Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Incluso las nuevas fintech batallan para enfrentar los retos de ciberseguridad

Un estudio muestra que la mayoría de las startups fintech, como la mayoría de los bancos, no están abordando las vulnerabilidades en la web y las aplicaciones móviles, lo que subraya la magnitud del desafío.

Alrededor del 98% de las 100 principales empresas de tecnología financiera (fintech) del mundo son vulnerables a los ataques a aplicaciones web y móviles, a pesar de estar bien financiadas, revela una investigación.

Además, el 100% tiene problemas de seguridad, privacidad y cumplimiento relacionados con aplicaciones web abandonadas u olvidadas, interfaces de programas de aplicación (API) y subdominios, de acuerdo con controles no intrusivos por parte de la compañía de seguridad web, ImmuniWeb.

La empresa de seguridad ha revelado un nivel similar de vulnerabilidad entre los bancos, con un estudio anterior que muestra que 97 de los 100 bancos más grandes son vulnerables a los ataques web y móviles que permiten a los hackers robar datos confidenciales.

La investigación sobre fintechs muestra que ocho sitios web principales y 64 subdominios tienen al menos una vulnerabilidad de seguridad explotable y públicamente revelada, de riesgo medio o alto, en comparación con siete en el sector bancario.

Las vulnerabilidades más comunes de los sitios web son las secuencias de comandos entre sitios (XSS), la exposición sensible a datos sata y la configuración incorrecta de la seguridad, a pesar de que todas ellas figuran en las 10 principales vulnerabilidades de aplicaciones Owasp, que son bien conocidas y tienen métodos de mitigación bien establecidos.

Todas las aplicaciones móviles probadas contenían al menos una vulnerabilidad de seguridad de riesgo medio, mientras que el 97% tiene al menos dos vulnerabilidades de riesgo medio o alto.

Las pruebas muestran que el 56% de los backends de aplicaciones móviles tienen graves configuraciones erróneas o problemas de privacidad relacionados con la configuración SSL/TLS y una protección de seguridad del servidor web insuficiente.

El informe revela que el 62% de los principales sitios web de fintechs fallaron en la prueba de cumplimiento del estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS). La causa principal de la falla de cumplimiento fue el software comercial y de código abierto obsoleto y sus componentes.

Al mismo tiempo, el 64% de los sitios web principales de las fintechs también fallaron en el cumplimiento del Reglamento General de Protección de Datos (GDPR). El software web vulnerable fue el mayor problema de cumplimiento, seguido por la falta de exención de responsabilidad de cookies o banderas de seguridad no establecidas en las cookies que transfieren el seguimiento, la información de identificación personal (PII) u otra información confidencial, y las políticas de privacidad faltantes o inaccesibles.

Ilia Kolochenko, CEO y fundadora de ImmuniWeb, dijo que la investigación enfatiza los «desafíos en espiral de seguridad cibernética» a los que se enfrentan tanto las empresas dinámicas de tecnología financiera como las instituciones financieras bien establecidas.

«A primera vista, la industria fintech está comparativamente mejor. Sin embargo, si correlacionamos la cantidad y complejidad de los sistemas de TI administrados por organización, la conclusión puede diferir inequívocamente a favor de los bancos».

«Sin embargo, los números de la investigación enfatizan positivamente un nivel decente de seguridad cibernética en medio de las empresas de tecnología financiera, lo que demuestra el compromiso y la atención», dijo.

La investigación también destaca que la falta de visibilidad es uno de los «obstáculos más extendidos, perjudiciales y a veces casi insuperables para la seguridad de la información coherente y holística», dijo Kolochenko.

«Dada la creciente proliferación de tecnologías de nube y contenedores, la externalización de procesos críticos para el negocio y el intercambio de datos con numerosos terceros, la visibilidad incompleta probablemente seguirá siendo el talón de Aquiles de la seguridad de la información», dijo.

ImmuniWeb recomienda que las organizaciones:

Mantenga un inventario completo y actualizado de los activos ubicados en su superficie de ataque externo, identifique todo el software y los componentes utilizados allí, y ejecute puntajes de seguridad accionables en él para permitir la remediación basada en riesgos y consciente de las amenazas.

• Implemente un monitoreo de seguridad continuo de su superficie de ataque externo, pruebe un nuevo código antes y después de la implementación en producción, y comience a implementar un enfoque DevSecOps para la seguridad de la aplicación.

• Considere el uso del aprendizaje automático y las capacidades de inteligencia artificial para manejar procesos rutinarios y que requieren mucho tiempo para liberar equipos de seguridad para tareas más importantes.

Investigue más sobre Gestión de la seguridad de la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close