Tres predicciones sobre el fraude online para 2020


Al tiempo que los bancos se esfuerzan por simplificar la banca online y agilizar los pagos para sus clientes, a la vez se están enfrentando a una carrera contrarreloj para actualizar sus sistemas de seguridad y cumplir diferentes normativas. Hemos recopilado las tres tendencias relacionadas con el fraude que llegarán al sector de la banca en 2020.

Uso de la ingeniería social

A medida que la tecnología de lucha contra el fraude se adapta y mejora, los fraudsters emplean técnicas alternativas en su intento por pasar desapercibidos. Debido a que cada vez les resulta más complicado hackear los sistemas bancarios, están desplazando su atención a un objetivo más sencillo: el cliente.

En 2020 se espera un incremento de los ataques de fraude mediante ingeniería social, en los que los delincuentes tratan de engañar por medio de estafas inocentes que manipulan a los clientes para que divulguen su información personal de identificación (en inglésPersonally Identifiable Information, abreviado PII).

Esta forma de ataque no depende de ser un experto en programación, los estafadores no tienen por qué ser hackers expertos para engañar a sus víctimas. Cualquiera puede hacerlo mediante herramientas sencillas que pululan en Internet, se hace necesario ser muy precavido.

 

Phishing

Este es, con mucho, el tipo de fraude más habitual y uno de los más conocidos. La técnica funciona porque los delincuentes apelan al miedo de las víctimas. Los fraudsters pueden recrear sitios web o dominios de correo electrónico de empresas prestigiosas y de confianza de forma que parezcan legítimos. Envían enlaces a malware a través de correo electrónico a personas desprevenidas, que se lo descargan engañadas en sus dispositivos.

El phishing sigue evolucionando y ahora se produce cada vez más a través de SMS (smishing) o llamada telefónica (vishing), un sistema que está dando muy buenos resultados a los fraudsters. A través del vishing, logran recrear a la perfección el sistema de respuesta de voz interactiva (IVR) de una empresa prestigiosa. Después, lo vinculan a un número gratuito e, irónicamente, el mensaje grabado pedirá a la víctima que, “por su seguridad”, introduzca sus datos bancarios y credenciales para confirmar su identidad y evitar ser robado.

 

fraud-trends-2020-02

 

Quid Pro Quo

Este método de ingeniería social también puede adoptar la forma de «quid pro quo». Por ejemplo, alguien puede contactar con una persona haciéndose pasar por un representante de la Seguridad Social e informando de que han tenido un problema informático.

Seguidamente, pide a esa persona que confirme su número de la Seguridad Social para comprobar que coincide con el que tienen en sus archivos.

El fraudster utilizará esta información para cometer un fraude de robo de identidad. Parece que le ofrecen un servicio, pero, en realidad, no dan más que problemas.

 

fraud-trends-2020-01

 

Cebo (en inglés, Baiting)

Se produce cuando el delincuente ofrece al usuario algo atractivo para incitarle a proporcionar información confidencial

¿Cuántas veces le ha aparecido un cuadro de diálogo en una página web felicitándole por ser el visitante número mil y pidiéndole que haga «clic aquí» para reclamar su nuevo iPhone? Lo único que tiene que hacer es introducir su información personal.

Esto es baiting, un engaño magnífico para recopilar información confidencial.

 

Fraude de cuenta nueva (en inglés, New Account Fraud, abreviado NAF)

El incremento del uso de la ingeniería social implicará el auge de algo que los bancos están empezando a priorizar en sus tareas:  combatir el fraude de cuenta nueva.

En pocas palabras, se produce cuando la información de un cliente es robada o se construye de forma falsa (Robo de Identidad o Identidad Sintética) y se utiliza para abrir una cuenta nueva y usarla de forma fraudulenta para robar dinero. Esto puede provocar enormes pérdidas financieras a los bancos y dar al traste con la calificación crediticia de algunos clientes.

 

Estafa de pago autorizado (fraude APP)

Las estafas de pagos autorizados (en inglés, Authorized Push Payment o APP) se producen cuando se engaña a una víctima para depositar pagos en una cuenta que cree que es de un destinatario legítimo, pero que resulta estar controlada por un estafador. Esperamos un aumento de este tipo de fraude por dos razones:

  • Una de las prioridades de los bancos es mejorar la experiencia de usuario.Pero, ¿este empeño no está haciendo a los bancos y sus clientes más vulnerables a los ataques? Debido al auge de los pagos más rápidos en todo el mundo, los fraudsters pueden robar y recibir dinero en tiempo real, por lo que hoy es más fácil que nunca cometer un fraude y desaparecer antes de que nadie se percate de que existe una actividad fraudulenta.

  • Estos estafadores suelen servirse de la ingeniería social. Por ejemplo, suelen utilizar algún pretexto para engañar a los clientes. Pueden hacerse pasar por una persona recientemente contratada por la víctima, por ejemplo, un constructor o un abogado, y enviar una factura por los servicios prestados. De esta forma, la víctima tiene un pretexto para pagarles sin siquiera plantearse si se trata de una petición legítima.

Cuando se percatan de que los datos de la factura no se corresponden con los de la persona que ellos pensaban, sino que pertenecen a una cuenta bancaria controlada por un estafador, suele ser demasiado tarde

 

fraud-trends-2020-03


Aumento de víctimas jóvenes de estos tipos de fraude

La investigación llevada a cabo por Lloyds Bank demuestra que en el último año se han cuadruplicado las víctimas jóvenes de fraude con respecto al año pasado. De hecho, Lloyds afirma que este grupo de edad recibe tantos ataques como los mayores de 55.

"La Generación Z se ha criado en brazos de la tecnología y su propia confianza en la misma les está pasando factura."

Desoyen las advertencias sobre el fraude mientras los fraudster idean constantemente nuevas formas de abordar a los más jóvenes y aprovecharse de su exceso de confianza; se trata de una tendencia que va a continuar. Los jóvenes son particularmente vulnerables a las estafas como APP.

 

Las nuevas iniciativas reglamentarias podrían cambiar la economía del fraude en todo el mundo

Una iniciativa denominada Contingent Reimbursement Model (CRM), que entra en vigor el 28 de mayo de 2020 en el Reino Unido, podría modificar la economía del fraude. Los bancos que se adhieran a este código voluntario se comprometen a reembolsar a las víctimas de un fraude APP en el plazo de 15 días. (Lista de participantes).

La norma se ha definido para proteger a los clientes vulnerables a este tipo de estafa, a los que podría resultar difícil recuperar sus fondos. Por ejemplo, si alguien realiza un pago de 200 libras a un defraudador, este hecho podría pasar desapercibido para las medidas antifraude de la mayoría de los bancos, pero para mucha gente esto supone una gran cantidad de dinero.

En virtud de ellos, los clientes pueden notificar el caso de fraude fácilmente, reclamar el dinero a sus bancos y solucionar el problema rápidamente.

 

¿Qué implica esta regulación para los bancos?

Aunque el CRM solo se aplica en el Reino Unido, ese mercado se suele adelantar al resto de los países, por lo que se espera que estos estén muy atentos a los resultados del CRM.

Este reglamento se suma al resto de la normativa, especialmente a la Segunda Directiva sobre Servicios de Pago europea (PSD2), que estipula un reembolso inmediato al cliente por parte del proveedor de servicios de pago en caso de que se produzca una operación de pago no autorizada. Además, si se sospecha que un usuario se está comportando de forma fraudulenta, se ha establecido una responsabilidad máxima de 50 euros.

Tanto en virtud del CRM o de PSD2, el aumento de la obligación de los bancos de reembolsar a los clientes afectados por un fraude tiene un coste. Si los bancos reembolsan el dinero a los clientes, pero son incapaces de cubrir sus pérdidas, sufrirán donde más les duele: en su hoja de balance.

Sin duda, esto obligará a los bancos a reducir su exposición al fraude mediante la introducción de medidas destinadas a identificar activamente a los fraudsters antes de que puedan causar daños.

 

Publicado por Pablo de la Riva

Pablo de la Riva founded his first company when he was 21 years old – a security consulting firm – and buguroo is his first software startup experience. He has been working in the anti-fraud sector for almost 15 years, first as a cyber-security analyst, then as a team leader, later as CTO with almost 200 people reporting to him and now as CEO.


¿Te ha gustado? Comparte en tus comunidades sociales

 
Te recomendamos que leas...

¿Qué piensas sobre este tema?

Deja tus comentarios

 

¿Necesitas reducir el fraude online de tu banco?

Descubre nuestra visión holística aplicada a la detección del fraude online

Solicita una demo