Estimados lectores,
En esta oportunidad voy a explicar acerca de los desafíos y oportunidades de la prevención de fraude en el creciente mundo de los medios de pago, ya sea a través de las modalidades presentes y las modalidades no presentes como el comercio electrónico.
Datos importantes sobre los cambios de hábitos en la manera como se usan los medios de pago son las que presenta un estudio desarrollado por la empresa de procesamiento y servicios de pago FIS en su revista Global Payments Report by Worldpay, donde expone las tendencias para el 2024, siendo entre los cambios más significativos el crecimiento en el uso de billeteras -Wallets- digitales y móviles, de 19.8% a 31.2%. Asimismo, destaca una reducción en el uso del efectivo, de 38% a 24.3%. Tendencias promovidas por las mejoras en el soporte de la tecnología de los POS y la masificación del equipo móvil como medio de pago.
Los cambios de hábitos de los usuarios motivan a las empresas de servicios de juegos, casas de apuestas, marketplace, streaming, videoconferencias, la banca de diversos segmentos, las FINTECHs y muchos más, ha explotar el avance tecnológico y los beneficios de los medios de pago, sin embargo, también han experimentado diversas situaciones de fraude generadas por bandas de delincuentes que están dispuestos a aprovechar el exceso de confianza de una solución, vulnerabilidades técnicas y el descuido de los usuarios.
Es así, que los delincuentes haciéndose pasar por bancos, comercios, el gobierno o diversas organizaciones, y usando técnicas de ingeniería social como el phishing, smishing, vishing, SIM swapping y otras, obtienen información de los clientes de manera inusual, y se apoderan de datos personales; información sensible de los productos financieros, como datos de tarjeta; y credenciales como el PIN, claves de acceso a canales digitales, etc. Facilitando su accionar delictivo y concretando una operación ilícita.
En un estudio realizado en el segundo semestre del 2020 por la compañía especialista en soluciones de medios de pago a nivel mundial Minsait, planteó una pregunta a varios actores del ecosistema de medios de pago, acerca de su mayor reto en dicha industria, y consideraron que el fraude y la seguridad es el de mayor relevancia. Es decir, no había otro aspecto más preocupante para los bancos, adquirentes, procesadores, facilitadores de pago y comercios en general que el fraude, sobre todo por los eventos que se derivan de la ingeniería social.
Por consiguiente, es importante implementar un modelo de prevención de fraude con un adecuado soporte de las tecnologías de la información que permitan mejorar la experiencia de compra acorde con lo esperado por los usuarios, pero sobre todo con la seguridad y confianza requerida. Además, que un acertado modelo aporta de manera positiva con los objetivos de ventas, posicionamiento de la compañía, confianza, pero, sobre todo, reduciendo las pérdidas por fraude con mecanismos menos intrusivos para el cliente o usuarios.
Por lo tanto, soluciones que contribuyan con la detección del fraude en múltiples capas es una opción prácticamente obligatoria en la industria bancaria. Justamente la propuesta como buena práctica promovida por Gartner a través de su modelo de capacidades de detección fraude proporciona un enfoque estructurado para este fin, donde cada capa de capacidad proporciona elementos de detección y datos a las capas superiores. Se puede decir que las capas van desde las menos sofisticadas hasta la más sofisticada. Un resumen de dichas 7 capacidades se explica a continuación:
1. La identificación basada en datos estáticos
Tiene dos funciones principales, la identificación de nuevos clientes en el momento del primer contacto con la empresa, luego la validación de los clientes que regresan a solicitar nuevos productos y servicios. Esta capacidad tiene como objetivo verificar a la persona con datos que lo identifiquen, el abanico de opciones para responder podría crear fricción para un cliente válido, mientras que los estafadores sofisticados son capaces de proporcionar datos correctos. Por lo tanto, una validación con datos diversos del cliente con historia es una alternativa, caso contrario, los modelos de autenticación basados en biometría es una opción necesaria para casos con poca o nula información.
2. La evaluación de riesgos basada en reglas
Aplicación que parte del conocimiento de los hábitos de consumo combinado con la información proveniente de la detección de actividades sospechosas o la actividad histórica del fraude conocido. A menudo resulta en altas tasas de falsos positivos y una incapacidad para detectar amenazas emergentes y desconocidas. Una mixtura entre reglas estáticas basada en un aprendizaje constante a partir del fraude calificado y sus datos asociados al evento, pueden contribuir a mejorar los ratios de efectividad.
3. Creación de perfiles de terminales tecnológicos
Consiste en evaluar una variedad de dispositivos, incluidos teléfonos móviles, tabletas, computadoras portátiles y de escritorio, terminales emergentes, entre otros, desde donde las personas interactúan para concretar una operación o transacción. Con esta capacidad es posible detectar equipos que están en un estado inseguro, demuestran inconsistencias o exponen un comportamiento de suplantación. Esto amerita recibir mucho detalle e información del dispositivo y evaluar las condiciones a partir del hábito de uso e interacción del cliente en la historia y aplicación de patrones de fraude.
4. Las entidades de relacionamiento
Esta capacidad consiste en realizar análisis en busca de vínculos y reputación en datos que incluyen direcciones de correo electrónico, números de teléfono, direcciones e información de la cuenta del origen y destino. El objetivo es determinar un indicador de riesgo a través de asociaciones o enlaces a listas negativas que determinen si la información es válida o fraudulenta. En esta capacidad se requiere intercambiar información o integrarse con otras entidades participantes del ecosistema.
5. Los análisis de comportamiento
Evalúa el comportamiento de la persona durante la interacción con el dispositivo en comparación con la actividad individual histórica. Esta capacidad incluye evaluar la navegación a través de la interfaz y el dispositivo, la secuencia de acciones, uso de canales, cambios en los patrones de pulsación de teclas, movimiento del mouse, presión de deslizamiento, movimientos táctiles, entre otros para determinar si es o no la persona. El análisis incluye la captura del comportamiento del usuario, conocer sus hábitos, patrones, aprender y responder en línea ante cualquier resultado inusual.
6. Protección de la interfaz de usuario
Esta penúltima capacidad tiene como objetivo defenderse contra ataques de lógica empresarial específicos que utilizan los estafadores. El relleno de credenciales, la suplantación de identidad mediante RAT (troyanos de acceso remoto), la inyección, interceptación y redirección de tráfico, secuestro de sesiones, entre otros, son aspectos relevantes en la prevención. Involucra cumplir estándares de programación segura – OWASP-, análisis de vulnerabilidades -Ethical Hacking End-To-End-, etc.
7. Evaluación de riesgos continua
Integra los resultados de todos los canales de interacción. Además de incluir la web, el dispositivo móvil, el centro de llamadas, la mensajería instantánea y otros canales menos considerados, como el análisis de las redes sociales. En este punto, el sistema de prevención de fraude gobierna toda la experiencia del cliente, toma decisiones sobre suspender una funcionalidad a un cliente o todos, o requerir modelos de autenticación adicionales para reducir la probabilidad de riesgos.
En cada una de las capacidades es requerido el aporte de la ingeniería de sistemas y sus respectivas especialidades para que la prevención de fraude sea efectiva. Soluciones como La Big data para la manipulación de grandes volúmenes de información. La ciencia de los datos que incluye métodos científicos, procesos y sistemas para extraer conocimiento. El machine learning como método de análisis que automatiza la construcción de modelos analíticos. La programación segura, que estudia las mejoras prácticas para la construcción de código fuente de un software cuyo objetivo es evitar vulnerabilidades. La plataforma tecnológica, que debe brindar los niveles de procesamiento, seguridad y escalabilidad necesarios para cumplir con los estándares de la industria.
Finalizamos este artículo destacando nuevamente las grandes oportunidades para seguir desarrollando los medios de pago, la bancarización y la omnicanalidad, pero también enormes retos para contrarrestar el avance e ingenio de aquellos que se dedican a actividades ilícitas.
Referencias:
FIS (2020). Global Payments Report by Worldpay. Recuperado de https://worldpay.globalpaymentsreport.com/en
Gartner (2017). Align Your Financial Fraud Detection Strategy With Gartner’s Capability Model. Recuperado de https://www.gartner.com/doc/3771863
Minsait (2021). X Edición del Informe Tendencias en Medios de Pago. Recuperado de https://www.minsait.com/es/actualidad/insights/tendencias-en-medios-de-pago
RX Corp (2017). ALIGN YOUR FINANCIAL FRAUD DETECTION STRATEGY WITH GARTNER’S CAPABILITY MODEL. Recuperado de https://rxcorp.com.br/index.php/rx-news/40-gartner-report-qualifies-bottomline-cfrm-solution
Ing. CIP Luis García Morán, MBA, Leadership Master, PMP®, ITIL®, SMC™, SFC™