La prevención del fraude es una de las principales preocupaciones de todas las instituciones financieras. Los bancos, en specific, deben garantizar que solo el titular legítimo de la cuenta acceda a ella y que no se realicen pagos incorrectos. Esto implica abordar cuestiones como el robo de identidad, los pagos mal dirigidos accidentalmente y el fraude mediante pagos push autorizados (APP). Si bien hace unos años esto se limitaba a implementar métodos de autenticación más complejos, hoy los bancos utilizan una multitud de técnicas para proteger a sus clientes. Esto es especialmente importante ya que los bancos intentan evitar que el aumento de la seguridad afecte a la experiencia del usuario y genere más preguntas y quejas de los clientes al servicio de atención al cliente del banco. Cada vez más, la protección contra el fraude se considera un diferenciador competitivo, en lugar de un costo necesario.
Exploremos en detalle las diferentes técnicas implementadas por los bancos modernos.
Cómo garantizar que la persona adecuada acceda a la cuenta
Este es el primer paso para evitar el fraude. Lamentablemente, es más fácil decirlo que hacerlo, especialmente porque los clientes no suelen ser muy conscientes de la seguridad. Crean riesgos de seguridad al usar la misma contraseña en todas partes, no proteger lo suficiente las cuentas de correo electrónico que utilizan para restablecer contraseñas, no proteger sus teléfonos, hacer clic en enlaces maliciosos, compartir credenciales secretas y compartir demasiados datos personales en las redes sociales, lo que permite una ingeniería social avanzada. Al mismo tiempo, los clientes a menudo se quejan de las restricciones de uso debido a las medidas de seguridad y pueden abandonar el banco por ello.
Por lo tanto, los bancos deben ser muy creativos con la autenticación, tratando de minimizar el impacto en la usabilidad y al mismo tiempo garantizar la seguridad suficiente. Además, deben educar a sus clientes sobre ciertos riesgos de seguridad.
Autenticación multifactor: uno de los principales métodos para proteger las cuentas de usuario es la autenticación multifactor (MFA). Este enfoque requiere que los usuarios proporcionen múltiples formas de verificación antes de obtener acceso a sus cuentas. La MFA puede incluir:
Códigos PIN y contraseñas
Códigos de un solo uso enviados por correo electrónico, SMS o aplicaciones de autenticación
Autenticación biométrica, como reconocimiento facial y de huellas dactilares
…
Autenticación basada en riesgos: la autenticación basada en riesgos (RBA) lleva la seguridad un paso más allá al monitorear el comportamiento del usuario para detectar posibles anomalías. En función de esto, se puede reducir la autenticación (por ejemplo, para algunas acciones solo podría bastar un código PIN), mientras que para otras, se pueden aplicar métodos de autenticación adicionales. Este método aprovecha la inteligencia synthetic (IA) para analizar patrones que no se pueden capturar fácilmente con los conjuntos de reglas tradicionales.
RBA analiza varios factores para identificar de manera eficaz comportamientos sospechosos y evitar accesos no autorizados. Estos factores pueden incluir:
Geolocalización
Tipo y secuencia de acciones anteriores ejecutadas
Próxima acción solicitada (por ejemplo, una consulta no necesita el mismo nivel de seguridad que iniciar un pago de alto valor)
Movimientos del ratón, patrones de pulsaciones de teclas e incluso cómo el cliente sostiene su dispositivo móvil
Modelo y versión del navegador
Dirección IP y sistema operativo
Dispositivo de {hardware}
…
Para obtener más información, consulte mi weblog anterior: “Autenticación multifactor y detección de fraude de identidad en la industria de servicios financieros” (https://bankloch.blogspot.com/2020/02/multi-factor-authentication-and.html).
Prevención de pagos incorrectos
Prevenir el acceso no autorizado a las cuentas bancarias no es suficiente para protegerse contra el fraude. Numerosos casos de fraude también implican que las víctimas son manipuladas para que realicen pagos a los estafadores, generalmente mediante ataques de ingeniería social que implican suplantación de identidad.
Algunos ejemplos son:
Fraude del CEO, donde los delincuentes se hacen pasar por el CEO (u otro ejecutivo de alto rango) de una empresa y piden urgentemente a un empleado que transfiera dinero.
Fraude de facturas, donde las facturas reales se reemplazan por otras fraudulentas que contienen diferentes números de cuentas bancarias o códigos QR falsos, lo que resulta en pagos a otra cuenta.
Este tipo de fraude sigue siendo ordinary, ya que muchos bancos no protegen bien a sus clientes frente a estos ataques. Cada vez más, los reguladores y los gobiernos (por ejemplo, la UE con la Directiva de Pagos Instantáneos y el mandato PSD3) presionan para que se adopten mejores soluciones.
Las medidas típicas incluyen:
Controles y advertencias adicionales: Los bancos pueden implementar controles y advertencias adicionales cuando los usuarios realizan pagos a nuevos destinatarios o transfieren grandes cantidades.
Verificación del beneficiario (VoP): este servicio verifica al destinatario de un pago para garantizar que los fondos lleguen a la persona correcta, lo que evita tanto el fraude en las aplicaciones como los pagos mal dirigidos por accidente. Empresas como SurePay, OB Join, Worldline, Inform Cash, iPid y Banfico ofrecen este servicio.
Si bien las prácticas mencionadas anteriormente se están volviendo comunes en la industria de servicios financieros y a menudo son exigidas por los reguladores, los bancos innovadores están tomando medidas adicionales para proteger a sus clientes. Recientemente, los neobancos han anunciado varias características nuevas.
Algunos ejemplos:
Comprueba si te están llamando desde la aplicación: a principios de este año, tanto ING en los Países Bajos como Monzo en el Reino Unido introdujeron una nueva función que permite a los usuarios ver inmediatamente si el banco les está llamando. Esto evita el fraude telefónico, en el que los estafadores se hacen pasar por el banco para obtener información secreta de credenciales.
Ubicaciones conocidas o “Deja tu dinero en casa”: Monzo introdujo esta función, que permite a los usuarios especificar ubicaciones de confianza, como su casa o lugar de trabajo, donde se pueden realizar transacciones de forma segura. Las transacciones que se intenten realizar fuera de estas ubicaciones aprobadas previamente se bloquean automáticamente, lo que proporciona una purple de seguridad geográfica contra transacciones no autorizadas.
Contactos de confianza: los contactos de confianza introducen un paso de validación social en el proceso de transacción. Los clientes pueden invitar a un amigo o acquainted de confianza para que verifique las transacciones que superen un determinado límite. Esta capa adicional de escrutinio ayuda a prevenir transacciones fraudulentas al involucrar a alguien en quien el cliente confía. Esta función también fue introducida recientemente por Monzo.
Códigos QR secretos: Esta función, también introducida por Monzo, permite a los clientes generar códigos QR únicos, que pueden escanearse en la aplicación para autorizar transferencias importantes. Este código puede almacenarse en un dispositivo independiente o imprimirse, lo que garantiza que, incluso si se roba un teléfono, no se puedan realizar transacciones no autorizadas sin el código QR. Este requisito de dos dispositivos añade una sólida capa de seguridad.
Verificación mediante selfie: Revolut ha introducido la Protección de riqueza, que exige una verificación mediante selfie para retirar fondos de las inversiones. Esto verifica la identidad de un cliente con las comprobaciones de identidad mediante selfie realizadas durante el registro inicial, lo que dificulta significativamente los intentos de los estafadores de transferir dinero desde cuentas de ahorro, incluso si la seguridad del teléfono se ha visto comprometida.
Es interesante probar estas nuevas tecnologías y funciones innovadoras, pero aún queda por ver si los usuarios las adoptan, ya que actualmente son opcionales. Será elementary que sea fácil habilitarlas y garantizar que los clientes las utilicen correctamente. Por ejemplo, los códigos QR secretos solo son efectivos si se almacenan de forma segura en otro dispositivo.
En cualquier caso, en la lucha contra el fraude, las instituciones financieras deben innovar continuamente y probar nuevos mecanismos de seguridad para mantenerse por delante de los defraudadores y garantizar la seguridad y la confianza de sus clientes.
Para obtener más información, visite mi weblog en https://bankloch.blogspot.com
