El fraude electrónico en Latinoamérica

En la actualidad en diferentes países de Latinoamérica se están presentando eventos de fraude electrónico en el sector financiero, los cuales están llegando a la última etapa del ataque (cash out) de manera exitosa y en la mayoría de ellos sin ser advertidos por clientes y/o bancos.

Si bien es cierto, los bancos han avanzado en el establecimiento de mecanismos de control que mitigan este riesgo, los cibercriminales igualmente continúan desarrollando métodos para evadir los controles o buscar nuevos gaps para lograr su objetivo principal, el robo de datos y/o dinero. 

Una de las principales dificultades para combatir el fraude radica del lado del cliente, quien aún no puede garantizar la seguridad de sus credenciales de usuario y/o información sensible que permita blindarlo de los distintos ataques de ingeniería social o malware que hacen parte del día a día del entorno del sistema financiero.

Dado que las poblaciones y grupos etarios de personas que conforman los clientes de las entidades financieras son tan heterogéneas, garantiza que cualquier tipo de ataque como por ejemplo el phishing siempre tenga éxito en un porcentaje de los clientes objeto del ataque. Los cibercriminales de manera permanente están evolucionando y haciendo más complejos los ataques, su objetivo es claro y es aumentar el número de clientes a los cuales le puedan robar su información y por consiguiente su dinero.

Las entidades financieras vienen implementando diferentes mecanismos de control alineadas con las mejores prácticas que la industria viene adoptando, siendo muy efectivos y evitando que los datos de los clientes sean usados por los criminales, controles como: Conexiones cifradas y seguras entre las plataformas transaccionales y los clientes, implementación de autenticación fuerte a través de sus distintos canales transaccionales, implementación de esquemas de monitoreo transaccional en tiempo real, definición de controles y reglas en los procesos de manera segmentada (Acorde al riesgo), implementación de EMV, aseguramiento del End Point o plataformas transaccionales entre otros, garantizan la confidencialidad de los datos, integridad de las transacciones y no repudio de las mismas

 La autenticación fuerte es una de las principales medidas que permite combatir el fraude, implementar un esquema de autenticación adecuado garantiza que la persona que se identifica en un el canal transaccional de la entidad financiera es realmente quien dice. Una manera adecuada de definir un esquema es garantizar el cumplimiento de por lo menos dos de los tres factores de autenticación que hoy nos permiten tener mayor seguridad al momento de identificar al cliente: Algo que se sabe(clave, PIN, Cédula de Identidad, Pasaporte, Nombre de Algún Pariente, etc.), Algo que se tiene (Credencial, Tarjeta Magnética, Token OTP: One Time Password, etc.) y/o Algo que se es (Huella Digital, Reconocimiento facial, de voz, iris, retina, etc.).

En lo distintos canales transaccionales la adopción de esquemas de autenticación fuerte viene en crecimiento, un ejemplo es la implementación de contraseñas de un solo uso (OTP) como segunda o tercera clave para realizar transacciones de alto riesgo, transferencias a otras cuentas y retiros en efectivo. Estas claves de un solo uso se envían via SMS o a un correo electrónico que administra el cliente, una vez recibidas el usuario puede terminar la transacción.

Aquí es donde evaluar los esquemas adecuados cobra importancia, esto acorde a la evolución de los riesgos, hoy los cybercriminales entendiendo muy bien cómo funciona la operación de las entidades financiera, mediante ataques de malware, phishing o ataques de ingeniería social no solo están comprometiendo las credenciales bancarias sino las de correo electrónico que el usuario usa para recibir los OTP, incluso accediendo a través de diferentes formas al OTP enviado vía SMS.

Es por esto que los bancos deben ir más allá y desarrollar estrategias de prevención de manera integral, para ello se deben establecer controles tecnológicos adecuados y educar de manera focalizada a los clienes acorde a los riesgos de cada uno, con ello se puede mitigar el riesgo y hacer al cliente parte proactiva de la seguridad en el uso de los canales y/o productos.

Algunas recomendaciones para controlar este tipo de ataques son:

·      Educar a los clientes.

·      Implementar de manera adecuada los esquemas de autenticación (Enrolamiento, uso, bloqueo, etc.), un ejemplo el uso de  push autentication, que hace uso de certificados digitales y llaves de cifrado las cuales se instalan en el dispositivo original del cliente y se validan cada vez que se haga login, así, aunque se comprometan las credenciales de usuario de los canales transaccionales y/o de correo electrónico, el atacante no podrá concretar el ilícito porque no tiene estas llaves y certificados que están en el dispositivo original.

·      Implementar soluciones de monitoreo transaccional en tiempo real que hagan uso de machine learning, estableciendo un análisis predictivo y preventivo basado en el perfil del cliente y el comportamiento del fraude.

·      Trabajar en conjunto con actores externos para blindar el entorno, un ejemplo claro es la necesidad de autenticar adecuadamente a los clientes de compañías de servicios de telefonía móvil.

En conclusión, es necesario implementar una estrategia que ataque el fraude en cada uno de los ciclos del mismo, de esa manera estaremos por el rumbo correcto.