Por Bryan Jardine, Project Manager, Easy Solutions
Easy Solutions, líder en la detección y prevención de fraude electrónico cuenta con expertos que han dedicado la mayor parte de su tiempo y experiencia laboral a la planeación estratégica de la prevención del fraude y a mejorar los programas anti-fraude de cientos de compañías y entidades financieras. La compañía reunió a sus expertos para determinar cuáles son los hallazgos de errores más frecuentes que presentan los programas de prevención de fraude y esto fue lo que encontró.
1. Programas Reactivos
Podría decirse que el aspecto más común, y más preocupante, es que la mayoría de los programas anti-fraude que he evaluado durante el curso de diez años son enteramente reactivos, afirman los expertos de Easy Solutions. Esto quiere decir que este tipo de programas siguen a las tendencias del fraude y responden ante las amenazas sólo hasta que se manifiestan en el entorno. El problema con este enfoque es bastante obvio; hay que primero ver el fraude para detener el fraude. Hemos descubierto que es mucho más valioso identificar y medir el riesgo, tanto dentro de nuestro entorno, como fuera de él. Al medir el riesgo, se está en capacidad de identificar como se está expuesto, y al entender esto, se puede identificar las fortalezas y debilidades de un programa; coinciden los expertos.
Cuando se identifica el lugar más probable donde puede ocurrir un fraude, se pueden enfocar los esfuerzos para fortalecer aquellas fallas dentro de la estrategia de seguridad y de esta manera prevenir proactivamente la explotación de dichas debilidades. No obstante, su programa no debería detenerse ahí; usualmente creemos que cuando el fraude ha sido confinado, este ya se encuentra bajo control y este no siempre es el caso. Controlar el fraude es sólo la percepción de la efectividad de su organización para mitigarlo, pero nunca controlarlo. Un factor que siempre es difícil de cuantificar es qué tanto fraude usted ha evitado al implementar medidas de control versus qué tan atractiva es su organización para el fraude.
Cuando los ataques disminuyen o se detienen, hay que entender la razón. ¿Son sus herramientas mucho más efectivas que antes? ¿Decidieron los criminales trasladar sus esfuerzos a otro blanco más débil o fácil? o ¿Usted ha perdido la habilidad de detectar el fraude y este se encuentra en su punto ciego? En la gestión de programas, usted debe evaluar su entorno constantemente y explorar nuevas y mejores formas de mitigar el fraude según este se relacione con amenazas emergentes y desconocidas.
Adicionalmente, se puede aprender mucho conociendo que está sucediendo en el mundo del cibercrimen o cuáles son los temas más populares en los foros clandestinos y así diseñar una estrategia acorde para evaluar el riesgo y combatir las amenazas, garantizando de esta forma que usted cuenta con la capacidad de mitigación. Cuando vea a otra institución en las noticias debido a una violación de datos o a un incidente masivo de fraude, usted debe preguntarse; “¿Eso nos puede pasar a nosotros?” Si la respuesta es afirmativa, considere eso mismo como parte del problema. Si su programa no se encuentra ya preparado para tal eventualidad entonces tómese el tiempo para aprender de otros, pero a la vez considere las razones por las cuales no se encuentra preparado para ese tipo de eventos. ¿Por qué fue necesario ver una noticia para identificar un problema potencial? ¿Por qué mi equipo no ha anticipado ese tipo de explotación o vulnerabilidad? Más a menudo de lo que piensa, las instituciones se enfocan más en detener lo que saben que está sucediendo que en lo que puede suceder. Desafortunadamente, este enfoque favorece a los cibercriminales.
2. Perdidas por fraude
El segundo error más común que determinan los expertos es el enfocarse en las perdidas por fraude, en el juego de los números. Para los especialistas de Easy Solutions, este es el resultado de la forma en que las soluciones de fraude tradicionales nos han preparado para ver el fraude. Como muchos saben, la mayoría de las soluciones de fraude se enfocan en el valor monetario y en cómo se relaciona con el riesgo, con lo cual no quiero decir que no sea una perspectiva igualmente valida. Sin embargo, hacer esto implica que la solución anti-fraude ignorará completamente el riesgo asociado a valores monetarios pequeños, dejando así una apertura expuesta que puede pasar desapercibida. La mayoría de las instituciones se enfocan solamente en las transacciones más riesgosas, limitando su alcance e incrementando la exposición al riesgo en vez de reducirla. Esto es lo que llamamos “la muerte por mil cortes de papel”. Estas herramientas sólo miden el riesgo con base en eventos aislados, y luego tratan de integrar los riesgos estableciendo más de una condición para un evento en particular. En caso de que usted confié en la activación de alertas según criterios específicos, también debería saber que así mismo usted le brinda al cibercriminal una estrategia para circunscribir las medidas de control.
De esta forma, cuando sólo se revisan valores monetarios altos, muchas transacciones de montos pequeños pueden ocurrir en un corto periodo de tiempo, drenando efectivamente las cuentas sin que la institución reciba notificación alguna. Cuando esto sucede muy a menudo, las instituciones se encuentran en la situación de tener que crear controles adicionales que midan la velocidad de los eventos y los montos acumulados con el tiempo, mientras que continúan definiendo límites para lo que se evalúa y lo que no. Esto se debe al pobre desempeño de las herramientas y al volumen de las transacciones que clasifican en las categorías establecidas.
3. Falta de Análisis
Otro aspecto recurrente en los programas anti-fraude es la cantidad de análisis realizados. Cuando las herramientas anti-fraude fallan al detectar algún evento de fraude, se debe realizar un análisis para conocer la razón e igualmente que acciones correctivas deben implementarse para evitar que algo similar suceda de nuevo. Este proceso es bastante efectivo y debería realizarse para cada evento. No obstante, este proceso debe extenderse a todos aquellos eventos detectados, lo cual brindaría a la institución la habilidad para identificar qué fue lo que detuvo el ataque y que está funcionando debidamente ¿Por qué es esto tan importante? Porque esto es exactamente lo que los criminales hacen para detectar fallas en los mecanismos. Ellos determinan las causas principales cuando fracasan en sus intentos de robo para así volver y explotar la misma solución que usted utilizó para detenerlos anteriormente.
4. Clasificación Inadecuada de Ataques de Fraude
¿Alguna vez ha experimentado el fraude sin pérdidas monetarias? Lo más seguro es que sí, pero aún más importante ¿usted lo clasifica como tal? La exploración de las cuentas es un indicador importante del fraude y es usado para “normalizar” las actividades de las cuentas y recolectar datos específicos tales como: nombres, direcciones, números telefónicos, emails, etc. Usualmente, cuando un criminal compra nombres de usuario y contraseñas relacionadas con cuentas bancarias, también adquieren los datos mencionados. Esta información es recopilada mediante el reconocimiento en canales online y de otro tipo y es utilizada para efectos de verificación online o telefónica, o incluso para minimizar las probabilidades de fallar al responder preguntas de reto en logins o actividad supervisada. Si no se mide la ocurrencia de este tipo de eventos, no se están identificando efectivamente las vulnerabilidades de nuestros programas. Es importante darse cuenta de que el fraude no es sinónimo de pérdidas y que la fortaleza y las tasas de exposición de su programa.
