Las instituciones financieras deben fortalecer las acciones preventivas para detectar de forma temprana las amenazas, incrementando la sensibilización de sus empleados y el uso de capacidades robustas de inteligencia, advirtió Jefferson Gutierrez, socio Líder de Asesoría en Tecnología Forense de KPMG en México.
De acuerdo con un informe publicado por la FinCEN, para agosto de 2021 las instituciones financieras en Estados Unidos habían reportado alrededor de 590 millones de dólares en pagos posiblemente relacionados con ransomware.
La realidad demuestra la rentabilidad que el cibercrimen representa para los perpetradores, ya que la encuesta 2022 KPMG Fraud Outlook señala que el ransomware se ubicaba en el cuarto lugar como la amenaza cibernética que más se incrementó durante 2021.
Sin embargo, el robo de identidad, amenazas internas, fraudes por apropiación de cuentas o fraudes con identidad sintética (SIF, por sus siglas en inglés), riesgos por terceros están también entre las modalidades de ataques más utilizados en contra de los usuarios de servicios financieros y de las propias instituciones.
“Además del robo de identidad de la institución misma, un suplantador puede crear una ‘identidad sintética’ al añadir elementos ‘ficticios o fabricados’ a datos robados y, de este modo, ir construyendo perfiles de clientes con un historial falso con el fin de burlar los controles de las instituciones financieras en el otorgamiento de créditos. El fraude por SIF es un flagelo que está afectando de forma relevante a bancos de Estados Unidos”.
En México, en lo que va del 2022, de acuerdo con la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef) se han presentado reportes de suplantación de identidad de 52 instituciones financieras.
Por ello, el experto consideró que las entidades bancarias deben incorporar mecanismos adicionales de automatización y analítica para la validación de la identidad en los procesos de vinculación y mantenimiento de clientes.
Ante las amenazas internas, conformadas por un conjunto de riesgos derivados tanto de la tecnología como de los procesos y las personas, que pueden ocasionar la pérdida de información financiera, propiedad intelectual o datos de clientes, expuso, es crucial usar tecnología existente como Machine Learning y Analítica Avanzada para monitorear el comportamiento en los sistemas e identificar comportamientos anómalos.
En la apropiación o secuestro de cuentas (ATO, por sus siglas en inglés), aunque pueden utilizar ataques de ingeniería social, es importante reforzar las tecnologías para la detección del fraude transaccional, incluyendo protocolos de autenticación y acceso que involucren elementos adicionales de análisis del dispositivo utilizado y anomalías en su uso.
Asimismo, antes de autorizar una transacción o conceder acceso al banco, también se puede solicitar información biométrica, en los casos donde sea posible; geolocalización; análisis de comportamiento transaccional, entre otros.
“Entre enero y septiembre de 2021, se presentaron reclamaciones por parte de usuarios de la banca por más de 653 millones de pesos por posible robo de identidad; sin embargo, muchas reclamaciones no procedieron, precisamente porque el cliente entregó voluntariamente su contraseña o usuario al tercero que ejecutó el fraude”.
También sugirió realizar controles robustos asociados a terceros, así como contemplar estrategias para gestionar el riesgo de cuartas partes (subcontratistas de los terceros) y la finalización de la relación contractual derivada de fallas en el cumplimiento de las obligaciones. En general, se recomienda establecer un programa para la gestión de riesgos de tercero
Una encuesta de KPMG reveló que 73 por ciento de las personas entrevistadas había sufrido alguna disrupción causada por un tercero como un proveedor de servicios (28 por ciento en el caso de instituciones financieras); en el mismo sector, 53 por ciento indicaba que no había suficiente conciencia en relación con la implementación de programas de riesgos de terceros en las instituciones financieras.
Aunque el sector financiero ha ido fortaleciendo acciones preventivas, se deben integrar nuevas perspectivas e implementar las herramientas tecnológicas requeridas para afinar sus mecanismos de control, a fin de superar la intensidad y sofisticación de los ataques, logrando así que la ciberseguridad sea el jugador de éxito en la industria.
C$T-GM