Mes: abril 2024

Mediante el SIM swapping los delincuentes toman el control de la tarjeta SIM de una persona sin su autorización, para usurpar su identidad y acceder a sus cuentas en línea.

El incremento de esta clase de fraude no es responsabilidad directa de los bancos. Pero sus clientes pueden verse muy perjudicados, ya que cada vez son más los que operan con sus cuentas a través de sus celulares. Al respecto basta decir que un estudio reciente realizado en siete países latinoamericanos encontró que el 88% de las personas usan sus teléfonos móviles para realizar transacciones y la mayoría (55%) prefiere usar un canal móvil para abrir una cuenta.

Frente a este panorama para las entidades financieras el gran tema es cómo reconocer el caso en que el número de celular de un cliente fue intercambiado de forma delictiva y transferido a un nuevo dispositivo, de forma tal de poder bloquear automáticamente a un cliente para que no reciba un OTP si se determina que corre riesgo de sufrir un fraude.

Medidas posibles

Obviamente en estos contextos los propios clientes bancarios también deben estar atentos y tomar sus propias precauciones, y es importante que se genere conciencia al respecto. En tal sentido es fundamental que mantengan la información personal segura y tengan cuidado con las llamadas o mensajes sospechosos que soliciten datos personales o cambios en la cuenta telefónica.

Pero, por otro lado, para detener esta amenaza las entidades financieras deberían implementar controles de intercambio de SIM en todos los servicios que generan un OTP para autorizar transacciones. Es decir: los bancos pueden implementar controles de seguridad antes de enviar un OTP al número de teléfono de una persona; para ello pueden aprovechar los datos móviles disponibles, como el historial de intercambio de SIM de un número de teléfono, detectar intercambios de SIM y generar señales de alerta.

El rol de los Operadores Celulares

El punto es que los datos antedichos pertenecen a los operadores de telefonía móvil. Por lo tanto, para concretar estos controles, las entidades financieras tendrán que generar alianzas con los operadores de telefonía móvil. Al acceder a esa información los bancos luego podrán recurrir a herramientas de detección de fraude que les permitan analizar los datos históricos de la red móvil de los clientes, lo que a su vez les ayudará a verificar la autenticidad de las transacciones y comunicaciones.

De hecho, los operadores telefónicos ya vienen realizando acciones para prevenir y combatir el SIM swapping. Entre otras cosas lanzaron diferentes normas y procedimientos dirigidos a procesar y proveer a empresas homologadas la información crítica sobre el comportamiento de sus usuarios, que puede servir para evitar estos fraudes.

Desde Plusmobile trabajamos en alianza con estos operadores y podemos ayudar a los bancos con nuestra solución API Mobile Verify, que permite saber si hubo un cambio del chip SIM en los últimos 90 días e informa la fecha en que sucedió. Además, permite saber si hubo un cambio de un operador a otro, y la fecha de activación en el operador celular actual. Al mismo tiempo estamos avanzando con un desarrollo más integral de verificación de identidad (mobile identity) que chequea que el celular sea utilizado por la persona dueña de la línea sin duplicaciones. Estas soluciones están orientadas al mercado bancario y fintech y ayudan a resguardar la seguridad de las cuentas de los clientes de las entidades financieras.

 

 

Lejos de entrar en pánico, es necesario conocer estas amenazas y diseñar estrategias de mitigación. Lo peor que puede hacerse es convertir a este tema en un tabú. Además, actualmente existen tecnologías avanzadas que colaboran en la detección, como la inteligencia artificial (IA), el aprendizaje automático (ML), la biometría y el análisis del comportamiento que se combinan para detectar patrones y actividades inusuales que podrían indicar fraude.

Hay amenazas como el phishing y los robos de identidad que son bastante conocidas y suelen presentarse con frecuencia en este campo, al igual que en el sistema financiero en general. Pero las fintech están sujetas a otros tipos de fraudes más específicos que es necesario comprender para poder prevenir.

Por ejemplo, el fraude de billetera móvil busca atacar plataformas de e-wallets para obtener acceso no autorizado, realizar transacciones falsas o explotar debilidades en la seguridad. Para prevenirlo las fintech deben implementar sistemas de autenticación biométrica, cifrado y detección de fraude; y los usuarios también deben tener cuidado con los enlaces que reciben, las aplicaciones que descargan y la información que comparten.

En el universo fintech también es frecuente el fraude de identidad sintético, que implica la combinación de datos personales reales con otros fraudulentos para crear una identidad “sintética” que luego se utiliza para establecer perfiles crediticios, abrir cuentas y participar en actividades financieras. Para prevenir esta clase de amenaza hay que proteger los datos personales y financieros contra el robo de identidad y verificar las identidades de nuevos clientes a través de diversas fuentes. Para detectar identidades sintéticas también puede usarse análisis y aprendizaje automático.

Accesos no autorizados

Otro tipo de fraude común en el universo fintech es la adquisición de cuenta, que implica el acceso no autorizado mediante credenciales robadas a través de violaciones de datos o ataques de phishing. Los delincuentes manipulan la configuración de la cuenta, inician transacciones no autorizadas y explotan los servicios financieros asociados. Se puede mitigar con renovación periódica de contraseñas y autenticación multifactor, habilitando alertas para actividades anómalas; también se debe verificar cada tanto la configuración de la cuenta.

El fraude de pagos es otra clase de amenaza que implica desvíos de fondos de usuarios (obviamente no autorizados) o manipulación de pagos. Para evitarlo hay que cifrar los canales de pago, contar con protocolos de verificación sólidos y recurrir a la autenticación multifactor; además se deben monitorear las transacciones para descubrir actividades inusuales. Para detectar esta amenaza y responder velozmente hoy también se tiende a usar inteligencia artificial.

Actitud proactiva

Las estadísticas actuales muestran que las fintech experimentan una tasa de fraude promedio del 0,30% (el doble que la de tarjetas de crédito, y el triple que la de débito). Y un estudio indica que los tipos de fraude que se encuentran con mayor frecuencia en el universo fintech son dos: el fraude de primera parte (58%), que es perpetrado por un titular de cuenta en su propio nombre y sin robo o tergiversación de identidad; y el robo de identidad (58%); luego siguen el fraude de pagos (50%), la apropiación de cuentas o relleno de credenciales (41%) y el fraude de identidad sintética (30%).

Frente a este escenario resulta imperioso que las fintech atiendan a las mejores prácticas y realicen esfuerzos de monitoreo continuo, además de cumplir con las normas AML / KYC y diseñar procesos de incorporación estrictos. Desde Plusmobile colaboramos con las firmas del sector ofreciendo distintas soluciones que refuerzan la seguridad en los procesos de comunicación omnicanal con sus clientes.

 

 

Un estudio de 2023 indica que las estafas de phishing representaban casi el 36% de todas las filtraciones de datos. Y según otra investigación, el 71% de todas las empresas experimentaron un ataque de phishing exitoso en ese mismo año.

Estos indicadores demuestran que el phising continúa siendo una de las principales herramientas que utilizan los atacantes para acceder de forma no autorizada a las infraestructuras informáticas y a los datos críticos de las personas y las empresas.

Por ejemplo en 2023 según un relevamiento el 43% de todos los ataques exitosos orientados a organizaciones emplearon ingeniería social, y el 79% de ellos se canalizaron a través de correo electrónico, SMS, redes sociales y aplicaciones de mensajería.

Este tipo de ataques no solo generan daños a la reputación de las organizaciones, sino que también pueden causar importantes pérdidas económicas derivadas del robo de información y datos confidenciales.

Actualmente los tres objetivos principales de los ataques de phishing incluyen:

• Recolección de contraseñas.
• Ataques telefónicos (buscan manipular a las víctimas para que llamen a un número de teléfono específico).
• Estafas: los mensajes imitan a alguien que la víctima conoce, o en quien confía, para que realice acciones sin necesidad de enlaces o archivos adjuntos maliciosos.

No obstante lo antedicho, según un estudio en el 50% de los casos los enlaces de phishing todavía suelen conducir a páginas falsas para la introducción de datos. Y el correo electrónico sigue siendo el canal más común para enviar mensajes maliciosos (92% de los casos), aunque las aplicaciones de mensajería y las redes sociales se usan cada vez más para canalizar estos ataques.

Nuevas modalidades

El phishing fue evolucionado desde simples estafas por correo electrónico hasta métodos sofisticados que involucran inteligencia artificial (IA), redes sociales y plataformas móviles.

Las nuevas versiones buscan explotar la psicología y la confianza humanas. De esta manera fueron surgiendo modalidades como el spear phishing, en la que los atacantes emplean meticulosas técnicas de investigación para recopilar información sobre sus objetivos y crean correos electrónicos altamente sofisticados y personalizados. Otra clase de phishing novedosa es la “caza de ballenas”, que se dirige a ejecutivos de alto nivel y está diseñado “para explotar la autoridad y el acceso y los privilegios que poseen estos individuos”; en estas estafas los atacantes pueden hacerse pasar por colegas, socios comerciales o autoridades reguladoras.

En paralelo surgieron otras modalidades como el phishing móvil, por SMS (smishing) y de voz (vishing); también apareció el phishing a través de motores de búsqueda y en redes sociales.

Otra tendencia cada vez más vista es que los ciberdelincuentes crean correos electrónicos y mensajes engañosos que imitan comunicaciones legítimas de proveedores de servicios en la nube. E incluso empezaron a aparecer casos de phishing en Internet de las cosas (IoT), aprovechando que estos dispositivos suelen carecer de funciones de seguridad sólidas.

Panorama actual y futuro

Actualmente en los mercados oscuros se venden cada vez más kits de phishing ya listos para preparar y ejecutar ataques de esta naturaleza.  Y también avanza el modelo el phishing como un servicio subcontratado.

Algunos analistas entienden que la dirección principal de la evolución del phishing es la automatización de la preparación y ejecución de ataques utilizando herramientas de inteligencia artificial (por ejemplo para mantener diálogos relevantes con sus objetivos, generar mensajes de phishing convincentes y crear falsificaciones de voces, imágenes y videos”.

El uso de inteligencia artificial (IA) en las estafas de phishing está en auge y permite a los delincuentes analizar grandes volúmenes de datos y obtener información sobre los estilos y preferencias de comunicación personal. De esta forma elaboran mensajes súper personalizados que parecen muy realistas. Al mismo tiempo los atacantes utilizan cada vez más la tecnología deepfake para crean audios y videos falsos y convincentes y hacerse pasar por personas de confianza.

Desde Plusmobile instamos a las organizaciones a permanecer alertas a este tipo de amenazas y a concientizar al personal sobre las nuevas formas que están adoptando estos ciberataques.