Por Klauss Schoneborn, gerente de Ventas para soluciones de identidad y gestión de acceso de HID en América Latina

El sector bancario es uno de los más expuestos y vulnerables al fraude en línea, debido a la gran cantidad de datos e información confidencial que maneja y al alto valor económico que representa. Los ciberdelincuentes utilizan diversas técnicas para engañar, infectar o extorsionar a las instituciones financieras y a sus clientes, causando pérdidas millonarias, daños reputacionales, multas regulatorias y pérdida de confianza.

La problemática es multifacética: por un lado, las instituciones están bajo la presión constante para salvaguardar la información sensible y los activos financieros de sus clientes, al tiempo que se esfuerzan por mantener la eficiencia y la accesibilidad de sus servicios en línea, mientras que los clientes confían en la seguridad de sus transacciones y la privacidad de sus datos personales, pero se enfrentan a una creciente sofisticación de los ataques que buscan explotar vulnerabilidades en sus propios dispositivos y comportamientos en línea.

▶ El banco Davivienda reforzó su seguridad y eficiencia operativa con la tecnología Mobile Access de HID

América Latina no es una región ajena a esta problemática y, por el contrario, las cifras demuestran una tendencia al aumento. Según Kapersky, compañía internacional dedicada a la seguridad informática, se bloquearon 2.366 ataques de malware y 110 mensajes fraudulentos (phishing) por minuto en América Latina en 2022. Los ataques financieros crecieron en la región y la piratería fue uno de los principales vectores de infección. Los troyanos bancarios aumentaron de 127.000 bloqueos en enero de 2021 a 174.000 en agosto de 2022, lo que representa 5.216 intentos de infección por día.

Gestión de riesgos, máximo nivel de protección contra el fraude

Las entidades financieras que se toman en serio la mitigación de amenazas, que en últimas tienen como objetivo hurtar y suplantar la identidad del cliente, pueden ir un paso más allá y prevenir los ataques antes de que se produzcan, con una estrategia de defensa en profundidad que asuma la autenticación como parte de un ecosistema integral de gestión de riesgos, un estrategia que contemple si el dispositivo utilizado para el acceso es confiable, que monitoree la biometría del comportamiento, el perfil de transacción y aproveche la inteligencia artificial (IA) y para identificarlas, minimizar su exposición y defender proactivamente los activos del cliente, lo que incluye, por supuesto, salvaguardar su identidad en línea.

Es así que para tomar decisiones de manera proactiva y prevenir el fraude, existe una solución de autenticación basada en riesgos, la cual se integra con soluciones de Core bancario como Temenos Infinity, -una que unifica los canales digitales y elimina los sitios de back-office, permitiendo una experiencia de cliente sin fisuras- evalúa continuamente todo el recorrido del consumidor en tiempo real, aprovechando fragmentos de información que parecen menores por sí solos, pero que, combinados, dibujan un retrato del cliente para prevenir el fraude a lo largo de todo el recorrido.

Entre dichos fragmentos de información recopilados se pueden mencionar el tipo de sistema operativo utilizado por el cliente, si el usuario se conecta a través de una VPN o de un dispositivo infectado por malware, la dirección IP y la geolocalización de cada intento de inicio de sesión y una huella digital única del dispositivo, desde los idiomas y fuentes que están instalados hasta cuántos contactos están almacenados en el directorio.

Esta solución está impulsada por un sistema de inteligencia artificial (IA) optimizado para garantizar una experiencia de usuario sin fricciones y detectar amenazas digitales. De esta manera las instituciones financieras pueden optimizar múltiples software utilizando una solución integral que detecta, registra y analiza la biometría del comportamiento de los usuarios, para confirmar una verificación de identidad precisa y minimizar las vulnerabilidades.

Con la solución RMS los datos procedentes de la detección de amenazas en los dispositivos de los clientes, la biometría del comportamiento del usuario y sus transacciones de pago, pueden recopilarse e incorporarse como datos adyacentes con los patrones de comportamiento habituales. Estos patrones incluyen aspectos como la forma en que un usuario teclea, pasa el dedo e interactúa con sus dispositivos. La ventaja reside en aprovecharlos para detectar inicios de sesión e intentos de transacción anómalos que, de otro modo, las soluciones de autenticación sencillas podrían pasar por alto.

Beneficios clave de la gestión de riesgos

Entre los beneficios clave de la gestión de riesgos se encuentran una mejor experiencia del consumidor, la cual es indetectable para los usuarios finales, ahorrando pasos de autenticación innecesarios o que conllevan mucho tiempo. Asimismo, una reducción del 90 % en los costos de autenticación, puesto que esta es respaldada por IA y con aprendizaje automático, no dependiendo de una costosa verificación por SMS.

También cumple con la normativa, dado que los procesos basados en reglas facilitan el cumplimiento de la legislación sobre protección de datos y banca central. Además, cuenta con un 70 % de mejor detección, siendo más potente que la detección de fraude tradicional, al detener los ataques cibernéticos como el phishing y el malware de día cero antes de que ocurran.

La prevención del fraude comienza con una autenticación segura y fácil de usar: si solo los usuarios lícitos pueden acceder a sus cuentas, los impostores no pueden causar ningún daño. Los requisitos normativos de autenticación fuerte del cliente (SCA), que exigen que los clientes confirmen su identidad mediante la autenticación multifactor (MFA) utilizando algo que tienen o conocen, impulsan a las entidades financieras a reforzar sus soluciones de autenticación, con herramientas como la RMS que blindan a las entidades financieras y a sus clientes contra estas amenazas latentes.

En conclusión, en medio de esta era digital, tanto las entidades bancarias como sus clientes se encuentran en una batalla constante contra un cúmulo de amenazas cada vez más sofisticadas en cuanto a la seguridad de sus sistemas y datos, pero la adopción de herramientas de identificación avanzadas, como la inteligencia artificial y la biometría del comportamiento, dentro de un enfoque integral de gestión de riesgos, ofrece una vía para fortalecer la seguridad y proteger los activos financieros de manera más efectiva.

Al abrazar estas tecnologías innovadoras, las instituciones financieras pueden no solo mitigar las vulnerabilidades existentes, sino también adaptarse de manera proactiva a las amenazas emergentes, brindando una mayor confianza y tranquilidad a sus clientes en un entorno cada vez más digital y conectado.

• SOS financiero: Los préstamos rápidos en línea irán al rescate
• Mujeres Hikvision busca crear una industria más incluyente que beneficie a las mujeres y a las empresas del sector
• Importancia de la Seguridad perimetral en empresas de la industria de energía 
• Thales Alenia Space proporcionará equipos de comunicación a la misión NEO Surveyor de la NASA
• Seguridad electrónica y conciencia ciudadana, dos factores clave para mejorar la experiencia y seguridad en los Sistemas de Transporte Público

__________________

SlideBox

¿Cuáles son las amenazas más comunes?

Según un informe publicado por  KuppingerCole, entre las estrategias delictivas en línea más extendidas en la actualidad, contra las que deben protegerse las entidades financieras, se encuentran:

Fraude de aproximación de cuenta (ATO, por sus siglas en inglés): Se lleva a cabo cuando los estafadores utilizan contraseñas robadas y ataques de relleno de credenciales para ejecutar transacciones no autorizadas. Otras modalidades dentro del fraude de aproximación de cuenta son los ataques de malware (man in the middle y man in the browser), así como el uso de herramientas de acceso remoto a través de troyanos o estafas de ingeniería social.

Fraude de apertura de cuentas (AO): También denominado fraude de cuentas nuevas o fraude sintético. Suele producirse como resultado del uso de identidades robadas o de conjuntos de información personal para crear identificaciones digitales sintéticas. Estas cuentas creadas fraudulentamente pueden ser más difíciles de detectar, lo que supone una ventaja para los atacantes.

Implica la recopilación de conjuntos completos o bits de IIP (Información de Identificación Personal) de personas legítimas para construir cuentas ilegítimas. Los registros educativos, financieros, gubernamentales, laborales y médicos, así como las redes sociales, pueden ser fuentes de IIP utilizadas para crear cuentas falsas, la mayoría de las veces con el objetivo de abusar de promociones y préstamos instantáneos o ser utilizadas como cuentas «mula» para mover dinero. Sin embargo, existen diversas normativas financieras que exigen la validación de los usuarios en el momento del registro con el objetivo de reducir esta práctica.