Procrastinar un defecto de los clientes… o de las entidades financieras?

Credit card payment, buy and sell products & service,selective focus

Por Luis Alfonso Ceballos  | Consultor Senior de Seguridad e Investigaciones, Líder COLADCA.

En América Latina los productos bancarios han evolucionado a grandes pasos en la últimas décadas, guiados por el desarrollo que demanda la economía global, ciertamente en el proceso el cliente puede estar siendo relegado y bien podría jugar un rol mas dinámico en la ecuación de prevención si no se enfocara en otras tareas menos relevantes que la seguridad.

Los clientes al entrar en el mundo de la tecnología de la banca electrónica, la es dinámica, compleja y cambiante; conlleva a que en el ambiente cibernético puedan sentirse inseguros, ahí es donde aparece un contendor soterrado que siempre está al asecho, es ese delincuente que se ha especializado en analizar, evaluar y permear los sistemas financieros, a sus empleados, clientes e incluso a los círculos cercanos a este.

Pensando como actualizar al cliente y la vez hacerle más exigente su adaptación a los nuevos procesos, se puede llegar a un primer enfoque basado en verter la experiencia de las entidades financieras, las cuales cuentan con la información sobre los el riesgo de la Industria, así contribuye a establecer planes de acción más ajustados a la problemática actual que están basados en la definición de deberes y derechos contractuales.

La responsabilidad más importante a mi juicio atañe al cliente el cual debería evaluar el riesgo, definiendo con asertividad los mecanismos de protección a su patrimonio informático y patrimonial, hoy se hace de manera casi intuitiva, al contar con el soporte de las entidades financieras y asesores especializados, seria indudablemente mucho más eficaz.

No es un secreto que la delincuencia busca permanentemente profesionalizarse en el tema del fraude haciéndolo trasnacional y multitemático. Vistos los enormes flujos de dinero que genera el delito a este nivel, es claro que tiene la capacidad técnica y financiera de permear desde lo tecnológico hasta lo humano sin el menor reparo.

Closeup of Woman Shopping Online on Tablet PC

Solo para hacernos a una idea en Colombia el fraude en el sector financiero genero perdidas por más de 122.000 millones de pesos por concepto del riesgo de su operación para el 2015 de acuerdo a la Superintendencia Financiera; el 2016 no fue diferente, que sumado a la corrupción bien podría llegar a casi un punto del PIB del país, tal como se menciono e insistió en el “Conversatorio Fraude Financiero en Contexto de la Seguridad Ciudadana” realizado en la Escuela de Postgrados de la Policia nacional de Colombia – ESPOL. Estos flujos de capital perdido bien podrían sacar de la extrema pobreza a un significativo número de conciudadanos o mejorar en un alto porcentaje los servicios asistenciales en todas aquellas zonas complejas del país.

Empecemos por mirar rápidamente la dinámica del delito financiero, hoy un altísimo número de transacciones se mueven a través de la Internet, lo que de alguna manera las ha hecho mucho mas expeditas y eficientes para los clientes y la Banca. Indiscutiblemente seguirán evolucionado hasta que el Banco sea una figura virtual en nuestros Smartphone y Portátiles, haciendo inoficioso ir a un Banco físico para solicitar una transacción o crédito, alguien decía que los Bancos necesitan la Internet, la Internet no.

Beautiful Asian woman using smartphone buying online shopping by credit card while wear sweater sitting on desk in living room at home. Lifestyle woman at home concept.

Tiempo atrás el fraude se movía mucho en el mundo de las tarjetas de crédito y el famoso Skimming era el terror de las franquicias, las pérdidas monetarias y las afectaciones a los clientes en dinero y servicio eran enormes, la industria realiza muchos ajustes a sus plataformas de autorización continuamente y además dio un paso enorme en la prevención para la falsificación integral al desarrollar, la tecnología EMV, (acrónimo de “Europay MasterCard VISA), o mejor conocido como “CHIP”, haciendo que el fraude migrara a las tracciones no presenciales, dejando obsoleto el skimming.

La banca en Colombia para el 2014, concentraba el fraude en Tarjetas en un 37% en Crédito y el 24% estaba en la Debito, para el 2016 las TC subieron al 40% y TD bajaron a 14%, lo que claramente indica que el delito no ha menguado, pero si se ha especializado en una zona donde el riesgo para el delincuente es bajo y rentable, las proyecciones de la Franquicias indica un crecimiento que en transacciones fraudulentas con tarjeta no presente constante. Un estudio realizado por LexisNexis y Javelin Research encontró que los emisores de tarjetas están perdiendo $ 10,9 mil millones de dólares en el último año, el componente de tarjeta no presente se incrementa dramáticamente.

Los Asaltantes de Banco son una modalidad en decadencia dado el alto riesgo y la baja ganancia, el delito ahora donde los delincuentes enfocan su energía son las cuentas corrientes y cuentas de ahorro. En los mismos años (2014 y 2016), vemos un crecimiento que prácticamente duplica los eventos, esto tiene mucho que ver con los Portales Bancarios, la apertura de productos crediticios a partir de la vinculación de “nuevos clientes” en la modalidad denominada suplantación – robo de identidad, (phishing, falsedad personal, falsedad documental), reflejado por un incremento de los reclamos del mas 30% con respecto al año 2015. Esto se nota en el número de reclamaciones ante los reguladores las cuales pasan de los 26 mil casos en el último año, por Suplantación presunta de persona 26.656, Vinculación presuntamente fraudulenta 2.448, dato de la Superintendencia Financiera a 2016.

Esta modalidad de fraude antes se veía como víctima principal a los clientes de la banca personal, ahora son clientes empresariales. La explicación se da en atención a que son mucho más rentables, si descontar que generalmente las empresas tiene más productos a controlar ( mayor saldo por supuesto).

Como sabemos que no es posible un 100% de blindaje al fraude pues es quimérico, tenemos que trabajar mucho para reducirlo o mitigarlo basados especialmente en no PROCASTINAR, lo cual significa , “No dejes para mañana lo que debes hacer ya”, perdiendo tiempo en temas no tan relevantes como nuestra seguridad, dando especial atención a todos los puntos en la relación Cliente –Banca.

Los desarrollos tecnológicos, capacitaciones, distribución de información, búsqueda de vulnerabilidades, selección de personal, etc. Todos ellos y muchos más derivados de análisis de riesgos periódicos con un cruce permanente de información y consolidando barreras para hacer más difícil el accionar de los criminales.

Asimismo el uso de plataformas confiables, software 100% certificado y actualizado, políticas para seguridad de la información, direcciones IP registradas, planes de confirmación en caso de operaciones de mayor monto, sospechosas o no habituales, manuales de ética entre otros programas; que comprometan a la empresas y la Banca en el bloqueo sistemático y organizado a los defraudadores, agradando su oportuna denuncia ante las autoridades competentes logrando que el avance sea consistente y continuo permitiendo reducir el fraude.

Para ello se hace necesario que las acciones legales especialmente en materia de Cibercrimen logren acopiar técnicamente en cadena de custodia el mayor número de evidencias, para convertirlas en pruebas contundentes que ayuden a seguir el flujo del dinero y la identificación de los responsables para que estos no continúen ascendiendo en su carrera delictiva, disfrutando de la impunidad y el dinero obtenido ilegalmente que afecta a la economía mundial.

Los clientes deben tener claro que la custodia de sus productos financieros es la garantía numero uno de la seguridad de los mismos, no pueden  subestimar la capacidad de los defraudadores para suplantarnos y tomar control de nuestras cuentas y demás activos, recordemos que somos nosotros los que tenemos la llave de la caja de caudales, si la dejamos debajo del tapete de entrada, no podemos abstraernos de nuestra responsabilidad.

Todos los ciudadanos tenemos una dependencia directa de los servicios y productos financieros, lo que nos convierte automáticamente en protagonistas de nuestra seguridad y tranquilidad. No se vale tratar de transferir el riesgo a la entidad o de no comunicar el evento, para negar la responsabilidad y oportunidad al momento de saber o detectar  que esta comprometida o vulnerada nuestra información cuando caemos en trampas como el phishing, ingeniera social o similares.

Una oportuna comunicación es determinante a la hora de contribuir para que otros clientes no caigan en estrategias similares, igual sucede cuando veamos extraños comportamientos en nuestros sistemas o en la portales de nuestro Banco, etc. La premisa es trabajar en equipo contra un enemigo que no mira quien en ultimas sea la víctima llámese entidad o cliente, al final gana, no importa quién pierda.

Group of coworkers watching online training or webinar

La educación financiera en el tema seguridad

Esta debe ser una premisa para el cliente y las entidades y de esta manera puedan  prevenir, detectar  y mitigar el fraude potencial o real y denunciarlo antes las autoridades competentes. Instruir al cliente en la forma de realizar un panorama de riesgos personalizado, que interprete la dinámica de los criminales, la evolución del delito, las múltiples formas de proteger el patrimonio económico y la administración de la  información.

La primer regla a tener en cuenta es que toda la información que se sube a Internet queda para siempre, en algún sitio y en algún momento esos datos pueden ser utilizados para explotarlos legalmente o ilegalmente.

Reitero esto último, ya que es la llave maestra para permitir el ingreso a toda nuestra vida comercial y personal, aquí tratare de esbozar algunos puntos de vista sobre las vulnerabilidades desde mi experiencia en el sector.

  • Las contraseñas como fuga de información, se dice quien la tiene posee el poder y esta premisa en el mundo criminal es la que los hace tan exitosos; por lo que custodiarla adecuadamente y compartirla de forma inteligente se convierte en nuestra primera acción de prevención. Hoy en la internet se habla permanentemente de fuga de información, perdida de bases de datos, toma de control de Smartphone, computadores personales, pago de servicios, Ransomware, portales falsos, robo de identidad entre otros. Pero quién de nosotros es consciente de ¿cuánta información hemos vertido en esa gran red que es la internet? y lo que conlleva, pero no dimensionamos como pueden los delincuentes construir a partir ella cualquier delito. Cuántos de nosotros cambiamos periódicamente nuestras contraseñas de acceso a Bancos, correos, redes sociales, etc. donde dejamos esta información, será ¿que esta a la vista de los criminales expertos?, por lo cual debemos cuestionarnos y dudar siempre.
  • Los computadores dedicados, cuando se trate de CPU/Portátiles, se debe limitar el acceso a estas maquinas con contraseñas de usuarios y en lo posible personalice su uso cuando se trate de gestiones financieras o sensibles.
  • Smartphones: Son parte integral no solo de las comunicaciones entre cliente y Banco, sino también son herramientas transaccionales, que pueden ser anuladas y reemplazadas fraudulentamente para realizar y/o confirmar operaciones. Nota: especial cuidado cuando viajen.
  • Los software: se deben actualizar invariablemente en nuestros equipos, verificar que todos los “parches” estén al 100%, no instalar aplicaciones que no estén certificadas.
  • Las APP´s: En redes sociales, tener claro que muchas aplicaciones solicitan acceso a nuestra información, y con ello pueden controlar hasta nuestra ubicación geográfica.
  • El software malicioso: este tema es enorme, el mejor preventivo es mantener un software antivirus licenciado de alta calidad, nota las cosas buenas no son gratis. Adicional entre menos se exponga menos se contamina.
  • El phishing: es un de las formas más exitosas mediante la cual los criminales capturan información crucial de acceso a los Bancos y otras entidades financieras, lo grave radica en que ni su entidad ni ustedes se enteran hasta cuando es ya es demasiado tarde. No use direcciones que se autocompletan o están en el banner de su navegador, la premisa es verificar las IP address https://www , el candado y de cuando en vez verificar toda la dirección.
  • Otra modalidad es el uso de links fraudulentos embebidos en la comunicación estos que bajan software malicioso, que captura toda información de la computadora, e incluso lo que se teclea en el momento, como nombre de usuario y contraseñas:ID LockkIMG_5162Estas son excusas utilizadas para engañar al usuario: cambio en la normativa del Banco, cierre incorrecto de la sesión del usuario, mejoras en las medidas de seguridad, detectada intrusión en sus sistemas de seguridad, bloqueo de la cuenta por motivos de seguridad, etc.
  • Con respecto a las contraseñas no se recomienda almacenarlas en la computadora, llámese “archivos secretos” o similares. Recuerden que si un hacker ingresa a su disco duro captura el 100% de su información, y si su animo es delincuencial la puede usar a discreción.
  • Los backUp: Suena técnico, la verdad es tan sencillo como respaldar periódicamente nuestra data en medios externos, llamase CD´s DVD´s, discos externos y ahora la Nube (Cloud) dándole la apropiada seguridad.
  • Ransomware:  (del inglés ransom, ‘rescate’, y ware, por software) es un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción. Algunos tipos de ransomware cifran los archivos incluyendo el sistema operativo, inutilizando el dispositivo y coaccionando al usuario a pagar el rescate. (1) Hoy se ha convertido en una modalidad de extorsión donde exigen pagos periódicos incluso mediante del Bitcoins y otro tipo de transferencias monetarias.
  • La ingeniera Social: Nuestros colaboradores y familias conocen como trabajan los delincuentes buscando información, están preparados para resistir los ataques en medios como encuestas, teléfonos, internet, entrevistas, etc.

Hay mucho material sobre estos temas de prevención, mantengámonos informados y tendremos el poder, mitigando las perdidas hasta donde sea posible. Procrastinar… No.

Luis Alfonso ceballos, es Consultor Senior de Seguridad e Investigaciones, Especialista en Seguridad Física e Investigaciones de Fraude Financiero. Cuenta con experiencia en las áreas de seguridad electrónica, facturación, presupuestos, control de gestión, conocimiento en comunicación organizacional, recursos humanos y sistemas. Con amplia expertise en la generación de mecanismos administrativos de protección que proporcionen a las empresas mejores ambientes organizacionales, máxima productividad y una mejor administración eficiente de los recursos, es Líder COLADCA y aporta desde varios años en el comité de expertos del sector financiero y bancario.

Publicación original en: Revista InSecurity©️ de la Comunidad COLADCA https://issuu.com/coladca/docs/revista_insecurity_-_coladca/22

Este es el blog de COLADCA©️ Comunidad Latinoamericana de Consultores y Asesores en Gestión de Riesgos y Seguridad 12 países conectados en el propósito de seguir Dejando Huella. Visítenos en http://www.coladca.com

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s