“Cambia con los tiempos o los tiempos te cambiarán a ti”
La veracidad de este dicho y lo peligroso que puede ser no adaptarse a los nuevos tiempos, especialmente en el sector de TI, es algo que leemos repetidamente en los medios. Por ejemplo, ¿quién recuerda el ataque de ransomware WannaCry, que acaparó tantos titulares en 2017 y, lamentablemente, afectó a muchos ordenadores? Los ciberdelincuentes explotaron vulnerabilidades de seguridad obsoletas en Microsoft Windows que, de hecho, ya habían sido corregidas semanas antes del ataque. Por desgracia, las empresas y organizaciones que no actualizaron sus sistemas a tiempo se volvieron vulnerables y fueron atacadas de inmediato.
Esto tuvo consecuencias significativas: el ataque de ransomware WannaCry causó unos daños globales estimados en hasta 4000 millones de USD. Este enorme impacto financiero fue debido a la infección de unos 230 000 ordenadores en más de 150 países. El ataque afectó infraestructuras críticas, como hospitales, servicios de emergencia, gasolineras y fábricas, lo que provocó importantes interrupciones operativas y cortes de producción.
Moraleja: si las empresas no actualizan continuamente sus sistemas ni se adaptan a los últimos estándares de seguridad, esto puede tener consecuencias desagradables para todos.
Navegación segura y fiable gracias a los QWAC
En el actual mundo digital, cada vez más aspectos de la vida cotidiana se trasladan al ámbito virtual. La confianza en la seguridad es crucial para todas las acciones en Internet, ya que a través de la red informática mundial solemos realizar pagos y compartimos datos personales altamente sensibles. Nuestro interlocutor no suele ser una persona real, sino un agente digital o un formulario de onboarding. La UE ha reconocido esta necesidad de seguridad y ha introducido los Qualified Web Authentication Certificates (QWAC), certificados digitales especiales que garantizan una autenticación segura de los sitios web y sus operadores. Ofrecen un alto nivel de fiabilidad, ya que solo los emiten proveedores de servicios de confianza, cualificados y con sede en la UE tras estrictos procesos de verificación. Estos proveedores son organizaciones que ofrecen servicios que generan confianza en el mundo digital, como firmas electrónicas cualificadas, marcas temporales o certificados. Permiten a los usuarios identificar de forma fiable la organización responsable de un sitio web, a la vez que garantizan la transmisión segura y cifrada de los datos.
Revocación de certificados
Sin embargo, los QWAC también deben adaptarse a los nuevos tiempos. En otras palabras, caducan, se revocan y quedan obsoletos. Se retiran de circulación y se incluyen en las llamadas listas de revocación de certificados (CRL) de QWAC, listas especiales para la revocación de estos certificados. Estas listas, creadas por proveedores de servicios de confianza cualificados, contienen los números de serie de los QWAC revocados, la fecha y hora de la revocación y, a menudo, los motivos. Las listas se actualizan y se publican periódicamente en los Puntos de distribución de CRL, que se integran como una URL en los propios QWAC. Cuando un navegador o una aplicación consulta un QWAC, se revisa la CRL actual y se comprueba si el certificado figura en la lista. Las CRL se actualizan con regularidad y están firmadas digitalmente para evitar su manipulación.
Al revisar periódicamente las CRL, los navegadores y aplicaciones pueden mantener a los internautas alejados de sitios web potencialmente dañinos, garantizando así un alto nivel de seguridad. Esto también se aplica a los certificados QWAC, que permiten a los proveedores externos (TPP) registrados acceder a las API para PSD2 de los bancos, garantizando interacciones seguras y fiables en el mundo de los servicios financieros. Sin duda, los datos financieros, junto con la información sanitaria, se encuentran entre los datos más confidenciales y valiosos que deben protegerse.
Riesgos y efectos secundarios de las interfaces PSD2 desatendidas
Los bancos, a quienes confiamos nuestros datos financieros, tienen la responsabilidad particular de revisar periódicamente las CRL para garantizar que solo utilizan certificados válidos y fiables. Usar certificados revocados puede crear vulnerabilidades de seguridad. Las comprobaciones periódicas de los certificados también ayudan a cumplir con requisitos normativos, como la PSD2, a proteger contra interrupciones del servicio y a minimizar el riesgo de fraude. Esto garantiza la integridad de los sistemas bancarios y mantiene la confianza de los clientes.
Desafortunadamente, aún se dan casos en los que los bancos aceptan certificados QWAC obsoletos. Esto puede ocurrir cuando las interfaces PSD2 implementadas presentan vulnerabilidades. Las API para PSD2 robustas, como la solución PSD2 API de Qwist, deben implementar varias medidas de seguridad para evitar la aceptación de certificados QWAC revocados.
Para una validación segura de certificados QWAC, se requieren varios pasos: comprobaciones periódicas de CRL, consultas del Protocolo de verificación de certificados en línea (OCSP) en tiempo real, comprobaciones del período de validez, validación de información específica de la PSD2, como roles y números de autorización, así como el uso de software de validación eficaz para las comprobaciones de CRL y OCSP. Estas medidas garantizan que solo se acepten certificados QWAC válidos y no revocados.
Los bancos e instituciones financieras que utilizan API para PSD2 que no implementan estas medidas se exponen a riesgos significativos. Que los proveedores externos (TPP) utilicen certificados QWAC obsoletos para acceder a las API de PSD2 puede tener graves consecuencias para la seguridad y el cumplimiento normativo:
- Incumplimiento de los requisitos regulatorios
La PSD2 exige que los proveedores de servicios financieros mantengan altos estándares de seguridad. El uso de certificados obsoletos podría incumplir estos requisitos y derivar en multas o sanciones regulatorias. - Interrupción del acceso a las API para PSD2
- Los certificados obsoletos pueden provocar que los bancos bloqueen el acceso a sus API, lo que impediría que los TPP accedan a los datos financieros. Aunque esto suele ser deseable, mientras se actualizan los certificados podría haber tiempos de inactividad.
- Problemas de confianza con los clientes
Usar certificados inseguros puede hacer que los clientes desconfíen de tus servicios. Los clientes podrían abandonar los proveedores que consideren menos seguros, lo que conlleva una pérdida de negocio y reputación.
Nada de esto tiene por qué ocurrir si los bancos y las instituciones financieras se mantienen al día y actualizan sus API para PSD2. Este riesgo se puede eliminar de forma fiable al asociarse con un proveedor de tecnología externo con experiencia que ofrezca soluciones maduras y probadas, como PSD2 API de Qwist. De esta forma, los bancos pueden avanzar en lugar de quedarse atrás. Al fin y al cabo, si algo está claro es que seguirá habiendo ciberataques. La clave es protegerse debidamente.
