f3n de los usuarios despu\u00e9s de un periodo de inactividad. En cuanto al dise\u00f1o, tambi\u00e9n encontr\u00f3 errores como la posibilidad de crear contrase\u00f1as poco seguras.<\/p>\n

Un a\u00f1o despu\u00e9s, los analistas de ImmuniWeb llevaron a cabo una investigaci\u00f3n similar<\/a> y su conclusi\u00f3n fue igual de negativa: de los 100 productos desarrollados por la tecnolog\u00eda fintech<\/em> que se analizaron, todos resultaron vulnerables en cierta medida. Se encontraron problemas en las aplicaciones web y m\u00f3viles, con muchos bugs<\/em> heredados de las creaciones y de herramientas de terceros usadas por los programadores. Para algunas de las vulnerabilidades exist\u00edan ya parches, pero no se hab\u00edan implementado. De hecho, uno de esos parches se lanz\u00f3 en el 2012, pero los autores de la aplicaci\u00f3n fintech<\/em> nunca encontraron el momento de instalarlo.<\/p>\n

Asimismo, si un producto tiene problemas de seguridad, estos se presentar\u00e1n y provocar\u00e1n un da\u00f1o potencial en la reputaci\u00f3n de las empresas y ahuyentar\u00e1n a sus clientes. Y si, como resultado de un bug<\/em> en una aplicaci\u00f3n, los usuarios acaban con sus datos filtrados o experimentan una p\u00e9rdida financiera, el desarrollador podr\u00eda recibir una fuerte multa o verse obligado a pagar da\u00f1os.<\/p>\n

A veces, el creador de la plataforma es la \u00fanica v\u00edctima. Por ejemplo, los autores de la aplicaci\u00f3n de trading<\/em> Robinhood no pudieron detectar un bug<\/em><\/a> que permit\u00eda a los usuarios premium<\/em> coger prestado fondos ilimitados de la plataforma para intercambiar valores; un usuario solicit\u00f3 un pr\u00e9stamo de un mill\u00f3n de d\u00f3lares contra un dep\u00f3sito de apenas 4000. Los traders<\/em> lo llamaron \u201cel truco del dinero infinito\u201d.<\/p>\n

Para evitar p\u00e9rdidas relacionadas con los bugs<\/em> y las vulnerabilidades, los creadores del c\u00f3digo de la plataforma de trading<\/em> necesitan replantear la seguridad en la etapa de desarrollo y pensar en cosas como el cierre de sesi\u00f3n autom\u00e1tico del usuario, el cifrado y una prohibici\u00f3n en cuanto al uso de contrase\u00f1as inseguras. Tambi\u00e9n deber\u00edan revisar peri\u00f3dicamente el c\u00f3digo en busca de errores y corregirlos a tiempo.<\/p>\n

Ataques a la cadena de suministro<\/h2>\n

Para ahorrar tiempo y dinero, la mayor\u00eda de las empresas no s\u00f3lo escriben su propio c\u00f3digo, sino que tambi\u00e9n emplean desarrollos, marcos y servicios de terceros. Pero si la infraestructura de un proveedor se ve comprometida, las empresas que la utilizan tambi\u00e9n pueden verse afectadas.<\/p>\n

Por ejemplo, eso es lo que le pas\u00f3 a Pepperstone<\/a>, un corredor de divisas. En agosto del 2020, los ciberdelincuentes infectaron los ordenadores de un contratista de la empresa y consiguieron acceder al sistema de CRM de Pepperstone. Aunque el robo se neutraliz\u00f3 r\u00e1pidamente, los atacantes lograron robar ciertos datos del cliente. La compa\u00f1\u00eda afirma que sus sistemas financieros y burs\u00e1tiles no se vieron afectados. Igualmente, vale la pena recordar que las filtraciones de datos pueden salir muy caras a las empresas<\/a> si el c\u00f3digo de terceros es el culpable.<\/p>\n

Para evitar posibles riesgos, elige siempre socios de confianza y sensibilizados con la seguridad, y nunca conf\u00edes solamente en sus mecanismos de protecci\u00f3n. Cualquier empresa del sector de las finanzas deber\u00eda adoptar una rigurosa pol\u00edtica de seguridad.<\/p>\n

Spear phishing<\/em><\/h2>\n

El factor humano<\/a> es una de las causas m\u00e1s comunes de los ciberincidentes. Por ello, a menudo los atacantes usan a los empleados para infiltrarse en la infraestructura de las empresas.<\/p>\n

Dicho esto, en julio de este a\u00f1o, un grupo de investigadores de ciberseguridad vincularon una serie de ataques contra las instituciones fintech<\/em> en la UE, el Reino Unido, Canad\u00e1 y Australia con el grupo de APT Evilnum<\/a>. Los ciberdelincuentes enviaron correos a los empleados de la empresa con un enlace a un archivo ZIP albergado en un servidor de nube leg\u00edtimo. Los mensajes se disfrazaron como correspondencia de negocios y el contenido del archivo, como documentos o im\u00e1genes. Aunque el documento o la imagen prometidos aparec\u00edan en la pantalla, al abrirlos, se puso en marcha la cadena de infecci\u00f3n.<\/p>\n

En ocasiones, los atacantes se meten en las cuentas de correo electr\u00f3nico, lo que hace que su phishing<\/em> sea m\u00e1s convincente. En agosto de este a\u00f1o, la empresa de operaciones burs\u00e1tiles Virtu sufri\u00f3 uno de estos ataques. De acuerdo con los representantes de la empresa, los ciberdelincuentes suplantaron el correo de un ejecutivo de alto nivel<\/a> y se pasaron dos semanas enviando correos a los departamentos de contabilidad con \u00f3rdenes de transferir grandes sumas de dinero a China. La confianza ciega de los empleados le cost\u00f3 a la empresa cerca de 11 millones de d\u00f3lares.<\/p>\n

Para rechazar dichos ataques, el personal de ciberseguridad necesita una formaci\u00f3n adecuada. Recopila una lista de se\u00f1ales de alarma de phishing<\/em> en correos y \u00fasala para dise\u00f1ar un plan de acci\u00f3n en caso de que un colega, socio o cliente te pida (o parezca pedir) que env\u00edes unos mil millones (o a veces un poco menos) a un desconocido.<\/p>\n\n

Problemas del cliente<\/h2>\n

A veces los usuarios pierden dinero sin que tu empresa o aplicaci\u00f3n sean los responsables, al descargar malware<\/em>, introducir contrase\u00f1as en sitios de phishing<\/em> o al actuar de forma irresponsable. Por desgracia, en este caso tambi\u00e9n pueden presentar reclamaciones contra la plataforma de trading<\/em>. En algunos pa\u00edses, las empresas est\u00e1n obligadas por ley a, como m\u00ednimo, averiguar lo sucedido, as\u00ed que vale la pena advertir de vez en cuando a los traders<\/em> sobre los peligros potenciales e instarlos a protegerse (y a ti, por ende).<\/p>\n

Tambi\u00e9n es una buena idea recordarles peri\u00f3dicamente a los clientes que cualquier software<\/em> de terceros, especialmente si es pirata o se ha obtenido de fuentes de dudosa reputaci\u00f3n, puede suponer una amenaza. Por ejemplo, puede ser que robe contrase\u00f1as, incluyendo aquellas para las cuentas de trading<\/em>.<\/p>\n

Advierte a los clientes de que los ciberdelincuentes pueden hacerse pasar por tu servicio para sustraer sus credenciales. Acons\u00e9jalos para que presten gran atenci\u00f3n a los correos sobre problemas con el servicio y que revisen cuidadosamente la direcci\u00f3n del remitente y el mensaje en busca de errores tipogr\u00e1ficos y de mala redacci\u00f3n. Recomi\u00e9ndales que introduzcan manualmente la URL en el navegador, abran la aplicaci\u00f3n cliente o llamen al servicios de atenci\u00f3n al cliente en caso de dudas.<\/p>\n

C\u00f3mo proteger tu dinero y reputaci\u00f3n<\/h2>\n

Manipular dinero es una gran responsabilidad, y descuidar la seguridad puede costarle mucho a las empresas fintech<\/em>. Por lo tanto:<\/p>\n