Video

Por qué los ataques de adquisición de cuentas son la mayor amenaza de los bancos

Greg Hancell, experto en fraudes de OneSpan, habla con Finextra TV sobre cómo los bancos pueden prevenir el fraude de adquisición de cuentas

Este recurso solo está disponible en inglés

Greg Hancell, gerente de consultoría global de OneSpan, habla con Finextra TV sobre por qué los ataques de adquisición de cuentas son uno de los mayores desafíos que enfrentan las instituciones financieras y cómo pueden mejorar en la detección y mitigación de este tipo de ataques.

Vea la entrevista completa o lea la transcripción a continuación.  

Hannah Wallace: Hola Greg, muchas gracias por acompañarnos hoy.

Greg Hancell: Gracias Hannah, es un placer estar aquí.

Hannah ¿Cuáles son algunos de los principales desafíos que enfrentan las instituciones financieras en relación con el fraude?

Greg: El principal desafío que creo que tenemos es el fraude de adquisición de cuentas. La razón de esto es que en realidad está aumentando año tras año. De 2017 a 2018, ha habido un aumento del 162%, según nuevos datos, y esperamos que vuelva a aumentar.

Usted podría preguntar, ¿por qué está aumentando tanto? En el pasado, si deseaba obtener o robar maliciosamente los detalles de alguien, podría tener que realizar tareas manuales como reconocimiento, pararse en la calle o robar su billetera. Sería una tarea muy manual y llevaría bastante tiempo. Mientras que ahora, podría realizar un ataque de phishing mediante el cual enviaría un correo electrónico o incluiría un malware que podría infectar su dispositivo y obtener los datos. Si se trata de un ataque de phishing, pueden hacer clic en un enlace y proporcionar su identidad y sus credenciales. La toma de control de la cuenta está aumentando porque la forma en que los actores maliciosos pueden llegar a la información personal es mucho más rápida ahora y la forma en que pueden usar esos datos también se puede automatizar.

El año pasado y el año anterior, aproximadamente 3.200 millones de registros de datos personales se vieron comprometidos. Nuestra identidad no es nuestra y hay actores maliciosos que ejecutan el crimen como un servicio y venden identidades en línea. Si eres un atacante, puedes obtener fácilmente información personal y luego realizar un ataque de adquisición de cuenta.

La toma de control de la cuenta no se detiene allí. Si pensamos en cómo se puede propagar, si usted es un cliente, la adquisición de la cuenta podría dar lugar a la creación de un nuevo beneficiario, o la solicitud de un nuevo producto, o podría haber una adquisición de cuenta completa donde realmente eliminarían su dispositivo y bloquearlo y / o comprometer potencialmente su dirección de correo electrónico de recuperación y los números de teléfono. Las instituciones financieras deben pensar no solo en el riesgo de que se tomen los datos de un cliente (su nombre de usuario y su contraseña), sino también en el proceso de recuperación que también se utiliza. Para mí, el robo de cuenta es un problema importante para las instituciones financieras.

Hannah ¿Cómo están mejorando las instituciones financieras para detectar y mitigar los ataques de fraude de adquisición de cuentas?

Greg: Creo que debemos reflexionar y pensar sobre lo que es la confianza, y cómo piensan las instituciones financieras sobre los usuarios, sus datos y sus dispositivos. Lo que debemos tener en cuenta es que la confianza no es estática, es dinámica. Cambia constantemente.

En el pasado, la forma en que autenticaríamos a los usuarios podría ser durante el inicio de sesión o una transacción. Mientras que ahora, tenemos una gran cantidad de datos porque los usuarios acceden a su cuenta a través de la web o la banca móvil, y hay eventos que se transmiten constantemente a las instituciones financieras a medida que el usuario avanza en su viaje de usuario. Este movimiento hacia la banca digital se presta bien para el monitoreo continuo, la capacidad de monitorear todos los eventos que están ocurriendo, no solo el inicio de sesión y la transacción, sino también solicitar un saldo o crear un nuevo beneficiario y / o crear un usuario o Cambio de usuarios.

También tenemos que pensar en la sesión también, porque podría no ser solo un dispositivo que se usa para iniciar sesión y autenticarse. Un usuario puede iniciar sesión desde un dispositivo web y luego autenticarse desde un dispositivo móvil. El riesgo en ambos dispositivos es diferente, sin embargo, la sesión es la misma, por lo que debe unificarse y algo debe determinar cómo el riesgo para ambos dispositivos y cómo se correlaciona con ese comportamiento.

El comportamiento es un gran punto y se presta al aprendizaje automático. Las instituciones financieras deben poder responder:

  • ¿Cuál es el comportamiento normal del usuario?
  • ¿Cómo interactúan con los dispositivos en términos de mecanografía, deslizar, arrastrar, acelerar a través de las páginas?
  • ¿Cómo interactúan con las sesiones?
  • ¿Cuándo establecen una sesión web o una sesión de banca móvil?
  • ¿Cómo se mueven a través de estas páginas?
  • ¿Qué páginas visita? ¿En qué órden?

Al hacer estas preguntas, el aprendizaje automático puede perfilar la velocidad de un usuario y su comportamiento y luego contrastarlo muy rápidamente con un bot, por ejemplo. El aprendizaje automático también puede perfilar el comportamiento en términos de gasto.

Este es un gran desafío para los bancos. Por lo general, tienen muchas soluciones de fraude, pero tienen una brecha en términos de riesgo de productos en la banca digital y la banca móvil. Muchas instituciones financieras ahora buscan aportar una solución que realice un monitoreo continuo en sus sesiones web, pero también hay una escasez de expertos a nivel mundial. Creo que se estima que para 2021 habrá una escasez de 1,1 millones de expertos en delitos cibernéticos financieros. Las instituciones financieras están pasando por un proceso de conocimiento en el que están obteniendo información sobre indicadores de compromiso en las sesiones web, así como también una evolución del proceso.

Hannah ¿Cómo abordan los reguladores estos problemas?

Greg: Los reguladores realmente han estado presentes estos últimos años. Lo vemos principalmente con la Directiva de servicios de pago 2 (PSD2) y GDPR. Con la Directiva de servicios de pago 2, lo que están haciendo los reguladores es realmente desafiante: ¿qué es una autenticación de cliente sólida? Un usuario que se autentica con una contraseña de un solo uso, en mi opinión, no es necesariamente suficiente. La Directiva de servicios de pago 2 también hace referencia a esto y explica que debe existir la capacidad de vincularse dinámicamente. Eso trae en contexto. Las instituciones financieras deben preguntar:

  • ¿Por qué alguien se autentica?
  • ¿En qué se están autenticando?

La firma o la contraseña de un solo uso se pueden derivar según el contexto (por ejemplo, el beneficiario, los montos y la fecha). Al utilizar este método, los usuarios no están simplemente ingresando una contraseña de un solo uso que desconocen. Se deriva de sus datos, por lo que tienen contexto y también la institución financiera también tiene contexto.

Además de eso, también existe el requisito de aplicar la identificación de malware en el proceso de autenticación. Entonces, los bancos o las instituciones financieras están buscando identificar malware, y eso es todo un desafío. Si pensamos en los ataques de phishing, los ataques de phishing son relativamente fáciles de identificar porque el usuario final no tiene una sesión con el banco. En un escenario de malware, en realidad, se está utilizando el dispositivo del usuario final. Entonces, en ese sentido, los reguladores están impulsando otra innovación hacia el aprendizaje automático porque, en última instancia, las reglas no identificarán el malware. Por lo tanto, en realidad, necesita tomar muchos puntos de datos, perfil y comprender:

  • ¿Es un usuario?
  • ¿Es un bot que interactúa en esa sesión y en ese dispositivo?
  • ¿A qué velocidad están?
  • ¿Hay otros indicadores de compromiso que puedan identificarse?

GDPR también está cambiando la forma en que pensamos sobre la privacidad y los datos. En el pasado, diríamos que la PII sería algo relacionado conmigo como persona, pero la realidad ahora es que debido a la capacidad de identificar a las personas desde sus dispositivos y desde sus ubicaciones, los datos de dispositivos y ubicaciones ahora están siendo desafiados y clasificados como PII también. Esto influye en cómo puede recopilar información alrededor del dispositivo, cómo puede recopilar información sobre la IP y cómo eso puede relacionarse con el usuario. En última instancia, esto está impulsando un cambio de seguridad en lo que las aplicaciones están haciendo con esos datos. Las aplicaciones ahora están aplicando el cifrado de manera correcta, cifrando sus bases de datos y asegurando que este tipo de datos no se pueda obtener, oler o recibir en el medio. Entonces sí, creo que los reguladores también están teniendo un gran impacto en la prevención del fraude en la toma de cuenta.