Medios de pago

Estimados lectores,

En esta oportunidad voy a explicar acerca de los desafíos y oportunidades de la prevención de fraude en el creciente mundo de los medios de pago, ya sea a través de las modalidades presentes y las modalidades no presentes como el comercio electrónico.

Datos importantes sobre los cambios de hábitos en la manera como se usan los medios de pago son las que presenta un estudio desarrollado por la empresa de procesamiento y servicios de pago FIS en su revista Global Payments Report by Worldpay, donde expone las tendencias para el 2024, siendo entre los cambios más significativos el crecimiento en el uso de billeteras -Wallets- digitales y móviles, de 19.8% a 31.2%. Asimismo, destaca una reducción en el uso del efectivo, de 38% a 24.3%. Tendencias promovidas por las mejoras en el soporte de la tecnología de los POS y la masificación del equipo móvil como medio de pago.

Los cambios de hábitos de los usuarios motivan a las empresas de servicios de juegos, casas de apuestas, marketplace, streaming, videoconferencias, la banca de diversos segmentos, las FINTECHs y muchos más, ha explotar el avance tecnológico y los beneficios de los medios de pago, sin embargo, también han experimentado diversas situaciones de fraude generadas por bandas de delincuentes que están dispuestos a aprovechar el exceso de confianza de una solución, vulnerabilidades técnicas y el descuido de los usuarios.

Es así, que los delincuentes haciéndose pasar por bancos, comercios, el gobierno o diversas organizaciones, y usando técnicas de ingeniería social como el phishing, smishing, vishing, SIM swapping y otras, obtienen información de los clientes de manera inusual, y se apoderan de datos personales; información sensible de los productos financieros, como datos de tarjeta; y credenciales como el PIN, claves de acceso a canales digitales, etc. Facilitando su accionar delictivo y concretando una operación ilícita.

En un estudio realizado en el segundo semestre del 2020 por la compañía especialista en soluciones de medios de pago a nivel mundial Minsait, planteó una pregunta a varios actores del ecosistema de medios de pago, acerca de su mayor reto en dicha industria, y consideraron que el fraude y la seguridad es el de mayor relevancia. Es decir, no había otro aspecto más preocupante para los bancos, adquirentes, procesadores, facilitadores de pago y comercios en general que el fraude, sobre todo por los eventos que se derivan de la ingeniería social.

Por consiguiente, es importante implementar un modelo de prevención de fraude con un adecuado soporte de las tecnologías de la información que permitan mejorar la experiencia de compra acorde con lo esperado por los usuarios, pero sobre todo con la seguridad y confianza requerida. Además, que un acertado modelo aporta de manera positiva con los objetivos de ventas, posicionamiento de la compañía, confianza, pero, sobre todo, reduciendo las pérdidas por fraude con mecanismos menos intrusivos para el cliente o usuarios.

Por lo tanto, soluciones que contribuyan con la detección del fraude en múltiples capas es una opción prácticamente obligatoria en la industria bancaria. Justamente la propuesta como buena práctica promovida por Gartner a través de su modelo de capacidades de detección fraude proporciona un enfoque estructurado para este fin, donde cada capa de capacidad proporciona elementos de detección y datos a las capas superiores. Se puede decir que las capas van desde las menos sofisticadas hasta la más sofisticada. Un resumen de dichas 7 capacidades se explica a continuación:

1. La identificación basada en datos estáticos

Tiene dos funciones principales, la identificación de nuevos clientes en el momento del primer contacto con la empresa, luego la validación de los clientes que regresan a solicitar nuevos productos y servicios. Esta capacidad tiene como objetivo verificar a la persona con datos que lo identifiquen, el abanico de opciones para responder podría crear fricción para un cliente válido, mientras que los estafadores sofisticados son capaces de proporcionar datos correctos. Por lo tanto, una validación con datos diversos del cliente con historia es una alternativa, caso contrario, los modelos de autenticación basados en biometría es una opción necesaria para casos con poca o nula información.

2. La evaluación de riesgos basada en reglas

Aplicación que parte del conocimiento de los hábitos de consumo combinado con la información proveniente de la detección de actividades sospechosas o la actividad histórica del fraude conocido. A menudo resulta en altas tasas de falsos positivos y una incapacidad para detectar amenazas emergentes y desconocidas. Una mixtura entre reglas estáticas basada en un aprendizaje constante a partir del fraude calificado y sus datos asociados al evento, pueden contribuir a mejorar los ratios de efectividad.

3. Creación de perfiles de terminales tecnológicos

Consiste en evaluar una variedad de dispositivos, incluidos teléfonos móviles, tabletas, computadoras portátiles y de escritorio, terminales emergentes, entre otros, desde donde las personas interactúan para concretar una operación o transacción. Con esta capacidad es posible detectar equipos que están en un estado inseguro, demuestran inconsistencias o exponen un comportamiento de suplantación. Esto amerita recibir mucho detalle e información del dispositivo y evaluar las condiciones a partir del hábito de uso e interacción del cliente en la historia y aplicación de patrones de fraude.

4. Las entidades de relacionamiento

Esta capacidad consiste en realizar análisis en busca de vínculos y reputación en datos que incluyen direcciones de correo electrónico, números de teléfono, direcciones e información de la cuenta del origen y destino. El objetivo es determinar un indicador de riesgo a través de asociaciones o enlaces a listas negativas que determinen si la información es válida o fraudulenta. En esta capacidad se requiere intercambiar información o integrarse con otras entidades participantes del ecosistema.

5. Los análisis de comportamiento

Evalúa el comportamiento de la persona durante la interacción con el dispositivo en comparación con la actividad individual histórica. Esta capacidad incluye evaluar la navegación a través de la interfaz y el dispositivo, la secuencia de acciones, uso de canales, cambios en los patrones de pulsación de teclas, movimiento del mouse, presión de deslizamiento, movimientos táctiles, entre otros para determinar si es o no la persona. El análisis incluye la captura del comportamiento del usuario, conocer sus hábitos, patrones, aprender y responder en línea ante cualquier resultado inusual.

6. Protección de la interfaz de usuario

Esta penúltima capacidad tiene como objetivo defenderse contra ataques de lógica empresarial específicos que utilizan los estafadores. El relleno de credenciales, la suplantación de identidad mediante RAT (troyanos de acceso remoto), la inyección, interceptación y redirección de tráfico, secuestro de sesiones, entre otros, son aspectos relevantes en la prevención. Involucra cumplir estándares de programación segura – OWASP-, análisis de vulnerabilidades -Ethical Hacking End-To-End-, etc.

7. Evaluación de riesgos continua

Integra los resultados de todos los canales de interacción. Además de incluir la web, el dispositivo móvil, el centro de llamadas, la mensajería instantánea y otros canales menos considerados, como el análisis de las redes sociales. En este punto, el sistema de prevención de fraude gobierna toda la experiencia del cliente, toma decisiones sobre suspender una funcionalidad a un cliente o todos, o requerir modelos de autenticación adicionales para reducir la probabilidad de riesgos.

En cada una de las capacidades es requerido el aporte de la ingeniería de sistemas y sus respectivas especialidades para que la prevención de fraude sea efectiva. Soluciones como La Big data para la manipulación de grandes volúmenes de información. La ciencia de los datos que incluye métodos científicos, procesos y sistemas para extraer conocimiento. El machine learning como método de análisis que automatiza la construcción de modelos analíticos. La programación segura, que estudia las mejoras prácticas para la construcción de código fuente de un software cuyo objetivo es evitar vulnerabilidades. La plataforma tecnológica, que debe brindar los niveles de procesamiento, seguridad y escalabilidad necesarios para cumplir con los estándares de la industria.

Finalizamos este artículo destacando nuevamente las grandes oportunidades para seguir desarrollando los medios de pago, la bancarización y la omnicanalidad, pero también enormes retos para contrarrestar el avance e ingenio de aquellos que se dedican a actividades ilícitas.

Referencias:

FIS (2020). Global Payments Report by Worldpay. Recuperado de https://worldpay.globalpaymentsreport.com/en

Gartner (2017). Align Your Financial Fraud Detection Strategy With Gartner’s Capability Model. Recuperado de https://www.gartner.com/doc/3771863

Minsait (2021). X Edición del Informe Tendencias en Medios de Pago. Recuperado de https://www.minsait.com/es/actualidad/insights/tendencias-en-medios-de-pago

RX Corp (2017). ALIGN YOUR FINANCIAL FRAUD DETECTION STRATEGY WITH GARTNER’S CAPABILITY MODEL. Recuperado de https://rxcorp.com.br/index.php/rx-news/40-gartner-report-qualifies-bottomline-cfrm-solution

Ing. CIP Luis García Morán, MBA, Leadership Master, PMP®, ITIL®, SMC™, SFC™

Hoy en día las tarjetas de crédito y débito se han convertido en una de las principales formas de pago para la adquisición de productos y servicios. Nuevos canales de consumo, el avance de la tecnología, la masificación del internet, así como, la mejora en la experiencia de compra ha contribuido con el aumento y la preferencia en diversos medios de pago de manera presencial, virtual, tanto en el Perú como el extranjero.

Sin embargo, así como los usuarios reconocen las facilidades y mejoras significativas en las formas de pago, las oportunidades para el robo de información, fraudes, delincuencia cibernética y otros delitos también ha puesto en evidencia debilidades en el ecosistema de medios de pagos.

Aun cuando las entidades financieras, comercios y representantes de las marcas de tarjeta hacen grandes esfuerzos con el fin de frenar los ataques y diversas modalidades de robo de información personal y financieros de los clientes, los amigos del ajeno encuentran nuevos mecanismos para sustraer y realizar transacciones no autorizadas.

En este escenario de grandes oportunidades, pero de constantes amenazas, la cultura de la prevención por parte de los tarjetahabientes ocupa un lugar protagónico para la protección y seguridad en el uso de las tarjetas y así evitar operaciones fraudulentas. Por ello, le brindaremos algunas recomendaciones con el fin de contribuir con las medidas preventivas.

Brindar información de sus tarjetas

Nunca brinde información de sus tarjetas como el número, fecha de expiración, código de seguridad, clave secreta, entre otros. Hoy en día es muy común que los delincuentes sustraigan información a través de la solicitud de datos financieros vía correos electrónicos, páginas o mensajes de texto y así concretar transacciones dolosas. Recuerde que, bajo ninguna circunstancia las entidades financieras solicitan información sensible de su tarjeta. Si usted desconfía de una comunicación recibida, que exige el registro de los datos de su tarjeta, informe a su entidad financiera y elimine dicho comunicado.

No pierda de vista su tarjeta durante una compra

Durante el proceso de compra usted no debe perder de vista su tarjeta, así mismo, no permita que el personal del establecimiento se lleve el plástico a otro lugar. Los nuevos dispositivos de pagos móviles, así como las nuevas características de la tarjeta, como pagos sin contacto, facilitan que usted tenga el control y visibilidad de todo el proceso de compra. En caso el establecimiento o su tarjeta no cuenten con estas capacidades, acompañe al colaborador del comercio y verifique el correcto uso de la tarjeta o medio de pago.

No comparta información con otras personas o empresas de servicios no autorizadas

Es crítico, sin embargo, muy frecuente compartir los datos sensibles de su tarjeta con familiares, amigos o extraños, inclusive, dejar en cualquier lugar el plástico o su clave secreta. Si bien se valora las mejoras significativas en la experiencia de compra, en algunos canales las mejoras incluyen la solicitud de pocos datos para concretar el pago. Por lo tanto, cuide y guarde su tarjeta en un lugar seguro. Asimismo, es importante llevar el control del registro de su tarjeta en diversos servicios brindados a través de internet, teléfono móvil o pagos recurrentes. Si usted es cliente frecuente de los pagos en línea, como servicios de taxi, películas, música u otros debe ser consciente de su uso.

Habilitar o deshabilitar servicios adicionales de su tarjeta

Muchas entidades financieras, ponen a disposición de los usuarios una serie de canales para la habilitación y deshabilitación de operaciones adicionales a los consumos, tales como consumos en el extranjero, consumos a través de Internet o disposición de efectivo. Por lo tanto, se sugiere active o desactive dichas operaciones según sus hábitos, frecuencia, oportunidad o necesidades de consumo.

Notificaciones por consumos o disposiciones de efectivo aprobadas

Las entidades emisoras de tarjeta, ofrecen a los clientes el servicio de notificación a través de mensajes de texto, correo electrónico u otra vía, con el fin de informar sobre los consumos o retiros de efectivo aprobadas. Para ello las entidades ponen a disposición de los usuarios diversos canales de atención para habilitar o deshabilitar el servicio, por lo que es altamente sugerido que los tarjetahabientes se afilien y así verificar los consumos y retiros realizados.

Estos consejos contribuirán a preservar y contribuir con la seguridad, evitar el uso no autorizado de su tarjeta, pero sobre todo disfrutar de una excelente experiencia de compra.

Contribución de los modelos de prevención de fraude y la ingeniería de sistemas a los medios de pago

Consejos de seguridad en el uso de tarjetas