Cómo proteger la banca móvil con seguridad de aplicaciones avanzada

Ralitsa Miteva, 20 de Mayo de 2021

Regularmente organizamos webcasts sobre temas como la transformación digital, la prevención del fraude y las mejores prácticas de seguridad móvil. Si se perdió nuestro reciente webcast, Cómo proteger la banca móvil con seguridad de aplicaciones avanzada , aquí está el resumen de 10 minutos. La presentación completa está disponible por encargo.

El uso de la banca móvil sigue aumentando como resultado de la pandemia de COVID-19. En línea con esta tendencia, los casos de fraude en banca móvil también han crecido durante el último año. 2020 marcó un aumento masivo en la cantidad de registros de identidad comprometidos, así como un aumento en sofisticados ataques de fraude móvil y el aumento del crimen como servicio.

Si bien fue un año récord de fraude financiero, también vale la pena señalar que de los 4.600 millones de usuarios activos de Internet en todo el mundo, el 91% son usuarios de Internet móvil. 1 . Desde los mercados emergentes hasta los países desarrollados, el móvil se encuentra entre los canales bancarios más populares, incluso en comparación con la banca en línea. Según Forrester, “en América del Norte y Europa, alrededor de la mitad de los adultos en línea informan que usan su teléfono inteligente para realizar sus operaciones bancarias al menos semanalmente; y para los adultos en línea de Australia, China e India, la aplicación móvil es su canal bancario preferido ". 2

Claramente, los dispositivos móviles son un punto final crítico que las instituciones financieras deben proteger. En nuestro último seminario web, Cómo proteger la banca móvil con seguridad de aplicaciones avanzada , mi colega Greg Hancell y yo hablamos sobre el impacto de las amenazas móviles progresivas y cómo la seguridad avanzada protege a los usuarios de teléfonos móviles. Estos son los aspectos más destacados.

Amenazas comunes de la banca móvil

Los proveedores de servicios financieros y sus clientes han sido víctimas del aumento constante de delitos digitales y registros de identidad comprometidos durante el año pasado. A nivel mundial, unos 37 mil millones de registros se vieron comprometidos 4 , que representa alrededor del 10% de la población mundial en línea. Esto tiene un impacto directo en los delitos financieros y proporciona a los delincuentes la materia prima para perpetrar una cantidad asombrosa de fraude, desde la toma de cuenta hasta el fraude de identidad sintético. Según un informe de la Aite Group, US Identity Theft: The Stark Reality , el robo de identidad ha aumentado en un 42% desde el comienzo de la pandemia. La incorporación virtual de clientes ha provocado un aumento en el fraude de aplicaciones, en el que los delincuentes abren nuevas cuentas bancarias de forma remota con identificación falsa o robada.

A esto se suma el descubrimiento de diciembre de 2020 de un granja de emulador malvado demostró que los estafadores móviles ahora pueden automatizar sus procesos, recolectar fácilmente identificadores de dispositivos móviles, falsificar ubicaciones GPS e interceptar mensajes SMS para evitar la autenticación estática. Al lograr niveles imprevistos de escala y velocidad de operación, los ciberdelincuentes emularon con éxito a usuarios desprevenidos y dispositivos móviles para drenar millones de cuentas bancarias en línea en un tiempo récord.

Los intercambios de SIM, que combinan elementos de robo de identidad y toma de control de cuentas, también han resurgido. A medida que los pagos móviles se vuelven más populares, el uso de la banca móvil ha brindado una oportunidad para más ataques de intercambio de SIM. En un ataque de intercambio de SIM, un perpetrador utiliza la información personal robada de una víctima para que los operadores móviles activen el número de la víctima en una nueva tarjeta SIM. Los delincuentes utilizan información de SMS o contraseñas de un solo uso (OTP) para acceder a cuentas bancarias y robar fondos. Muchas víctimas de estafas de secuestro de SIM han visto cómo las cuentas en línea vinculaban su número de teléfono. Las cuentas de redes sociales como Facebook o Linkedin son un ejemplo, ya que brindan acceso a información confidencial como la fecha de nacimiento, que los ciberdelincuentes pueden usar para alimentar sus ataques de intercambio de SIM (también pueden usar datos de cuentas sociales para facilitar el acceso bancario clásico apropiación de cuenta y robo de identidad). El reciente Facebook y Linkedin las violaciones de datos son ejemplos oportunos.

Una de las tácticas más antiguas y, sin embargo, de mayor éxito es el phishing. Después de tantos años, existe la percepción de que nadie podría caer en estas estafas. Pero una y otra vez, desde llamadas telefónicas hasta correos electrónicos inteligentemente diseñados, los atacantes engañan a las víctimas para que entreguen sus credenciales. 2020 no fue diferente. De hecho, Covid-19 creó aún más oportunidades de phishing y smishing en 2020 en comparación con 2019, aprovechando el mayor enfoque en el tema.

Los ataques de smishing también son rampantes debido al mayor uso de dispositivos móviles. Estos ataques suelen parecerse a las solicitudes de autenticación por SMS de los bancos o una alerta de que ha habido una actividad sospechosa en la cuenta de la víctima. El problema es que pueden parecer legítimos para el usuario desprevenido, pero incluyen enlaces que descargan malware diseñado para robar información de los teléfonos inteligentes.

Estrategias de prevención y detección de fraudes móviles

En este contexto, ¿qué pueden hacer las instituciones financieras para proteger a sus clientes?

  • Primero, las credenciales estáticas (nombre de usuario / contraseña) nunca deben usarse para la autenticación. Tampoco para el registro de dispositivos; aprovisionamiento o activación de un token de autenticación; acceso; autorización de transacciones; creación de beneficiario / beneficiario; o cualquier otro proceso que requiera autenticación. Al modernizar su marco de autenticación, las instituciones financieras pueden ir un paso por delante de los ataques.
  • En segundo lugar, utilice el blindaje de la aplicación móvil para proteger la seguridad del código fuente de la aplicación móvil. Esto requiere una protección de la aplicación que funcione desde dentro de la aplicación. Esta tecnología se llama protección de aplicaciones. Los atacantes suelen buscar oportunidades de ataque en dos lados: el lado del cliente y el back-end del banco (también conocido como el lado del servidor). Los bancos tienen mucho más control sobre el back-end y pueden garantizar de manera más efectiva que su infraestructura cumpla con los estándares de seguridad. Las aplicaciones de banca móvil, sin embargo, residen en los dispositivos de los clientes, que es un entorno fuera del control del banco. Y a pesar de los esfuerzos por asegurar la plataforma, los usuarios se convierten en el eslabón débil. Después de todo, algunos usuarios participarán en actividades riesgosas que incluyen:

    una. Hacer jailbreak o rootear sus dispositivos para descargar aplicaciones gratuitas (y no siempre descargarlas de las tiendas de aplicaciones oficiales)
    B. Conectarse a puntos de acceso o redes wifi públicos independientemente de su confiabilidad
    C. Posponer actualizaciones de seguridad críticas para su sistema operativo
  • En tercer lugar, implemente una estrategia de ciberseguridad de varios niveles. Hay capas adicionales de seguridad que fortalecerán sus defensas. Esto incluye aprovisionamiento seguro, comunicación de canal seguro, análisis de riesgos del lado del cliente y del servidor, y monitoreo continuo de sesiones con evaluación de riesgos y aprendizaje automático.
  • En cuarto lugar, las organizaciones financieras disponen de una gran cantidad de datos móviles para combatir el mayor número de ataques cibernéticos. La información del comportamiento de los usuarios, así como los datos sobre su teléfono (por ejemplo, si ha sido liberado, contiene malware o indicadores de cualquier otro riesgo de seguridad, cuál es la versión del sistema operativo, ubicación geográfica, etc.) se pueden utilizar para predecir y detectar fraude financiero en tiempo real.

Por qué los datos son importantes para la seguridad de la banca móvil

Las tendencias de fraude han dejado en claro que confiar en un nombre de usuario y una contraseña al iniciar sesión ya no es suficiente para protegerse contra actividades fraudulentas. Sin embargo, cuando alguien accede o intenta acceder a una cuenta, hay una gran cantidad de datos que se pueden utilizar para determinar si se trata de un cliente legítimo o no y si la transacción solicitada es legítima o no. Esto incluye:

  • Datos del usuario: El tipo de método de autenticación utilizado para iniciar sesión; perfil de comportamiento; etc.
  • Datos del dispositivo: El tipo de teléfono móvil que están usando; si el dispositivo se ha registrado en el banco; estado de jailbreak / root; etc.
  • Datos de aplicación: Version de aplicacion; idioma; etc.
  • Datos de salud del dispositivo: Detección de captura de pantalla; alerta de inyección de código; alerta de superposición; etc.

Los proveedores de servicios financieros tienen los datos, pero es posible que no los recopilen ni los analicen. De hecho, los dispositivos móviles son la puerta de entrada a una enorme cantidad de datos, pero el 60% de los asistentes a los seminarios web indicaron que no tenían suficiente información sobre el comportamiento y los dispositivos de los usuarios. Responder a estas preguntas requiere que los bancos, las cooperativas de crédito y otras instituciones financieras solución de prevención de fraude basada en riesgos analizar big data para comprender las acciones y los atributos del viaje de un usuario e identificar indicadores de fraude.

encuesta de comportamiento de los usuarios

Sería imposible que los analistas de fraude o los científicos de datos procesen estos volúmenes de datos manualmente. A diferencia de los humanos, el aprendizaje automático posee la poderosa capacidad de comprender cantidades masivas de datos, analizar a escala y dentro del contexto, y asignar una puntuación de riesgo en tiempo real.

Esta tecnología permite que un sistema de prevención de fraude basado en el riesgo aplique el nivel preciso de seguridad, en el momento adecuado, a través de la autenticación intensiva. El aprendizaje automático es la única forma de luchar eficazmente contra los ataques de fraude que están aumentando en escala y complejidad.

La ingesta y el análisis de todos los datos disponibles requiere un sistema de prevención de fraudes basado en el aprendizaje automático. La autenticación multifactor (MFA), además de la prevención del fraude basada en el aprendizaje automático, puede hacer que la comisión de delitos cibernéticos sea mucho más difícil para los estafadores. Estos métodos permiten que el sistema detecte casos de fraude y los detenga en tiempo real antes de que se produzcan muchos daños. Cuando las instituciones financieras hacen esto bien, no solo aumenta la seguridad y la confianza digital, sino que también reduce la fricción en la experiencia de sus clientes.

Resumen: medidas de seguridad para hacer que la banca móvil sea más segura

La rápida evolución de los servicios de banca móvil significa que los bancos todavía están aprendiendo a lidiar con las amenazas digitales. En resumen, estos son algunos de los pasos clave que las instituciones financieras pueden tomar para ayudar a proteger a los clientes y mitigar el fraude:

  1. Asegúrese de que sus aplicaciones bancarias estén bien protegidas . Aplique protección de aplicaciones para proteger sus aplicaciones de banca móvil, ya que no puede controlar el entorno en el que operan.
  2. Proporcione a sus clientes una autenticación segura y conveniente. Utilice la autenticación multifactor (también conocida como MFA o autenticación fuerte del cliente ). Depender de un nombre de usuario y una contraseña en la etapa de inicio de sesión ya no es suficiente para protegerse contra actividades fraudulentas.

    Además, reemplace SMS OTP con una alternativa más segura. Si bien la entrega de códigos de autenticación únicos mediante mensajes de texto se considera un medio simple y conveniente para comunicarse con el cliente final, los expertos en seguridad han estado advirtiendo sobre las vulnerabilidades de los SMS como método para autenticar las acciones del usuario (inicios de sesión, transacciones financieras, perfil cambios, registro / reactivación de la aplicación de banca móvil, etc.). De hecho, la Autoridad Bancaria Europea (ABE) confirmó recientemente que SMS OTP no cumple con los requisitos PSD2 SCA para enlaces dinámicos. Existen múltiples alternativas a SMS OTP, que incluyen:

    una. Notificaciones push enviadas directamente desde una aplicación de banca móvil
    B. Códigos de acceso de un solo uso generados por una aplicación de autenticación móvil independiente
    C. Biometría
    D. Firma de transacciones fuera de banda utilizando tecnología como Cronto de OneSpan
  3. Establezca un canal seguro entre su cliente y el servidor bancario. Esto evita que los datos se vean comprometidos y permite crear un perfil de dispositivo móvil confiable en el servidor. Esto hace la vida mucho más difícil para los atacantes. Tecnología como Cronto de OneSpan poder ayudar.
  4. Implemente una solución de evaluación de riesgos. Analizar el comportamiento de los usuarios y los datos recopilados de sus canales de banca digital puede ayudar a facilitar una mejor mitigación del riesgo de los dispositivos.Al calificar continuamente el dispositivo con cada acción del usuario, podemos evaluar el nivel de confianza que se le asigna en tiempo real.También se puede utilizar un dispositivo confiable como método de autenticación seguro para la banca omnicanal.
  5. Equilibrar la experiencia del usuario y la seguridad . La autenticación adaptativa es la mejor manera de hacerlo. Pero para ajustar el nivel de autenticación a cada transacción individual, necesita un sistema de prevención de fraude basado en el riesgo. El concepto subyacente es simple: al adaptar la autenticación al nivel de riesgo en una transacción o interacción, una institución financiera puede asegurar y facilitar la experiencia del cliente.

Conclusiones clave

El uso de aplicaciones de banca móvil se ha acelerado debido a la pandemia. Como resultado, la banca móvil se ha convertido en un objetivo frecuente de ciberataques. Las instituciones financieras deben tomar medidas para mitigar estos ataques, incluida la implementación de soluciones de evaluación de riesgos.

Soluciones como Análisis de riesgo de One Span El sistema de prevención de fraude utiliza el aprendizaje automático para analizar los datos de los clientes para identificar la actividad delictiva en tiempo real. A medida que la actividad fraudulenta se vuelve cada vez más sofisticada, las empresas deben mirar hacia autenticación multifactor y protección contra fraudes basada en aprendizaje automático como una solución muy eficaz para proteger a los clientes de banca móvil.

Blindaje de Aplicaciones Móviles
White Paper

Protección de aplicaciones móviles: cómo reducir el fraude, ahorrar dinero y proteger los ingresos

Descubra cómo el blindaje de aplicaciones con protección en tiempo de ejecución es clave para desarrollar una aplicación de banca móvil segura y resistente.

Descargar ahora

1. https://www.statista.com/statistics/617136/digital-populationworldwide/#:~:text=Cómo%20 muchos%20 personas%20 usar%20 la la%20 Internet%20 vía%20 móvil%20 dispositivos
2. The Forrester Digital Experience Review ™: Resumen global de aplicaciones de banca móvil, 2020
3. https://www.iii.org/fact-statistic/facts-statistics-identity-theft-and-cybercrime#:~:text=There%20 fueron%204 .8%20 millón%20 identidad, arriba%20 de%20651%2 C000%20 en%202019
4. https://www.paymentscardsandmobile.com/140-yoy-growth-37-billion-data-breach-records-leaked-in-2020/

Ralitsa Miteva es gerente de soluciones de prevención y detección de fraude en OneSpan, donde asesora a instituciones financieras y otras organizaciones sobre el panorama del fraude en evolución y las ayuda a superar los nuevos desafíos de prevención durante su transformación digital.