La batalla por nuestras cuentas bancarias: cómo el aprendizaje automático y la supervisión continua pueden prevenir los ataques de fraude

Greg Hancell, 25 de Junio de 2020

El premio final para los ciberdelincuentes es obtener acceso al dinero de otras personas, por lo que no es de extrañar que los ataques de apropiación de cuentas estén en aumento. En este articulo, publicado originalmente por Fraud Intelligence Greg Hancell, Gerente de Consultoría Global de Fraude en OneSpan, explica cómo los bancos pueden aplicar el monitoreo continuo y el aprendizaje automático para defenderse de los ataques de adquisición de cuentas.  

La batalla por nuestras cuentas bancarias: monitoreo continuo

El fraude de adquisición de cuentas (ATO) es una de las principales amenazas para las instituciones financieras y sus clientes. En una encuesta de la industria realizada por el Grupo Aite, el 89 por ciento de los ejecutivos de instituciones financieras señalaron fraude de adquisición de cuenta como la causa más común de pérdidas en el canal digital. Hoy en día, los ciberdelincuentes siguen centrados en ATO, fraude de cuenta nueva y fraude con tarjeta ausente. El informe de fraude de identidad de 2020 de Javelin Strategy & Research encontró que las adquisiciones de cuentas tienen la tendencia de pérdida más alta hasta la fecha, un asombroso 72 por ciento en 2019 [1], a $ 5.1 mil millones y un aumento del 120 por ciento en 2016. [2] A medida que los estafadores se vuelven más agresivos, continúan aprovechando el phishing, el spear phishing y el robo de identidad para perpetrar más fraudes de cuentas nuevas. De hecho, 1,5 millones de víctimas de fraude de cuentas existentes tenían una cuenta de intermediario abierta a su nombre, un aumento del 200 por ciento con respecto al año anterior.

Nuestras identidades digitales ya no son privadas. En 2018, aproximadamente 3.200 millones de registros de datos personales se vieron comprometidos [3]; eso es casi la mitad de la población mundial. Las filtraciones de datos actuales se publican en línea en los mercados de la web oscura, donde se obtienen muchos beneficios.

Al igual que la delincuencia callejera, que históricamente creció en relación con el crecimiento de la población, estamos presenciando una situación similar. evolución del ciberdelito con adquisición de cuenta. En el pasado, para que los delincuentes robaran dinero, debían observar el comportamiento o los hábitos diarios de una persona, tomar la billetera de alguien, navegar (es decir, espiar a un usuario para obtener un PIN o contraseña) o tal vez aplicar una táctica de robo de tarjetas. (donde se aplica un dispositivo fraudulento a un lector de tarjetas para extraer los datos del pagador). Ahora, los ciberdelincuentes son más avanzados y sofisticados. Por ejemplo, un atacante puede conectarse y obtener acceso instantáneo a miles o millones de detalles de cuentas: nombres de usuario, credenciales, direcciones de correo electrónico y números de teléfono. Además, un atacante podría realizar una campaña de phishing enviando miles de correos electrónicos que supuestamente provienen de una institución financiera. El correo electrónico contendrá malware o un enlace a una página web de phishing diseñada para hacerse pasar por el sitio web de un banco con el fin de capturar los detalles de acceso del usuario.

Desafortunadamente, muchos de estos elementos son estáticos y una vez comprometidos pueden resultar en una toma de control de la cuenta. Además, hay herramientas más avanzadas disponibles para los atacantes, como Muraena y NecroBrowser, que están diseñadas para eludir la autenticación de segundo factor mediante la realización de un secuestro de sesión. La facilidad de disponibilidad de tales herramientas y la barrera de entrada más baja significa que los estafadores tienen una variedad de armas y métodos de recopilación de datos personales para causar daños graves, lo que hace que la protección efectiva sea un desafío.

Aplicar seguimiento continuo

Una forma eficaz de reconocer y defenderse de los ataques de apropiación de cuentas es implementar monitoreo continuo en plataformas digitales.

En el pasado, generalmente autenticábamos a los usuarios durante el inicio de sesión o una transacción. Sin embargo, ahora tenemos una gran cantidad de datos porque los usuarios acceden a su cuenta a través de la web o la banca móvil, y hay eventos que se transmiten constantemente a la institución financiera a medida que el usuario avanza en su sesión. Este movimiento hacia la banca digital se presta bien para monitorear continuamente la capacidad de vigilar todos los eventos a medida que ocurren, no solo el inicio de sesión y la transacción, sino también para solicitar un saldo, crear un nuevo beneficiario, agregar un nuevo dispositivo o cambiar un habla a. Desde el momento en que un usuario llega a una página web, el monitoreo continuo permite la comprensión del comportamiento, ya que identifica su recorrido normal en línea y las interacciones con sus cuentas y dispositivos. Además, se puede crear un perfil en todos los dispositivos utilizados en una sesión en particular.

Esto se combina a la perfección con otras protecciones como Autenticación de dos factores o vinculación dinámica, porque le permite al banco utilizar el contexto de estos métodos de autenticación también. ( Vinculación dinámica , un requisito de la segunda Directiva de servicios de pago (PSD2) , asegura que haya un código de autenticación único para cada transacción que sea específico para el monto de la transacción y el destinatario). El monitoreo continuo proporciona que, a medida que se conoce el comportamiento del usuario, se puede identificar un nuevo comportamiento que podría indicar una nueva persona (es decir, un atacante) o un bot. Los indicadores típicos de ataques, como dispositivos nefastos nuevos o conocidos, cookies, encabezados, referencias, ubicaciones, bots, beneficiarios u otros, pueden monitorearse en tiempo real y distinguirse del comportamiento normal del cliente.

Este enfoque establece un perfil de riesgo continuo para la sesión, que puede cambiar con cada acción realizada por el usuario final o su dispositivo. Esto no solo permite que la institución financiera tome acciones automatizadas en tiempo real cuando se detectan anomalías, sino que también permite al banco reducir la fricción para las sesiones legítimas al disminuir la cantidad de autenticaciones requeridas para las interacciones genuinas. En última instancia, esto disminuye la propagación del ataque y las pérdidas, y mejora la experiencia del usuario.

El aprendizaje automático reduce el riesgo de fraude

El aprendizaje automático reduce el sesgo humano como la disponibilidad y la confirmación porque, a diferencia de los humanos, es capaz de ver todos los eventos y aprender de ellos, analizando grandes volúmenes de datos dispares y de alta dimensión (una combinación de muchos puntos de datos diferentes) en tiempo real.

Con el aprendizaje automático, hay dos tipos principales de algoritmos que se aplican a la detección de fraudes: supervisados y no supervisados.

Aprendizaje automático supervisado y no supervisado

El aprendizaje automático no supervisado tiende a utilizar modelos que identifican anomalías entre lo habitual y lo inusual en función de la distancia entre características (puntos de datos).

Con el aprendizaje automático supervisado, el modelo se entrena utilizando datos etiquetados (fraudulentos o genuinos) y predice la probabilidad de fraude (puntuación de fraude). Un modelo de aprendizaje automático se puede aplicar, en tiempo real, a cada evento que está ocurriendo y enviar una puntuación. Esto puede permitir que una solución, o un usuario, realice una acción basada en estos eventos.

Uno de los desafíos para una institución financiera es cómo pasar al aprendizaje automático supervisado. El conjunto de datos que tienen está desequilibrado, ya que hay una mayoría de eventos genuinos contra una minoría de fraudes. Los científicos de datos están utilizando técnicas más avanzadas, como datos sintéticos, para generar más puntos de datos y permitir el entrenamiento de un modelo supervisado. Algunas instituciones financieras se están moviendo hacia el aprendizaje automático semi-supervisado, que combina una pequeña cantidad de datos etiquetados con una gran cantidad de datos no etiquetados durante el entrenamiento. Este enfoque puede mejorar considerablemente la precisión del aprendizaje.

¿Qué es una dimensión en el aprendizaje automático?

Un modelo de aprendizaje automático funcionará con las características de los elementos de datos, como un dispositivo, la dirección IP del usuario y el proveedor de servicios de Internet del usuario. Si tomamos un dispositivo como ejemplo, las características podrían ser:

  • ¿Cómo se usa ese dispositivo?
  • ¿Qué edad tiene ese dispositivo?
  • ¿Ese dispositivo es nuevo para el usuario?
  • ¿Es nuevo para la institución financiera?
  • ¿Se comparte con otros usuarios?
  • ¿Qué parámetros de seguridad hay en ese dispositivo?
  • ¿Qué métodos biométricos y métodos de autenticación están suscritos a ese dispositivo?
  • ¿Qué método de comunicación utiliza?
  • ¿Qué modelo es?
  • ¿Qué sistema operativo?
  • ¿Se está ejecutando algo malicioso (registrador de teclas, depurador, superposición de teclado, etc.)?
  • ¿Ha cambiado algo?

Todas estas son preguntas que puede hacer solo en el dispositivo.

Las instituciones financieras que aprovechan el aprendizaje automático pueden tomar decisiones sobre eventos en tiempo real. Toman datos y hacen miles de preguntas en tiempo real. El resultado es inteligencia que luego se modela en un espacio de alta dimensión, es decir, la capacidad de modelar muchos puntos de datos diferentes, a menudo en miles de dimensiones, lo que está mucho más allá de la capacidad humana. El modelo proporciona una salida de inteligencia procesable, es decir, informa a la institución financiera de la probabilidad de que una acción sea anómala, o la probabilidad de fraude, a medida que ocurre.

Es imposible tener un experto en fraudes las 24 horas del día, los 7 días de la semana, que vea todos los eventos. Por lo tanto, el aprendizaje automático está eliminando ese sesgo de disponibilidad al que estamos sujetos como humanos. Además, puede reducir la fatiga de las alertas al presentar solo eventos y transacciones altamente inusuales a un experto en fraudes. De esta forma, el aprendizaje automático permite la toma de decisiones sobre eventos en tiempo real de forma automatizada.

El aprendizaje automático también puede tomar decisiones para otros flujos de trabajo, como qué tipo de autenticación debe aplicar una institución financiera a una transacción, según el riesgo. Esto se puede utilizar para mejorar la experiencia del cliente porque cuando las instituciones financieras pueden determinar que el riesgo es bajo, no es necesario solicitar la autenticación del usuario en ese momento. Si las instituciones financieras utilizan un monitoreo continuo, entonces, si el riesgo cambia, pueden ofrecer medidas de autenticación más sólidas. El aprendizaje automático es excepcionalmente adecuado para establecer el nivel de riesgo / fraude potencial en los canales bancarios a través de los datos de transacciones, dispositivos y usuarios. Estos puntajes de riesgo permiten cambios dinámicos en los flujos de trabajo de autenticación para igualar el nivel de riesgo. Por lo tanto, las transacciones de bajo riesgo (es decir, una verificación de saldo de un dispositivo conocido) no requerirían autenticación adicional, y las transacciones de mayor riesgo (es decir, una transferencia grande, desde un dispositivo 'liberado' en una nueva ubicación) activarían una autenticación adicional pasos. (Se ha modificado un dispositivo con jailbreak para que se puedan realizar cambios que no son compatibles con el software en su estado predeterminado).

Es probable que el fraude de adquisición de cuentas continúe creciendo, ya que es una fuente de ganancias relativamente fácil para los malos actores que continuarán explotando todas las debilidades disponibles en el sistema bancario financiero. Sin embargo, un enfoque de seguridad de varias capas puede ayudar significativamente a mitigar los ataques que conducen a la toma de control de la cuenta. La tecnología que protege al usuario, el dispositivo, la aplicación y el canal de comunicación, combinada con un motor de análisis de riesgos integral y un marco de autenticación inteligente, son esenciales para avanzar en la lucha contra el fraude por adquisición de cuentas.

Libro electrónico

Fraude de robo de cuenta: cómo proteger a sus clientes y su negocio

Evite el fraude de robo de cuenta y proteja a los clientes en cada etapa de su viaje digital.

Descargar ahora

Notas:
1. https://www.javelinstrategy.com/press-release/identity-fraud-losses-increase-15-percent-consumer-out-pocket-costs-more-double
2. www.javelinstrategy.com/press-release/identity-fraud-hits-all-time-high-167-million-us-victims-2017-according-new-javelin
3. https://securityboulevard.com/2019/09/2019-could-be-a-record-breaking-year-for-data-breaches