A finales del 2013, nuestro CTO Dan Ingevaldson realizó algunas predicciones sobre el comportamiento del fraude en el 2014. Ahora que ha transcurrido la cuarta parte de este año, vemos como el altamente dinámico entorno de las amenazas ha confirmado algunos de los peores miedos de Dan, además de que podemos observar el surgimiento de nuevas amenazas a través de vectores de ataque no antes vistos.
A continuación encontrará una lista con algunas de las tendencias de fraude que impactarán dramáticamente las transacciones electrónicas durante el resto del 2014:
1. El incremento en la adopción de la banca móvil ocasionará cantidades sin precedente de malware móvil
La banca móvil está creciendo tan rápido que para finales del próximo año superará a la banca online como la principal forma en que los usuarios interactúan con su institución financiera. Hoy en día, el 58% de los americanos poseen al menos un teléfono inteligente y el 42% tiene una tableta; así, la oferta de banca móvil ha pasado de ser un componente más de la ventaja competitiva de una institución, a ser parte del portafolio de servicios básicos que un banco ofrece a sus usuarios.
El famoso gánster Willie Sutton mencionó en cierta ocasión que él robaba bancos porque ahí era donde el dinero estaba, y los cibercriminales de la actualidad han seguido el rastro del dinero hasta los canales móviles, donde los usuarios están realizando sus operaciones con mayor frecuencia. Un reciente estudio de Juniper Research concluyó que el 80% de los teléfonos inteligentes no cuentan con la protección adecuada contra la amplia gama de ataques de malware que existe; ciertamente un número bastante pesimista que incluso se incrementa si incluimos los nuevos ataques que los programas de seguridad móvil no han detectado aun. Igualmente, Kaspersky reportó recientemente que en el 2013 más de 1.900.000 usuarios alrededor del mundo encontró malware bancario y que el 98% de esos usuarios utilizó los servicios financieros a los cuales el malware iba dirigido. Todos aquellos ataques de malware, hoy tradicionales, que se han manifestado en el entorno online: phishing, sitios falsos, pharming, ataques Man-in-the-Middle y Man-in-the-Browser, también están siendo desplegados exitosamente contra los usuarios de banca móvil, además de algunas otras amenazas nuevas exclusivas para este canal emergente como las aplicaciones maliciosas y el malware dirigido a dispositivos Apple con modificaciones “Jailbroken”.
Una sola solución para enfrentar las diversas amenazas que pueden afectar las plataformas de banca móvil no es suficiente para detener el monstruo multicéfalo del fraude, el cual evoluciona vertiginosamente para explotar cualquier vulnerabilidad en la infraestructura de banca móvil de una institución. Lamentablemente, la autenticación con dos factores ha sido derrotada por el malware diseñado específicamente para ataques de alto perfil como fueron los casos de Eurograbber y Operation High Roller que resultaron en millones de dólares robados de los bancos y sus clientes. Estos ataques probaron de una vez por todas que asignar la autenticación a dispositivos no seguros no mitiga el fraude, lo facilita. Si los dispositivos no están protegidos, y los bancos no cuentan con la visibilidad necesaria del comportamiento de navegación del usuario y del estado de salud del dispositivo, la banca móvil sólo resultará en más fraudes. Mediante la protección multinivel de Easy Solutions Mobile, las instituciones financieras pueden diseñar esquemas de autenticación Push directamente en sus aplicaciones de banca móvil, protegiendo proactivamente los dispositivos de sus usuarios y obteniendo la importante visibilidad del entorno de fraude del usuario final, además de permitir que dispositivos infectados con malware puedan realizar transacciones móviles de forma segura.
2. Los ataques dirigidos a las partes más vulnerables de la cadena de los pagos con tarjetas continúan tomando a los comerciantes por sorpresa
Desde el Black Friday del año pasado, un número importante de comercios minoristas junto con los clientes que compraron en ellos usando sus tarjetas de crédito y débito han caído victimas de sofisticados ataques dirigidos a las terminales POS de los comercios. Target, Neiman Marcus, Sally Beauty y Michael’s han tenido que lidiar con las consecuencias de las masivas violaciones de tarjetas que sufrieron, y se rumora que otros comercios pronto anunciarán que también fueron víctimas de ataques similares. Las instituciones financieras han hecho un excelente trabajo al fortalecer su “Puerta Principal”; esto es la infraestructura directamente bajo su control, la cual han protegido para prevenir ataques y mitigar el fraude. No obstante, las violaciones de datos que ocurrieron al nivel de los comerciantes muestran que los cibercriminales siempre están buscando una “Puerta Trasera” que no esté tan protegida contra sus ataques. Estos cibercriminales buscan obtener tanto dinero como puedan utilizando tan pocos recursos y exponiéndose al riesgo tan poco como sea posible, y la explotación de las fallas de seguridad que existen en las terminales POS, muy comunes por cierto, ha resultado en un éxito para las operaciones de los criminales. Con miles de comercios entre los cuales los criminales pueden escoger en términos de posibles ataques, es inevitable que otros negocios se vean afectados también y que las instituciones financieras no puedan hacer mucho al respecto. El cambio a las tarjetas de chip y pin EMV por una parte ha reducido los intentos de clonación física de tarjetas, pero por otra ha ocasionado un incremento significativo en el fraude con transacciones sin tarjeta presente, ya que le fraude evoluciona para moverse hacia el eslabón más débil de la cadena de pagos.
Si bien las instituciones financieras no pueden detener los ataques en un vecindario que es responsabilidad de otras entidades de la cadena de pagos, si pueden y deben implementar medidas de seguridad para mitigar el daño que su compañía pueda sufrir como resultado de un ataque. Un enfoque pasivo que espera hasta que el fraude ocurra para detenerlo genera muchas más perdidas que una estrategia que preventivamente desactive el fraude mediante inteligencia sobre ataques inminentes e información sobre tarjetas robadas. La información robada de tarjetas aparece casi de inmediato en los sitios web de los mercados negros que trafican con credenciales hurtadas y tarjetas clonadas para compras ilegales, pero una institución que tiene la capacidad de ver cuando las tarjetas de sus usuarios aparecen en estos sitios pueden cancelarlas antes de que se cometa el fraude. DMS Compromised Card Services le brinda a su institución el poder para proteger preventivamente las cuentas de sus usuarios que aparezcan en los mercados negros antes de que haya accesos no autorizados que pongan en riesgo el dinero de los usuarios.
3. Los usuarios finales continúan omitiendo las mejores prácticas cuando navegan en la web o realizan compras online o en dispositivos móviles, permitiendo así que ataques serios sucedan
El ataque a Target se realizó a través de terminales POS infectadas, pero todo inicio con un ataque de phishing dirigido a los empleados de un proveedor HVAC que tenía negocios con Target. Fue este ataque de phishing lo que le permitió a los cibercriminales eventualmente obtener el acceso que necesitaban a la infraestructura de Target y robar millones de números de tarjetas de crédito y débito sin ser detectados. El comportamiento de navegación del usuario final continua siendo el talón de Aquiles que permite que los ataques más exitosos roben grandes sumas de dinero, y al parecer ningún tipo de programa educativo tiene efecto alguno en la tendencia que muestran los usuarios de acceder a enlaces malintencionados. No importa que tanto lo deseen las instituciones financieras, los usuarios simplemente no están pensando en el fraude cuando navegan en la web o realizan sus compras online. Los bancos tampoco pueden reprender a sus usuarios cada vez que dan clic en un enlace de malware, descargan un archivo fraudulento o ingresan sus credenciales en un sitio web de phishing que imita perfectamente al sitio legítimo. En vez de esto, los bancos necesitan un método para mitigar aquellos comportamientos riesgosos que están fuera de su control.
Teniendo en cuenta que el comportamiento de navegación peligroso es un aspecto muy real, las instituciones deben desarrollar esquemas de seguridad que asuman que el usuario accidentalmente o imprudentemente infectará su dispositivo, pero que aun así permitan la interacción con la plataforma móvil del banco. Con este fin, Detect Safe Browsing (DSB) aprovecha una amplia gama de datos tomados de los dispositivos de los usuarios para detener el fraude en tiempo real, brindando un canal protegido con los sitios web más frecuentemente utilizados por los usuarios. DSB escanea el dispositivo en busca de los más recientes tipos de malware, incluyendo aplicaciones fraudulentas que sean en realidad malware disfrazado. Las instituciones financieras asimismo ganan una valiosa perspectiva de los usuarios y sus dispositivos, vigilando en tiempo real que formas de malware amenazan su base de usuarios para detenerlas antes de que causen algún daño.
Como evidencian las tres tendencias de fraude que mencionamos, el fraude se encuentra en constante evolución para evadir las estrategias de seguridad que las instituciones implementan para protegerse. Una sola estrategia anti-fraude no es suficiente en el siempre cambiante entorno del fraude actual, ya que los cibercriminales constantemente sondean las infraestructuras de las instituciones en busca de vulnerabilidades que puedan explotar en nuevos tipos de ataques. El enfoque más efectivo contra la inmensa variedad de tipos de fraude que atentan contra compañías de todo tipo es la instalación de diferentes niveles de seguridad a lo largo del proceso transaccional de forma que incluso si un ataque pasa inadvertido por uno de los niveles, será detectado por el siguiente. La estrategia de Protección Total contra Fraude® de Easy Solutions ofrece protección end-to-end en todos los canales contra todas las formas de fraude electrónico, a través de todas las etapas del ciclo de un ataque, desde la planeación a la recolección de ganancias. Esta plataforma le permite a su negocio utilizar datos e inteligencia en tiempo real a través de todos los niveles de protección para lograr una gestión proactiva del riesgo sin importar cómo evolucione el fraude.
Fuente:Bryan Jardine, Product Manager, Easy Solutions
One Reply to “Tres Tendencias y Proyecciones de Amenazas Financieras para el 2014, y Como Puede Protegerse”