El Regulador No Perdona: PSD2, DORA y el Coste del Incumplimiento
El sector fintech europeo opera bajo una presión regulatoria sin precedentes. No es hipotética — es calendario.
1. Autenticación Fuerte (SCA)
2. Flujo de Fallback
Recomendación: implementar dynamic linking vinculando código de autorización al importe y IBAN del beneficiario. Reducir TTL de access tokens a 300 segundos.
Open Banking Abrió las APIs. También Abrió la Superficie de Ataque.
PSD2 obligó a los bancos a abrir sus APIs a terceros. Eso creó un ecosistema de innovación — y el mayor vector de ataque del sector financiero europeo.
| Vulnerabilidad | Impacto en fintech | Ejemplo real |
|---|---|---|
| BOLA (API1) | Acceso a saldos y movimientos de otros usuarios | GET /accounts/{id} sin validar que el ID pertenece al usuario autenticado |
| Broken Auth (API2) | Bypass de SCA, session hijacking en flujos OAuth | Token de acceso sin audience claim permite usarlo en otro servicio |
| Excessive Data (API3) | API devuelve PAN completo o datos KYC en respuestas | Endpoint de perfil retorna IBAN, DNI y fecha de nacimiento sin filtrar campos |
| BFLA (API5) | Un usuario con rol "viewer" ejecuta transferencias | POST /transfers acepta tokens sin verificar el scope de permisos |
| SSRF (API7) | Acceso a metadatos cloud desde la API de webhooks | Callback URL apunta a 169.254.169.254 y extrae credenciales IAM |
Tu Cloud Financiero Tiene Reglas Diferentes
La infraestructura cloud de una fintech no es como la de un SaaS cualquiera. Procesa pagos, almacena datos regulados y está sujeta a requisitos de cifrado, segmentación y auditoría que el modelo de responsabilidad compartida no resuelve solo.
Scope PCI-DSS (CDE)
Scope real detectado: 14 servicios tocan datos PAN (vs. 6 declarados en SAQ). Recomendación: aislar CDE en subnet dedicada y aplicar cifrado KMS a RDS y S3.
De Sandbox a Producción: El Punto Ciego que los Reguladores Ya Conocen
Los entornos de sandbox son imprescindibles para desarrollar y testear APIs de pago. Pero cuando se gestionan mal, se convierten en la puerta trasera más obvia de tu infraestructura.