Cyber-Fraud Fusion Center: Una visión holística de amenazas

En esta oportunidad retomamos el articulo previamente escrito llamado "Fusión de Ciberseguridad, CTI y Prevención de Fraude: El Futuro de la Lucha Contra el Fraude en Línea" en donde hemos hablado de la importancia de la convergencia de estas áreas y el rol de estos nuevos analistas emergentes. Con el fin de ampliar lo visto hasta aquí, en este articulo hablaremos del concepto de los Cyber-Fraud Fusion Center (CFFC) que al igual que el anterior estará basado en el análisis de informes de diferentes consultoras y empresas de renombre sumado a los casos que ya se están llevando adelante en el mundo, complementado con mi aporte desde la experiencia.

Evolución de las amenazas financieras

En el artículo previo hicimos un repaso por la tendencia actual en cuanto a las amenazas de fraude cibernético basado en los informes de Europol, estos son algunos de ellos:

• Fraude de Inversión: Promesas de altos retornos con riesgos bajos a través de plataformas fraudulentas.
• Compromiso de Correo Empresarial (BEC): Ataques dirigidos a empleados para manipular transferencias financieras o robar información confidencial.
• Phishing y Ataques de Ingeniería Social: Engaños para obtener datos personales y financieros a través de correos electrónicos o mensajes que parecen legítimos.
• Ataques a Sistemas de Pago: Incluyendo skimming digital y ataques lógicos a cajeros automáticos.
• Uso de Malware y Herramientas de Cracking: Programas maliciosos para infiltrarse en sistemas y robar datos.
• Shimming: Similar al skimming, el shimming es una interceptación y/o manipulación de información que fluye entre una tarjeta y la interfaz del chip de un lector de tarjetas.
• ATO (Account Takeover): Secuestro de cuentas mediante robo de credenciales.
• SIM Swapping: Transferencia no autorizada del número de teléfono de una víctima a una SIM controlada por el atacante.
• Fraude en los pagos: Las estafas en línea y los esquemas de fraude que resultan en transferencias fraudulentas de dinero de las víctimas a los ciberdelincuentes se han convertido en algo cotidiano. Estos casos de fraude en los pagos provocan miles de millones de dólares en pérdidas para empresas e individuos cada año.
• Robo de credenciales/identidad: A través de infostealers y ataques de relleno de credenciales, los ciberdelincuentes pueden robar la identidad de los clientes bancarios y usarla para apoderarse de sus cuentas y robar sus fondos.
• Ataques a la cadena de suministro/riesgos de terceros: La ciberseguridad no puede tratarse como una preocupación insular para una organización. Las organizaciones deben tener en cuenta las implicaciones de seguridad de los riesgos de terceros que se plantean debido a vulnerabilidades en sus cadenas de suministro de hardware o software o debido a infracciones en sus proveedores, socios u otras partes interesadas.
• Ataques de ransomware: Si hay un solo tipo de amenaza cibernética que ha acaparado la atención de varias industrias, es la amenaza de los ataques de ransomware. Con el uso de técnicas inteligentes de extorsión doble/triple en los últimos años, las bandas de ransomware han causado grandes trastornos.
• Vulnerabilidades de día cero: Las organizaciones del sector financiero dependen de una variedad de aplicaciones, herramientas y tecnologías para llevar a cabo sus operaciones comerciales. Cualquier vulnerabilidad no reportada en dichas aplicaciones puede ser explotada por los ciberdelincuentes para infiltrarse en sus sistemas y redes.
• Ataques de suplantación con IA: El deepfake es un video, una imagen o un audio generado que imita la apariencia y el sonido de una persona. Al poder generar contenido con un alto grado de similitud, los delincuentes aprovechan la situación para crear ataques y suplantar la identidad de las personas.

Como vemos, el fraude cibernético es un desafío creciente y en constante evolución, donde los actores utilizan técnicas más avanzadas como puede ser la aplicación de inteligencia artificial (IA), para eludir por ejemplo los sistemas automáticos de verificación. Esto conlleva a que las organizaciones busquen cada vez más personal con conocimiento en prevención de fraudes y ciberseguridad para los roles de CISO y/o especialistas.

Sabemos que los actores de hoy son sofisticados y a menudo llevan la ventaja, muchos de ellos operan como organizaciones criminales organizadas y comparten información con otros grupos, los que los vuelve más peligrosos por su capacidad de inteligencia sobre las organizaciones. La ingeniería social y el compromiso de credenciales corporativas permiten a los estafadores obtener y usarlas para acceder a cuentas, haciéndolos casi imposibles de detectar por medios tradicionales.

A continuación se ve un ejemplo compartido por la consultora McKinsey de como un ataque podría converger las áreas mencionadas.

Soluciones actuales ineficaces

Si hablamos de los métodos tradicionales de prevención y detección de fraudes nos encontramos que las soluciones utilizadas no están equipadas para manejar las tácticas, técnicas y procedimientos (TTP) utilizados por los actores de amenazas de hoy. En particular, los equipos de fraude, ciberseguridad, inteligencia de amenazas y análisis de datos, en la mayoría de las organizaciones generalmente no colaboran y sus herramientas y/o protocolos no están sincronizados para permitir una detección proactiva. Hablan diferentes idiomas, tienen flujos de trabajo distintos y generalmente se mantienen en sus propios espacios. Cuando los equipos de ciberseguridad notan algo sospechoso, no siempre comparten su inteligencia con el equipo de fraude, y viceversa. Dado que el fraude ahora se extiende por las responsabilidades de los equipos de seguridad, la falta de comunicación puede llevar a sesgos que traten un único actor de amenaza con dos enfoques diferentes.

Otro problema que aún persiste y que poco a poco va cambiando es que estas soluciones de fraude tradicional son reactivas por naturaleza, ósea actúa después que ocurre el suceso, dejando menos tiempo para investigar y escalar un incidente antes de que se incurra en pérdidas. Muchas veces, las organizaciones ya han sufrido una pérdida y el único recurso es una evaluación post-mortem. Para cuando se implementan nuevos controles para esa táctica particular, los adversarios ya han pasado a una nueva técnica.

Conectar la ciberseguridad, la inteligencia de amenazas, el análisis de datos y la prevención del fraude es crítico para mantener la integridad de la postura de seguridad general de una organización, así como para igualar los peligros que representa la convergencia del ciberfraude desde la perspectiva de un actor de amenaza. Aquí es donde la construcción de un Fusion Center, puede crear un ambiente para que los profesionales de ciberseguridad y fraude trabajen juntos y creen detección, prevención y respuesta efectivas a la actividad fraudulenta, y cambiar el enfoque de la mitigación de reactiva a proactiva. Como se muestra en la Figura a continuación, los esfuerzos proactivos permiten detectar y prevenir el fraude antes de la transacción. Una vez que se ha movido el dinero, la única acción que se puede tomar es reactiva.

¿Qué es un Fusion Center?

Si tuviéramos que describirlo en un concepto sencillo de entender, podríamos decir que un Cyber-Fraud Fusion Center (CFFC) es un enfoque de próxima generación similar a un centro de operaciones de seguridad (SOC), pero que unifica las funciones con varias áreas. Este nuevo enfoque reúne a profesionales en inteligencia de amenazas y ciberseguridad con especialistas en fraude para generar un ciclo constante de intercambio de información. Este equipo integrado se encarga de identificar amenazas en múltiples ámbitos, compartiendo información, tecnología de monitoreo y herramientas para el manejo de casos.  Se beneficia de la analítica avanzada, procesos estandarizados, herramientas de automatización y orquestación de flujos de trabajo para optimizar las tareas manuales.

Este modelo no solo combina elementos de ciberseguridad tradicional y gestión de fraude, sino que también se apoya en la inteligencia sobre amenazas, análisis avanzados, y las actividades de monitoreo y respuesta.

Construyendo los cimientos del Fusion center

La construcción de un centro de fusión requiere un cambio de paradigma. Significa que los equipos de ciberseguridad y de fraude deben hablar el mismo idioma, comprender (y acordar) diferentes niveles de compromiso y estar dispuestos a trabajar juntos para compartir datos, personas y procesos de manera efectiva. Si bien esta transformación puede tardar un año o incluso más en lograrse, ya que  se necesita un gran escalamiento para armarlo, hay algunos pasos inmediatos que las organizaciones pueden tomar para mejorar sus programas de prevención del fraude.

La consultora Boz Allen menciona que una victoria rápida podría ser en el armado del mismo, para ello se puede iniciar con los equipos ya existentes de ciberseguridad y fraudes, como también en diversos casos el de AML / PLA y poner una persona que cumpla el rol de líder de capacidades de fusión o en simples palabras un orquestador que sea capaz de ordenar y establecer la comunicación entre todas las áreas involucradas con sus respectivos lideres y tecnologías para generar un flujo constante de intercambio de información y necesidades.

En el siguiente diagrama se muestra una idea general de lo mencionado, donde observamos que tan solo se necesita invertir inicialmente en 1 o 2 recursos y así comenzar a desarrollar las capacidades necesarias con lo que ya se posee por parte de cada equipo involucrado.

Otras de las acciones que menciona es la de hacer un balance de las capacidades existentes teniendo un inventario de lo que se posee y compararlo con las capacidades de otras entidades pares y las buenas prácticas establecidas.

Por otra parte, Boz propone las siguientes medidas iniciales:

1. Definir una estrategia y comunicar frecuentemente: Identificar lo que tienen en común los equipos de fraude y ciberseguridad. Construir una base sólida, incluyendo indicadores de compromiso compartidos, flujos de trabajo, análisis y conjuntos de datos. Comunicar la estrategia desde el principio y de manera constante, fomentando que las personas vean los componentes de ciberseguridad y fraude como un único ecosistema.
2. Fusionar datos: Fusionar datos demasiado pronto puede generar falsos positivos y complicar los data lakes. Es más fácil mantener los datos separados hasta entender qué tipos de fraude estamos viendo y los procesos que funcionan para abordarlos. Luego, podemos comenzar a fusionar datos poco a poco. Cada organización es diferente, y los equipos deben aprovechar las fuentes existentes, ya sean de un proveedor o producidas orgánicamente para mejorar la detección de fraude. Además, los conjuntos de datos y los requisitos de alerta deben ser analizados para mejorar la eficiencia.
3. Implementar soluciones tecnológicas y establecer una línea base: Registrar los tipos de fraude que estamos detectando actualmente, el tiempo de respuesta y cuántos intentos de fraude estamos bloqueando. Estas métricas ayudarán a demostrar el éxito más adelante.
4. Evaluar con frecuencia: Valorar cómo los equipos de fraude y ciberseguridad están colaborando y las oportunidades de mejora. Después de una alerta o evento, realizar cambios para permitir que el centro de fusión detecte proactivamente técnicas de fraude similares en el futuro.

A menudo, los equipos de fraude y ciberseguridad utilizan herramientas similares que serían más efectivas para combatir el fraude si ambas unidades tuvieran acceso a los resultados, por ejemplo, estos podrían compartir la misma herramienta SIEM (información de seguridad y gestión de eventos) o un SOAR y datos de registro para mejorar significativamente su capacidad para detectar, prevenir y responder a las amenazas proactivamente.

Algunos ejemplos sobre como los equipos de prevención de Fraudes podrían aprovechar herramientas de ciberseguridad e intercambiar información en un constante flujo proactivo.

Uso de SIEM en la Prevención de Fraudes

• Detección de Patrones de Fraude: Configurar el SIEM para identificar patrones de comportamiento o transacciones que coincidan con escenarios de fraude conocidos. Esto puede incluir desde el seguimiento de inicios de sesión sospechosos hasta patrones de transacciones inusuales que sugieran manipulación de cuentas o robo de identidad.
• Correlación de Datos de Múltiples Fuentes: Integrar datos no solo de sistemas de seguridad, sino también de sistemas de gestión de riesgo transaccional, bases de datos de clientes o riesgo biométrico. Esto permite una visión holística que facilita la detección de actividades fraudulentas que de otro modo podrían pasar desapercibidas.
• Análisis en Tiempo Real y Alertas: Aprovechar la capacidad del SIEM para analizar grandes volúmenes de datos en tiempo real y generar alertas inmediatas ante la detección de actividades sospechosas, permitiendo una rápida intervención antes de que el fraude cause daños significativos.

Utilización de SOAR en la Prevención de Fraudes

• Automatización de Respuestas a Incidentes de Fraude: Configurar playbooks en el SOAR para automatizar la respuesta a incidentes de fraude detectados. Esto puede incluir acciones como la suspensión de cuentas comprometidas, la reversión de transacciones fraudulentas o la notificación automática a las partes afectadas y a las autoridades correspondientes.
• Orquestación entre Equipos de Fraude y Seguridad: Facilitar la colaboración y comunicación entre los equipos de prevención de fraudes y seguridad, asegurando que las respuestas a las amenazas sean cohesivas y estén alineadas con las políticas de la organización.
• Automatización de Procesos de Investigación: Utilizar el SOAR para recopilar automáticamente evidencia y datos relevantes para la investigación de incidentes de fraude, acelerando el proceso de análisis y permitiendo a los analistas centrarse en aspectos más complejos de la investigación.

Datos, automatización y análisis

La integración puede explotar mejor el potencial de los datos para la prevención, automatización y análisis del fraude. Al integrar datos de funciones separadas, tanto de fuentes internas como externas, las organizaciones pueden mejorar la identificación y verificación de los clientes. La inteligencia artificial y el aprendizaje automático también pueden permitir mejores análisis predictivos cuando están respaldados por fuentes agregadas de información. Se puede obtener rápidamente información para determinar, por ejemplo, conexiones entre ataques a credenciales, la probabilidad de apropiación de cuentas y movimientos de dinero delictivos. Al superponer estos conocimientos en sus soluciones basadas en reglas, los bancos o las fintechs pueden reducir las tasas de falsos positivos en los algoritmos de detección. Esto reduce los costos y ayuda a los investigadores a centrarse en incidentes reales.

Lo mencionado son solo breves ejemplos de las muchas herramientas posibles o metodologías a ser utilizadas por ambas partes, otro aprovechamiento importante a destacar es lo que se conoce como “Efecto red de inteligencia de amenazas”, esto consiste en generar un aprovechamiento de los datos de amenazas de otras organizaciones como ser múltiples bancos o fintechs para ampliar la detección. Un ejemplo de esto puede ser generar visibilidad de cuentas marcadas como fraudulentas por otros organismos financieros y al querer operar, nuestros sistemas detectaran eso y rechazaran la operación, de no contar con esa red de inteligencia asociada, esta operación podría pasar desapercibida por no tenerla previamente marcada de forma local.

El hecho de que veamos a estos atacantes por primera vez no significa que sea la primera vez que atacan a una organización como la nuestra. La inteligencia de amenazas en red agrega un nivel vital de visibilidad para detectar y bloquear en tiempo real.

El imperativo de la integración de las partes

La unificación de las gestiones de ciberseguridad y fraude es esencial actualmente, debido a la estrecha conexión entre ambos tipos de delitos. La fusión facilita el uso de avanzadas herramientas de análisis y datos, cruciales para prevenir, identificar y contrarrestar amenazas.

La mayoría de las instituciones con visión de futuro están trabajando para lograr dicha integración, creando por etapas un modelo más unificado en todos los dominios, basado en procesos, herramientas y análisis comunes. Las actividades de AML también pueden integrarse, pero a un ritmo más lento, centrándose primero en áreas específicas que se superponen.

McKinsey menciona que el punto de partida para la mayoría de los bancos ha sido el modelo colaborativo, con cooperación entre silos. Algunos bancos están pasando de este modelo a uno que integra la ciberseguridad y el fraude. En el horizonte siguiente, un modelo completamente integrado permite un tratamiento integral de la ciberseguridad y los delitos financieros, incluida la lucha contra el lavado de dinero (AML). Sin embargo, poco a poco, una mayor integración puede mejorar la calidad de la gestión de riesgos, ya que mejora la eficacia y la eficiencia básicas en todos los canales, mercados y líneas de negocio.

En la siguiente imagen se visualiza los componentes que propone la consultora a nivel de un centro de fusión.

De esta imagen se desprende también, que una vez escalado todos los componentes del Fusion Center, se puede incluso pensar en tener capacidades propias para el desarrollo de modelos predictivos de Machine Learning aprovechando el data lake interno, lo que conlleva también a una evolución en las capacidades de los analistas y reentrenamiento constante.

Casos de Fusion Center

Desde hace algunos años diversas entidades financieras han adoptado estas estrategias, si bien como menciona Gartner en su informe que probablemente para el 2028, el 20% de las empresas del mundo recién cambiaran a equipos de CyberFraud o tomaran dicha estrategia colaborativa para combatir a los adversarios que amenacen a la organización, hoy ya existe un 5% que lo esta llevando adelante y estos son algunos ejemplos.

• TD Bank Group: TD opens Fusion Centre in Toronto - Oct 31, 2019 (mediaroom.com)

How the new TD Fusion Centre in Singapore is fueling a 'follow-the-sun' approach to threat management | TD Stories

• Mastercard: ¿Por qué Mastercard lanzó un 'Fusion Center' para la seguridad (bankinfosecurity.com)
• Visa: Visa brings the future of digital commerce to Europe | Visa
• BMO Financial Group: BMO Financial Group Announces New Financial Crimes Unit to be Headed by Larry Zelvin - Jan 7, 2019
• Citi Bank: Students Tour Citi's Cyber Security Fusion Center | Mount St. Mary's University Emmitsburg Maryland (msmary.edu)
• Bank of Montreal: Bank of Montreal to create cybersecurity fusion centre to fight fraud, breaches | IT World Canada News

Principales conclusiones

1. Evolución de las Amenazas Financieras: El fraude cibernético representa un desafío creciente y en constante evolución. Los ciberdelincuentes utilizan técnicas avanzadas, incluida la inteligencia artificial, para eludir sistemas de seguridad, empleando métodos como el fraude de inversión, compromiso de correo empresarial (BEC), phishing, ataques a sistemas de pago, y muchos otros.
2. Ineficacia de las Soluciones Actuales: Las metodologías tradicionales de detección y prevención de fraudes se quedan cortas ante las tácticas modernas de los atacantes. La falta de colaboración entre los equipos de ciberseguridad, fraude, inteligencia de amenazas y análisis de datos dificulta la detección proactiva de amenazas.
3. Importancia de la Integración: La unificación de las operaciones de ciberseguridad y fraude se identifica como esencial. Esto no solo mejora la eficiencia y eficacia de la gestión de riesgos, sino que también fomenta un enfoque más proactivo frente a las amenazas.
4. Implementación del Fusion Center: La creación de un Cyber-Fraud Fusion Center (CFFC) es fundamental para integrar inteligencia de amenazas, análisis avanzados y gestión de fraudes en un ciclo constante de intercambio de información. Este enfoque colaborativo permite una respuesta más efectiva frente a las actividades fraudulentas y cibernéticas.
5. Pasos para la Construcción de un Fusion Center: Iniciar con equipos existentes, definir una estrategia común, fusionar datos de manera cautelosa, implementar soluciones tecnológicas adecuadas y evaluar continuamente la colaboración entre los equipos son pasos cruciales para desarrollar un Fusion Center efectivo.

Casos de Éxito y Proyecciones Futuras: Instituciones financieras líderes como TD Bank Group, Mastercard, Visa, y otras ya han implementado estrategias de Fusion Center, demostrando la efectividad de este enfoque. Se anticipa que un mayor número de organizaciones adoptará estrategias de CyberFraud para combatir las amenazas cibernéticas y el fraude.

Referencias

• A better way to fight financial fraud: fraud fusion centers: A Better Way to Fight Financial Fraud: Fraud Fusion Centers (boozallen.com)
• Cyber Fraud Fusion: cyber-fraud-fusion.pdf (pwc.com)
• Financial crime and fraud in the age of cybersecurity: Financial cybercrime and fraud | McKinsey
• The New Era Of Fusion Centers: Simplifying Data Complexity And Cultivating Trust: The New Era Of Fusion Centers: Simplifying Data Complexity And Cultivating Trust (forbes.com)
• Fraud fusion centers: the new way to stop cyber fraud: Fraud Fusion Centers: The NEW Way to Stop Cyber Fraud - DefenseStorm
• Why are Financial Institutions Adopting Cyber Fusion Strategies?: Why are Financial Institutions Adopting Cyber Fusion Strategies | Cyware Educational Guides | Educational Guides
• Building a Cyber Fusion Center: Building a Cyber Fusion Center | Virtual Cyber Fusion Center | Cyware Educational Guide | Educational Guides