¿Cómo pueden las instituciones financieras evitar el secuestro de las cuentas de los clientes?

La pandemia ha acelerado el ritmo de la transformación digital, provocando que cada vez más consumidores adopten el mobile banking. El problema es que los delincuentes también se han adaptado a este nuevo entorno, desarrollando las más variadas tácticas para hacerse al control de las cuentas. Dada esta situación crítica, ¿qué medidas pueden tomar las organizaciones financieras para proteger a sus clientes?

1. Desde abril de 2020, inicio de la pandemia Covid-19, ha habido un aumento exponencial en el uso de servicios de banca móvil (mobile banking). Sin embargo, una nueva investigación del Aite Group indica un aumento similar en los llamados ataques de "control de cuentas" (ATO, en inglés).
2. Los estafadores utilizan numerosos dispositivos para llevar a cabo estos ataques de apropiación de cuentas, incluido diligenciar las credenciales, el phishing y la ingeniería social.
3. Cada departamento de cada institución financiera debe tomar precauciones estrictas para mitigar la amenaza de las ATO para los clientes, y eso comienza con la actualización y optimización de los procesos de autenticación.

En abril de 2020, los bancos más grandes del mundo enfrentaron un salto de aproximadamente 200% en nuevos registros para utilizar sus servicios de mobile banking (oferta de soluciones bancarias a través de aplicaciones descargables en celulares, tabletas, relojes tecnológicos y otros dispositivos móviles). Y a lo largo del año pasado, las plataformas de pago peer to peer (P2P o de punto a punto, en español) registraron un número récord de transacciones en sus redes.

Ambas tendencias son responsables por el salto en la adopción de cuentas y pagos digitales –y más consumidores que nunca confían en cuentas digitales para realizar transacciones diarias.

Sin embargo, en paralelo con estos avances, los delincuentes involucrados en el fraude financiero vieron la nueva oportunidad y encontraron una manera de mejorar sus ataques a estas cuentas a través de lo que se conoció como ataques de “control de cuentas” (ATOs, por sus siglas en inglés), en los que el hacker secuestra las cuentas de los consumidores para obtener cualquier información personal almacenada que pueda monetizarse en la dark web.

Definido oficialmente como el "control no autorizado de una cuenta existente y legítima", el ATO se ha vuelto cada vez más común. De hecho, según un informe de Aite Group titulado “US Identity Theft: The Stark Reality” y respaldado por GIACT (una empresa de Refinitiv), más de un tercio (38%) de los consumidores estadounidenses han sido víctimas de ATOs en los últimos dos años.

Estrategias de ATO

En sus estafas, los fraudulentos aprovechan la información de identificación personal (PII) disponible en la dark web, así como otros datos del consumidor a los que se puede acceder fácilmente en las redes sociales o búsquedas simples en Internet.

A lo largo de los años, estos estafadores han perfeccionado su arte, desplegando tácticas convencionales y otras mucho más sofisticadas. Entre ellas:

• Ataques de "fuerza bruta": los ciberdelincuentes recurren a scripts automatizados que combinan contraseñas para validar las credenciales de inicio de sesión.
• Llenado de credenciales: esto es similar a los ataques de "fuerza bruta", pero se realizan a través de "conjeturas informadas" que aprovechan la información de identificación personal (PII) disponible.
• Phishing: táctica de correo electrónico utilizada para engañar a la víctima para que haga clic en malware o para que ingrese PII (incluidas las credenciales de inicio de sesión) en un dominio de apariencia legítima.
• Ingeniería social: cubre una amplia gama de tácticas, desde correo electrónico, redes sociales, mensajes de texto y llamadas de voz, en las que los delincuentes manipulan socialmente a las víctimas para que entreguen información o transfieran fondos. Esto generalmente lo hacen personas que se hacen pasar por una entidad legítima (empresa o gobierno) y puede incluir amenazas e incluso chantaje.
• Fraude de identidad sintética: un esquema de fraude de identidad que utiliza una combinación de PII real y ficticia para abrir u obtener acceso a una cuenta.
• Fraude amistoso o familiar: una estrategia desafortunada pero muy común detrás de las ATO ocurre cuando el crimen es cometido por alguien conocido por la víctima.

Ver el vídeo: “Refinitiv Acquires GIACT To Build End-to-End Security”

Consecuencias de los ataques de "control de cuentas"

Si tienen éxito en estos esquemas iniciales, los criminales pueden participar en una variedad de otras actividades ilegales, que varían según el tipo de cuenta.

El nuevo informe de Aite Group señala que, después de apropiarse de la cuenta, los criminales se dedicaron a: