Con el aumento exponencial de las transacciones digitales, explotaron las ciberestafas, con los servicios financieros como uno de los sectores más afectados. Cuáles son los ciberdelitos más comunes, la respuesta de la banca y quiénes son los grandes jugadores del sector. Por Guadalupe Barriviera
La pandemia del coronavirus y la explosión del mundo digital que provocó, generaron una detonación de fraudes y estafas virtuales, con la industria de servicios financieros como una de las más afectadas.
Así, la ciberseguridad se convirtió en una temática central y estratégica para las organizaciones, que deben asegurar, por ejemplo, la validación de identidad de sus clientes de manera segura y remota, sin impactar en la experiencia de usuario y en la tasa de conversión.
En este sentido, las empresas del sector financiero atraviesan un cambio cultural, y los niveles de inversión en tecnologías de ciberseguridad están en pleno crecimiento.
Según Research & Market, el mercado de biometría, es decir, el de las tecnologías clave para la reducción y eliminación de fraudes a partir del reconocimiento inequívoco de las personas, ascenderá 32 mil millones de dólares en 2022.
Una explosión global de ciberestafas
El fenómeno es mundial. El incremento de los ciberfraudes a nivel global es “exponencial, y es una tendencia que se viene cumpliendo año tras año”, describe Pablo Lima, sales director para el Cono Sur de VU Security.
De hecho, Fortinet Threat Intelligence Insider Latin America, una herramienta que releva los ciberataques a nivel global, concluyó que en 2019 se registraron 1.590 millones de ataques, es decir, 4,4 millones de intentos diarios, muy lejos de los 2.252 ataques del año 2015.
De acuerdo con Cybersecurity Ventures, el costo del cibercrimen será de 6 mil millones de dólares para finales de 2021. “El crecimiento de consumo en canales digitales, acortó las brechas entre las víctimas y los atacantes, los cuales se valen de tendencias populares para originar ataques de ingeniería social, haciéndose pasar por funcionarios de un gobierno o representantes de un banco, para lograr su cometido”, explica Lima.
Un informe de Fortinet consigna que en América Latina se registraron 7.000 millones de intentos de ciberataques solo en el primer trimestre de este año. En Brasil, cada 16 segundos, una persona trata de suplantar una identidad, y por cada 100 reales de compras online, 3,5 están asociados a intentos de fraudes, según la agencia del Gobierno encargada de la administración de datos personales y biometría. En Colombia, los delitos por fraudes en Internet se incrementaron un 59% en 2020 frente al año anterior, de acuerdo a la policía nacional de ese país.
En Argentina, la Unidad Fiscal Especializada en Ciberdelincuencia reportó que en plena pandemia, las denuncias por estafas bancarias crecieron un 3.000%.
Las ciberestafas más comunes
“Una ciberestafa es un tipo de delito que busca usurpar la identidad de una persona, robar sus credenciales bancarias o los datos de las tarjetas de crédito/débito en el espacio digital a través de las redes informáticas y diversos dispositivos electrónicos”, explica en una nota publicada en SantanderPost, el blog de Banco Santander, Federico Varela, Líder de Ciberseguridad de la entidad financiera.
Para VU Security, las estafas más comunes en la actualidad son originadas a través de sitios falsos, redes sociales, o con llamados o mensajes directos de Whatsapp. “Las estafas que más han proliferado en los últimos tiempos han tenido que ver con ciertos mecanismos que han sido habilitados por contingencias generadas a raíz de la pandemia”, dispara Pablo Lima, de la empresa de ciberseguridad especializada en prevención de fraude y protección de la identidad.
“Los llamados extorsivos que simulan un secuestro, los ataques de suplantación de identidad y el robo de contraseñas suelen ser los ataques más frecuentes”, completa Lima.
José Prada, Business Developer Latam de 4i, un proveedor de soluciones de seguridad para las transacciones electrónicas en Argentina y Latinoamérica, indica que “los defraudadores no tienen fronteras; no les interesa dónde está basada la empresa que quieren defraudar. Una de las modalidades más usadas en Latinoamérica es el SIM swapping, un tipo de fraude que permite a los criminales robar una identidad mediante el secuestro del número del número de teléfono al obtener un duplicado de la tarjeta SIM”.
Frecuentemente, lo anterior ocurre por la falta de implementación de protocolos de verificación estrictos a la hora solicitar una copia de la propia tarjeta SIM. Pero además, esta técnica se utiliza junto a otras de ingeniería social para poder obtener beneficios, ya que lo que buscan los delincuentes es acceder a los códigos de verificación que empresas, plataformas y entidades bancarias suelen enviar a los diferentes dispositivos móviles.
Desde BBVA Argentina, señalan que desde el comienzo de la pandemia, aumentaron los casos de estafas/fraudes, y que “son varias las modalidades a través de las cuales los ciberdelincuentes, utilizando diferentes medios, logran robar nuestros datos para luego estafarnos. Lo hacen promocionando ofertas tentadoras, notificando al usuario que su cuenta está por expirar, o que debe actualizar el perfil para evitar ser estafado. Hay una lista sin fin de recursos que utilizan los delincuentes para hacernos caer en su trampa”.
Entre otros recursos, desde el banco nombran los correos electrónicos o mensajes SMS o Whatsapp falsos, conocidos como phishing y smishing, respectivamente, y que consisten en el envío de un email o un mensaje en el que los ciberdelincuentes suplantan la identidad, en la mayoría de los casos, de una compañía muy conocida y en el que solicitan información personal y bancaria al usuario. Normalmente agregan un enlace que redirecciona a una página web fraudulenta para que el usuario introduzca la información solicitada: credenciales, números de tarjeta, etc.
Pero también están las llamadas telefónicas “donde los delincuentes se hacen pasar nuevamente por organizaciones conocidas, y utilizan diferentes pretextos para terminar obteniendo información bancaria y personal del usuario, o guiándolos para que realicen determinadas operaciones en el cajero o en el homebanking (web o mobile). Una de las modalidades de estafa consiste en engañar a los clientes para que acepten un DEBIN generado por el estafador, haciéndoles creer a las víctimas que se trata de la aceptación de un pago online, cuando en realidad termina debitándoles dinero de su cuenta”, agregan desde BBVA Argentina.
“La problemática de las ciberestafas, no solo afecta a clientes bancarios, sino también a los usuarios de billeteras digitales, que son engañados a través de distintas técnicas de ingeniería social”, detalla en el blog SantanderPost, Federico Varela, jefe de Ciberseguridad de Banco Santander.
A propósito, Credencial, empresa que implementa soluciones tecnológicas y de procesamiento de medios de pago para bancos y fintech, cuenta con una solución de reconocimiento facial que utiliza inteligencia artificial para validación de identidad y prevención de fraudes. La misma es utilizada por 10 billeteras digitales en la Argentina y la región.
“La biometría está teniendo un desarrollo exponencial y es un salto cuántico con relación a la validación de identidad. Hoy vemos este tipo de soluciones en los bancos, en la salud y cada día más en las billeteras digitales, pero es tan sólo el principio de un nuevo mundo, donde la clave es uno mismo; con tu cara, tu huella, tu voz, tu iris y hasta tu patrón de venas”, explica el gerente de marketing y nuevos negocios de Credencial, Jorge Larravide.
Medidas antifraude del Central
El Banco Central también tomó nota de los peligros crecientes en materia de fraudes y decidó una serie de acciones para mitigarlos. La Comuncación “A” 7.328 dispuso que tanto los bancos como los prestadores de servicios de pago que presten el servicio de “billetera digital” sólo deben autorizar el funcionamiento de las mismas con tarjetas del mismo titular. Esta reglamentación empezó a regir desde agosto para las nuevas aperturas y se pone en marcha desde octubre para las ya existentes.
Mercado Pago, por ejemplo, acaba de notificar a sus clientes que “con el fin de prevenir posibles acciones de fraude, en tu cuenta solo quedarán agendadas las tarjetas que estén a tu nombre”.
“Además de esta medida –agregaron en Mercado Pago nos aseguraremos de que tu cuenta esté siempre protegida con métodos de verificación y autentificación y validaciones de identidad”
Cómo protegerse de los ciberataques
“Las entidades financieras deben reinventarse para la era digital: no solo agregar una capa extra digital como si fuera un mero adicional”, señala José Prada, desde 4i. “La ciberseguridad se ha convertido en una temática central y estratégica para las organizaciones. Ya no es opción no estar preparado para los desafíos del mundo digital, donde un ataque dirigido puede generar pérdidas económicas, pero el mayor de los impactos siempre es y será reputacional”, completa Lima, de VU Security.
En efecto, Pedro Adamovic, CISO de Banco Galicia, explica que “a partir de la pandemia, nuestra estrategia no cambió, sino que se intensificó, adaptándose al contexto actual de trabajo remoto. Para nosotros, la ciberseguridad es un tema estratégico y trabajamos fuertemente en mecanismos de protección, control y reacción. Es por ello que permanentemente realizamos campañas de concientización, invertimos inteligentemente en tecnologías world class y preparamos a la compañía para reaccionar rápidamente ante potenciales incidentes. Complementariamente, estamos avanzando en procesos de automatización y orquestación de tareas repetitivas para ser mucho más eficientes”.
Durante la pandemia, el banco reforzó las campañas de concientización sobre cómo operar de manera segura, brindando distintos consejos para impedir ser víctima de una estafa. Los ejecutivos de la entidad mantuvieron también conversaciones con Facebook para que desde la plataforma se encuentren alternativas proactivas de desactivación de cuentas falsas de Instagram y del propio Facebook, y pusieron, además, mayor inteligencia en algunas casuísticas, poniendo validaciones complementarias para ciertas operaciones.
Lo cierto es que la industria de productos y servicios de ciberseguridad “es realmente muy amplia, y hay sabores para todo tipo y tamaño de organizaciones”, desglosa Pablo Lima, y añade que “desde VU, adoptamos diferentes modelos de negocios, que le permiten a nuestros clientes construir una estrategia en ciberseguridad escalable y financieramente sostenible. Estamos convencidos que la ciberseguridad es un aliado y un habilitador para el negocio. Hoy no es una opción construir un digital journey si no es seguro”. La empresa también ofrece, junto a sus socios de negocios, starter kits para las start ups o PyMEs.
Por su parte, José Prada, Business Developer Latam de 4i, coincide. “La inversión en ciberseguridad debería ser de manera escalable y costo efectiva, apuntando definitivamente a proveedores cuyo modelo de negocio sea orientado a “as a service/pay as you go”. Se paga solo por las transacciones de validación de identidad: un paquete de 1 millón de onboardings por año”, ejemplifica.
Con todo, Prada advierte que “desafortunadamente, la mayoría de las organizaciones no protegen suficientemente los datos de los usuarios que tienen. En un ejemplo tras otro, los gobiernos, los bancos, los proveedores de viajes, las agencias de crédito, los servicios de entretenimiento y las empresas han sufrido violaciones masivas de datos y han contribuido al aumento de los incidentes de robo de identidad. Hay aún muchas empresas que están muy orientadas a la contraseña”. 4i está asociada con la francesa Idemia, uno de los grandes referentes en el negocio de la identificación digital, que es controlada por Advent, el mismo fondo que compró la mayoría de Prisma Medios de Pago.
Nueva carrera universitaria
Uno de los principales desafíos que enfrentan las empresas de ciberseguridad es conseguir especialistas en la materia. En el mercado calculan que en los próximos años se demandarán por lo menos 10.000 profesionales para este sector, una cifra enorme en relación a la oferta existente.
Ante esta situación, comienzan a surgir alternativas académicas. La Universidad Nacional Raúl Scalabrini Ortiz (UNSO) anunció el desarrollo de la Tecnicatura en Ciberseguridad, la cual comenzará a dictarse a partir del próximo año y será totalmente gratuita.
En la actualidad la Argentina cuenta con posgrados, maestrías y cursos de especialización -en algunos casos muy caros- y que están orientados a profesionales recibidos de otras áreas. La tecnicatura lanzada viene a cambiar ese paradigma.
“Desde la UNSO se está asumiendo el desafío de tener por primera vez en Argentina una carrera dictada de forma gratuita sobre seguridad informática. Donde distintas disciplinas y tecnologías se unen para construir una carrera vinculada el resguardo de los datos, la construcción de sistemas informáticos robustos o la forencia en la investigación de los ciberdelitos”, destacó Sebastián Civallero, director del Departamento de Ciencias Ambientales y Aplicadas.