Protección de datos en el sector financiero

En la época actual, la industria financiera deben estar preparadas para todos los retos que plantea la era de la transformación digital. Prueba de ello son las últimas tendencias tecnológicas, que ya se aplican al sector financiero, y los cambios en las normativas vigentes para garantizar una mayor transparencia y seguridad en materia de datos.

Siguiendo esto último, en este articulo queremos abordar cuestiones imprescindibles para proteger los datos de los clientes, tales como los nuevos cambios introducidos por el reglamento DORA y otras normas a tener en cuenta, la importancia de la ciberseguridad en la implantación y manejo de APIs bancarias y qué riesgos son los más comunes en la fuga de información sensible. 

La digitalización está permitiendo una transformación acelerada en el sector financiero a nivel global. Según el último informe Pulse of Fintech de la consultora KPMG, la inversión en tecnología por parte de las empresas alcanzó los 58 mil millones de dólares en el primer trimestre de 2024, algo menos que a cierre de 2023. La Inteligencia Artificial y los pagos automáticos son las principales áreas donde la inversión es más importante, dando muestra del camino que está siguiendo el sector financiero en la actualidad. Todo ello conlleva a que cada vez más empresas tradicionales se estén integrando en fintechs, con el fin de mejorar la eficiencia operativa y la experiencia del cliente. Además, la creciente competencia y la necesidad de innovación están impulsando cambios regulatorios importantes en muchos países, especialmente para proteger los datos sensibles de los usuarios, que ahora se gestionan mayormente en plataformas digitales​.

Si nos centramos en el ámbito español, se registran más de 900 Fintech en nuestra geografía, siendo el cuarto país de Europa en volumen de empresas de este tipo. Por lo tanto, este tipo de empresas se están consolidando en nuestro país, siendo un actor clave en el sistema financiero. Esto se vio impulsado en el año 2022 con la publicación de la conocida como Ley de Startups, que permitió establecer un marco regulatorio común que permitiera la afloración de startups y fintechs 

Actualmente, las fintechs se relacionan estrechamente con las entidades tradicionales, permitiendo la democratización y acceso a servicios antes reservados para estos grandes agentes. De esta manera, las personas de a pie pueden llevar un control mucho más optimizado de su estatus financiero, garantizándoles un acceso total a su información, pudiendo realizar acciones que antes requerían de cierto papeleo a golpe de clic. 

Sin embargo, este mayor acceso y personalización de los servicios bancarios ha llevado a la necesidad de una mayor protección de los datos de los usuarios, sobre todo de aquellos datos personales más vulnerables. Por ello, la regulación (con pautas como las establecidas en el Reglamento General de Protección de Datos de la Unión Europea, la normativa PSD2 o la inminente PSD3) se ha encaminado a garantizar que los datos se almacenen y procesen de forma segura, lo que obliga a las entidades financieras a cumplir con altos estándares de seguridad.

Esta era de la digitalización, además de democratización y optimización de los servicios financieros, también trae consigo amenazas que pueden poner en jaque a la organización más poderosa. Los ciberataques son cada vez más sofisticados, aprovechando el avance de las mismas tecnologías que nos ayudan a protegernos de ellos. A continuación, enumeramos las más importantes: 

El ransomware consiste en infecciones a través de algún software malicioso. En este ataque, los delincuentes se hacen con el control de los datos de la organización y piden un rescate para liberarlos. A veces, la entidad se ve obligada a pagar dicho rescate para poder recuperar el acceso a los datos, ya que su publicación o borrado puede ser realmente perjudicial para su reputación y operativa. Los ataques de ransomware son habituales en el sector financiero y han crecido tanto en frecuencia como en intensidad. 

El malware, por otro lado, se introduce en los sistemas de las organizaciones para robar datos o manipular las transacciones. Los troyanos bancarios son un tipo común de malware que captura credenciales y transfiere fondos a cuentas de los atacantes sin que el usuario lo detecte.

Otra amenaza a la ciberseguridad de los datos muy común es el phishing. Proveniente de la palabra “pescar” en inglés (fishing), hace referencia al envío de correos electrónicos o mensajes falsos que aparentan ser de entidades confiables, como bancos o plataformas de pago, para engañar a los usuarios y obtener información confidencial, como contraseñas o números de tarjetas de crédito. Con el avance de las tecnologías, los atacantes han perfeccionado cada vez más los mensajes de phishing, haciendo a veces muy difícil diferenciarlos de una comunicación real de la entidad.

Este tipo de ataque ocurre cuando los delincuentes acceden a datos personales como nombres, direcciones, números de seguridad social o de cuentas bancarias para suplantar la identidad de una persona y realizar transacciones fraudulentas. Las víctimas pueden perder todo el control de sus finanzas y, en ocasiones, el perjuicio es bastante considerable.

Esta es una de las amenazas más reciente y mayor está creciendo. A través de la ingeniería social, los atacantes consiguen manipular a las víctimas para que estas cedan sus datos o realicen acciones comprometedoras. Un ejemplo común es cuando los estafadores llaman haciéndose pasar por representantes de soporte técnico y convencen a los usuarios para que les proporcionen acceso a sus dispositivos o cuentas bancarias.

La Inteligencia Artificial está dando pasos agigantados en la protección de los datos, pero también está siendo utilizada para lograr todo lo contrario. Con la ayuda de la IA, los atacantes pueden automatizar el análisis de grandes volúmenes de datos para identificar vulnerabilidades en los sistemas de las entidades financieras. También pueden desarrollar deepfakes —vídeos o audios falsos creados con IA— para hacerse pasar por ejecutivos y manipular a los empleados, induciéndolos a realizar transferencias de fondos o divulgar información confidencial​.

La era de la digitalización también ha traído consigo una actualización del marco regulatorio, con el fin de adaptarse a las nuevas tecnologías y formas de recolección y tratamiento de datos personales. El año 2018 fue muy importante en materia de protección de datos gracias a la llegada del Reglamento General de Protección de Datos (RGPD). Este reglamento establecía cómo las organizaciones debían manejar, procesar y proteger los datos personales. Como puntos más importantes destacan la introducción del consentimiento explícito del usuario para la recopilación de estos datos (por ejemplo, que acepte conscientemente que será incluido en el envío de una newsletter), así como el derecho de los usuarios a acceder, corregir y eliminar sus datos​.

En 2023 se volvió a dar un paso importante en materia de protección de datos con el Reglamento sobre la Resiliencia Operativa Digital, conocido como DORA por sus siglas en inglés. Esta normativa europea es crucial para asegurar que las entidades financieras puedan resistir y recuperarse de disrupciones operativas; y tiene como objetivo fortalecer la resiliencia operativa digital del sector financiero. La normativa DORA establece requisitos clave que las gestoras de fondos deben cumplir para asegurar su resiliencia digital. Estos son algunos de los más importantes:

• Gestión de riesgos TIC: las gestoras deben desarrollar marcos sólidos para identificar y mitigar los riesgos tecnológicos. Esto implica evaluar posibles vulnerabilidades en sus sistemas y establecer planes de contingencia.
• Informe de incidentes: en caso de un incidente que afecte a los sistemas TIC, como un ciberataque o una interrupción operativa, las gestoras deben monitorear y reportar estos incidentes a las autoridades competentes y a las partes afectadas. Esto asegura una respuesta rápida y coordinada ante amenazas tecnológicas.
• Pruebas de resiliencia: se requiere realizar evaluaciones periódicas para garantizar que los sistemas TIC sean robustos frente a posibles ataques o fallos. Estas pruebas deben incluir simulaciones y análisis de vulnerabilidades.
• Gestión de riesgos de terceros: las gestoras de fondos deben supervisar los riesgos asociados a los proveedores de servicios TIC externos. Esto incluye asegurarse de que los contratos con estos proveedores tengan medidas de seguridad adecuadas y que los servicios ofrecidos no representen un riesgo adicional para la operación de la gestora.

Estas prácticas ayudarán a las empresas financieras a proteger los datos de sus clientes y a fortalecer su ciberseguridad.

• Cifrado de Datos
  Implementar el cifrado de datos asegura que personas no autorizadas no puedan acceder a información sensible. Para lograr un cifrado eficaz, es clave contar con un equipo especializado que identifique posibles “cabos sueltos” y evite vulnerabilidades que podrían ser aprovechadas por ciberatacantes.

• Autenticación Multifactor (MFA)
  La autenticación multifactor (MFA) añade una capa adicional de seguridad mediante métodos de verificación adicionales, como la conocida “verificación en dos pasos”. Esto asegura que solo los usuarios legítimos puedan acceder a los sistemas, protegiendo información crítica ante intentos de acceso no autorizados.

• Actualización Constante de Sistemas
  Mantener todos los sistemas y software actualizados es esencial para estar protegidos ante nuevas amenazas que surgen con frecuencia. Las actualizaciones de seguridad cubren vulnerabilidades conocidas y ayudan a reducir riesgos de ataques.

• Capacitación en Ciberseguridad
  Contar con herramientas avanzadas es solo una parte de la estrategia; capacitar a los empleados es fundamental. Asegurar que los equipos de trabajo cuenten con conocimientos en ciberseguridad, y que reciban capacitación específica, minimiza el riesgo de incidentes causados por errores humanos.

• Monitoreo Continuo
  Realizar auditorías y monitoreo continuo ayuda a identificar y corregir vulnerabilidades antes de que se conviertan en problemas. Las auditorías regulares también aseguran que la seguridad esté al día y permite identificar posibles brechas proactivamente.

• Política de Acceso Mínimo
  Implementar la política de “privilegio mínimo” significa otorgar a cada empleado solo los permisos necesarios para su trabajo. Esta práctica reduce el riesgo de fugas de información al limitar el acceso a personas que no necesitan conocer ciertos datos.

• Gestión de Contraseñas Segura
  Utilizar gestores de contraseñas y establecer políticas de cambio de contraseñas periódicas son prácticas clave para prevenir el acceso no autorizado. La gestión segura de contraseñas minimiza riesgos de filtraciones y acceso indeseado.

• Evaluación de Proveedores Externos
  Al colaborar con proveedores que manejan información sensible, es vital evaluar y gestionar los riesgos que representan. Asegurarse de que estos proveedores cumplan con estándares de seguridad específicos protege a la organización de posibles vulnerabilidades externas.

• Plan de Acción Frente a Incidentes
  Contar con un plan de acción bien definido para incidentes asegura que se tomen decisiones rápidas y automatizadas en caso de ataque. Este plan debe incluir protocolos y asignar responsabilidades claras para actuar con eficacia en caso de que los datos se vean comprometidos.

• Cumplimiento Normativo
  Finalmente, cumplir con las normativas y regulaciones del sector es esencial para evitar sanciones. Estar al día con los requisitos regulatorios refuerza la ciberseguridad y ayuda a proteger los datos de los clientes de acuerdo con estándares aceptados.