Fraude digital: Guía de acción para blindar las operaciones ante el aumento de las amenazas
Mientras millones de transacciones y compras online se hacen a diario en todo el mundo, los estafadores de la web estudian las tendencias y afinan cada vez más sus métodos y ataques. Cómo luchar contra esto, con tecnología y estrategia, es parte de las grandes discusiones en las empresas.
El e-commerce será más que un boom en la región en los próximos tres años. Morgan Stanley proyecta un crecimiento de 88%; el 22,3% de las ventas del retail se harán a través de este canal, advierte Shopify.com; y el alza en Chile será de US$ 13,2 mil millones en 2020 a US$ 35,4 mil millones en 2024, según la Cámara de Comercio de Santiago. Pero hay un dolor de cabeza difícil de tratar, que aumenta casi a la par que las ventas online: el fraude digital.
Aplicar estrategias preventivas parece ser lo más obvio, pero no siempre es lo que ven las empresas. Y es a lo que apuntan los expertos, a la luz de una tendencia que crece como la espuma.
Para Emilio Chaigneau, profesor del área de Tecnologías de Información y Ciberseguridad de INACAP (Sede Santiago Sur), entender el entorno digital y mantenerse alerta ante las amenazas vigentes es lo que permite enfrentar de una mejor manera este tipo de eventos.
El académico subraya que hoy no existe una “bala de plata” o “receta inequívoca” que garantice la efectividad para atacar el fraude digital y sus consecuencias. Sin embargo, dice que sí hay una consideración clave a tener en cuenta: dónde hacer click y dónde no. “Uno de los eslabones más débiles de la cadena son las propias personas cuando usan canales digitales y herramientas cotidianas, como por ejemplo el correo electrónico. Es ahí donde vemos la alta frecuencia de ataques con técnicas de tipo phishing y ransomware”, dice.
A juicio de Narciso Basic, director de Seguridad de Equifax, frente a este riesgo es clave que los usuarios comiencen a acercarse a los códigos digitales e implementen medidas de seguridad disponibles, como aplicaciones que les ayuden a identificar cuándo un mensaje puede ser un engaño.
En eso hace hincapié Ricardo Seguel, director ejecutivo del programa Startup School y director académico del Diplomado en Transformación Digital y del Magíster en Ciberseguridad de la Universidad Adolfo Ibáñez (UAI), quien cree que realmente puede marcar la diferencia si hay esfuerzos por educar a los usuarios y clientes sobre estos temas y “sensibilizarlos en que la seguridad es una responsabilidad de todos”.
El rol de las empresas
Es importante que las empresas estén más que blindadas ante este tipo de vulnerabilidades. De lo contrario, un punto ciego se traduce en pérdidas. Carlos Osuna Zemelman, director de Transformación de Equifax, explica por qué: “Las transacciones fraudulentas, así como los falsos positivos -que son personas honestas que el sistema identifica como riesgosas y aborta la venta- significan una pérdida muy importante para el comercio online, de aproximadamente un 10% de las ventas”.
En cuanto a las estrategias, Seguel señala que es necesario contar con un proceso de gestión de vulnerabilidades que sea efectivo, además de una conexión al sistema de alertas del CSIRT, el ente gubernamental encargado de velar por temas de seguridad informática, y también al de otras empresas. Además, dice que las organizaciones deben tener un proceso seguro de desarrollo de software e implementación de sistemas de información y realizar análisis estático y dinámico de código para prevenir que vulnerabilidades desconocidas sean expuestas a Internet.
La Inteligencia Artificial aplicada en estos casos es una de las tendencias fuertes, dice Osuna. Por eso, recientemente Equifax adquirió una herramienta llamada Kount, que previene estos delitos antes de que ocurran. “Busca incrementar las transacciones digitales al disminuir los falsos positivos y al mismo tiempo eliminar los costos asociados a las transacciones fraudulentas (contracargos), así como automatizar su administración. Además, opera cruzando millones y millones de datos prácticamente en tiempo real, con cruces que permiten extraer hasta 250 atributos cuya aplicación permite levantar alarmas que se activan cuando se dan ciertos parámetros”, explica el ejecutivo.
Los esquemas de validación de compra son la mejor manera de robustecer una estrategia preventiva, dice Marcelo Díaz, CEO de Makros, una firma especializada en seguridad informática. La razón, señala, es que el fraude se consigue cuando el atacante logra interceptar una transacción o adueñarse de los datos del usuario para suplantar su identidad.
Para evitar este escenario, Díaz recuerda que existen herramientas que apuntan a un segundo factor de autenticación passwordless, que hoy más que nunca son fundamentales. Con todo, advierte que siempre existe la posibilidad de que el usuario caiga en una “trampa de ingeniería social”. Y ahí vuelve al argumento inicial y coincide con los académicos: “El punto más vulnerable es el usuario”, sostiene, para advertir sobre la importancia de la educación, por lo que no solo se deben agregar perímetros de autenticación, sino también educar al usuario y mantener la coherencia, por ejemplo, entre las campañas de marketing diseñadas por las empresas y las medidas que el e-commerce promueva.
Modos recurrentes y sectores vulnerables
Además del phishing, un método de fraude que cada vez gana más fuerza es el smishing. Narciso Basic, director de Seguridad de Equifax, alerta que, en este tipo de delitos, se ha vuelto frecuente que los delincuentes roben cuentas de Whatsapp con el fin de usurpar la identidad del dueño de la cuenta y pedir dinero a sus contactos.
Marcelo Díaz, CEO de Makros, añade el clásico malware, las “infecciones” vía sitios web adulterados, suplantación telefónica, pero también el SIM swapping, un tipo de fraude que permite a los criminales robar identidades secuestrando el número de teléfono.
¿Cuáles son los rubros más afectados? Todos los que tengan transacciones con usuarios, dice Díaz. “Lo que hay que tener siempre en cuenta es que el atacante quiere dinero o retribución monetaria”, advierte.
Ricardo Seguel, académico de la UAI, dice que hay muchas empresas involucradas en la cadena de abastecimiento y todas deben prestar atención a los riesgos latentes: “La vulnerabilidad explotada en una puede provocar una brecha de seguridad para otras en un efecto en cadena”, subraya, y detalla los que a su juicio son los blancos de mayor cuidado: empresas de retail, e-commerce, instituciones financieras, empresas de inventario y logística, proveedoras e importadoras de productos, y hasta instituciones públicas como el Servicio de Impuestos Internos.
Por su parte, el docente de INACAP Emilio Chaigneau dice que las industrias ligadas al desarrollo productivo de la nación, como el rubro forestal, el minero o el de pesca, tienen una incorporación de controles de seguridad “más temerosa y paulatina” en relación con el resto. Algo que a su juicio debe ser corregido “si se desea garantizar la operación y sostener la cadena productiva y actividades ligadas a los sistemas industriales del país”.
Publicado en EstudioDF