Mientras el fraude digital se hace cada vez más sofisticado, los equipos de seguridad enfrentan el desafío permanente de proteger sus canales de integración, especialmente en un entorno en el que la adopción de servicios de terceros se realiza mediante interfaces de programación de aplicaciones (API).
Las API permiten a bancos y fintechs integrarse con otras industrias y ampliar su oferta y alcance de clientes. Se estima que este mercado crecerá 23% anual hasta 2032, cuando moverá US$ 17.500 millones, según Custom Market Insights.
Este crecimiento ocurrirá en un entorno en el que son indispensables las mejoras continuas y el aprendizaje constante sobre las API. Sobre ello, Alejandro Toiber, director general de Xepelin México, una fintech especializada en financiamiento a empresas, señala que el reto está en garantizar que estas no sean vulnerables.
“Muchos equipos de tecnología, por lo menos el nuestro, realmente están aprendiendo todavía. (…) Es algo que todavía todo mundo está tratando de alguna manera resolver”, señala Toiber.
Estas interfaces controlan el flujo de información entre sistemas, lo que las convierte en puntos críticos para la seguridad. Si los equipos de tecnología no aplican las medidas adecuadas, pueden convertirse en vectores de ataque.
“Pero puedo decir que las API son una manera muy eficiente de interconectar sistemas. Lo que tienes que hacer es que estas API vivan en entornos seguros y que tengas conexiones seguras para evitar que alguien te vaya a vulnerar la información”, continúa.
En la industria se ha puesto sobre la mesa el concepto de economía de las API, que plantea las capacidades de bancos y fintechs para apificar sus productos y convertirlos en un activo capaz de generar un nuevo canal de ingresos. En la región, bancos —como el chileno BICE— han creado divisiones enfocadas al respecto.
¿Cómo blindar las API?
Desde Xepelin explican que en su desarrollo de productos ejecutan el Api First, un enfoque que pone como primer peldaño la interconexión para luego pensar en el producto final, la interfaz de usuario u otras funcionalidades. Esto ayuda a tener API más seguras.
La clave está en poner atención en cómo se establecen las conexiones, los túneles de integración y los sistemas autorizados para interactuar con sus API.
“Nosotros no dejamos expuestas las API. Las API Keys las tienen cada uno de los clientes, cada uno de los proveedores. Hay una ISO que es la 27001 donde precisamente se toman estos temas de ciberseguridad”, detalla Toiber.
Con origen en Chile, Xepelin se enfoca en ofrecer financiamiento a empresas a través de productos como factoring, adelanto de pagos y créditos simples. Al validar documentos de forma digital, la empresa requiere altos niveles de precisión en sus mecanismos de reconocimiento, lo que los expone a falsificaciones.
Una amenaza diaria: el fraude de identidad
El ejecutivo asegura que el fraude de identidad es la modalidad más recurrente con la que los ciberdelincuentes quieren sorprender a las empresas de financiamiento.
No obstante, detalla que Xepelin está implementando herramientas de inteligencia artificial (IA) para mitigar el riesgo. Estas analizan elementos como el pixelaje, la tipografía, la resolución y la coherencia del contenido de los documentos que reciben de sus clientes, y luego contrasta esa información con registros públicos.
“Nos hemos encontrado con actas constitutivas falsificadas, poderes alterados y comprobantes de domicilio cambiados en Adobe”, cuenta el director, si bien reconoce que esto apenas representa el 5% de las solicitudes recibidas.
Pero identificarlos sigue siendo un desafío constante. El 95% de las aplicaciones en su portal se validan con revisiones automáticas y el resto exige una intervención humana por tratarse de la subida de documentos antiguos o maltratados.
“Hemos creado un modelo de large language model (LLM), donde nosotros leemos los documentos e identificamos”, asegura Toiber.
Alejandro Toiber, director general de Xepelin México estará en el FinSeg Day. Solicita tu invitación aquí.
