En Klar México revelan que el ataque más recurrente que enfrentan es el denominado ‘fuerza bruta’, cuyo objetivo final son sus interfaces de programación de aplicaciones (API) para buscar incansablemente fisuras por donde entrar a los sistemas. No obstante, hasta ahora, la fintech afirma que ha logrado contenerlo.
“El atacante empieza a robotizar diferentes clases de ataques y va iterando hasta que encuentra esa llave de acceso o encuentra violar esa puerta”, cuenta Santiago Fernández, director de Seguridad de la Información (CISO, por sus siglas en inglés) en Klar.
Las API, al estar expuestas para integraciones con terceros, se vuelven un blanco importante de grupos cibercriminales, un frente de seguridad que, como ya advirtió Xepelin, aún exige aprendizaje continuo por parte de los equipos.
En esta línea, desde Klar aseguran que se cuidan diariamente de ataques organizados sobre sus API, con el uso de sistemas y un enfoque en capas.
“Tenemos sistemas ahí que justamente repelen esos ataques, donde controlamos si el atacante está utilizando una dirección IP, si está utilizando varias o si viene un ataque desde muchos lugares”, complementa el director desde Buenos Aires, ciudad desde donde lidera el equipo de seguridad.
El foco en las API no solo es un problema de Klar, sino que es una preocupación global. Un estudio de Akamai publicado en 2024 anota que el 84% de los profesionales de ciberseguridad encuestados sufrió al menos un incidente vinculado a sus API en los últimos 12 meses, y apenas el 27% tiene control sobre cuáles exponen datos sensibles.
Ante estos testimonios y cifras, para los bancos y fintechs blindar sus API es una decisión estratégica. Su exposición constante, sumada a la falta de visibilidad que aún persiste en muchas organizaciones, demanda una inversión continua en monitoreo y en automatización defensiva.
Desde Klar aseguran que tienen diferentes controles sobre sus API para mitigar un ataque de fuerza bruta u otro que busque bajarse los servicios.
“Nuestros servicios están públicos a Internet, tienen capas de protección que hacen que el atacante se quede en la puerta”, asevera Fernández.
De freno de mano a cinturón de seguridad
El director dice que, en ciberseguridad, la idea no es frenar el negocio, sino acompañarlo y protegerlo mientras avanza y estar listos para mitigar el impacto inevitable de seguridad. De ahí la analogía: más que actuar como freno de mano, la seguridad debe ser el cinturón y el airbag que permiten seguir operando.
“[El CISO es] un cocreador de producto, la ciberseguridad dentro de un producto embebido es un commodity”, opina.
Añade que la seguridad debe prepararse para múltiples frentes, desde ataques intencionados hasta errores humanos o eventos externos, como un sismo. Todo forma parte del mapa de riesgos y eso exige infraestructuras distribuidas que garanticen la continuidad operativa.
La estrategia de ciberseguridad de Klar
La estrategia de Klar se sostiene en tres pilares técnicos: la gestión unificada de identidades, la segmentación de red y la observación constante.
Cada uno responde a la necesidad de minimizar el impacto ante posibles intrusiones y acelerar la recuperación del sistema. Al aislar componentes internos, como separar los entornos de préstamos y créditos, Klar busca contener el riesgo, mantener la continuidad operativa y reforzar la resiliencia ante ataques.
“Si uno no sabe lo que está pasando entre la compañía, es muy difícil que puedas parar un ataque o que puedas resolver un problema rápidamente para volver a estar en línea”, anota Fernández.
Klar pone foco en proteger el ciclo de vida de los datos, desde su almacenamiento hasta su tránsito. El equipo aplica principios de disponibilidad, confidencialidad e integridad, la triada CIA en el argot de seguridad. Esto implica tener la capacidad de que los datos estén accesibles para quienes están autorizados y que no sean manipulados mientras circulan entre sistemas.
“El dato puede tener un estado de reposo o puede tener un estado de tránsito. [Garantizamos que] sea el mismo que va desde el punto A hasta un punto B, y que no haya alguien en el medio modificando ese dato”, sentencia el director.