Cómo prevenir e identificar ataques a través de Ingeniería Social
Por Adrián Sánchez Bolaños, Director de Planeación Estratégica para América Latina y el Caribe en LexisNexis® Risk Solutions
Los estafadores utilizan la ingeniería social para recopilar información de los titulares legítimos de cuentas para estafar a los consumidores. Las estafas que manipulan al titular legítimo de la cuenta para realizar una transacción que conduce al fraude no son nuevas para la mayoría de las organizaciones e industrias. Lo que es nuevo es el aumento en el uso de canales digitales y móviles que permiten la comunicación con individuos desconocidos cuya identidad y autenticidad el cliente puede necesitar ayuda para verificar.
En 2014 nosotros comenzamos a rastrear el tráfico móvil en la red LexisNexis® Digital Identity Network® El porcentaje de tráfico móvil entonces era de apenas 25%. En nuestro más reciente informe, la parte móvil de las transacciones alcanzó 75% por primera vez. El cambio implacable a la tecnología móvil continúa, impulsado por las generaciones más jóvenes y mayores que adoptaron la tecnología móvil y las poblaciones de mercados emergentes que se saltaron por completo los dispositivos de escritorio y se mudaron directamente a los servicios móviles.
Esta combinación de un mayor uso de canales digitales y móviles, así como la falta de capacidad para verificar si la persona que contacta al cliente es legítima, corre en forma paralela con algunas vulnerabilidades humanas básicas, lo que lleva a una explosión de estafas e ingeniería social.
Los estafadores buscan manipular a los consumidores para que proporcionen información confidencial, tanto personal como financiera, que no proporcionarían voluntariamente. El estafador se hace pasar por una autoridad, como un agente de una compañía específica, la policía o una pareja romántica interesada. Debido a que el comportamiento humano está en juego, una solución preventiva efectiva debe involucrar tanto la educación del cliente como un enfoque más matizado para la detección y mitigación.
Dado que los clientes creen que están realizando una transacción legítima, los métodos tradicionales contra el fraude por sí solos pueden no ser suficientes. Combinar la detección de fraude y la autenticación dirigida es clave para una solución duradera.
Hay varios elementos a considerar al comprender cómo combatir la ingeniería social y otras estafas de ciberseguridad:
- Detectar al estafador: Las organizaciones deben investigar a fondo la asociación del nombre del beneficiario con el correo electrónico o los números de teléfono, luego realizar un análisis para determinar si la asociación de la cuenta del beneficiario o la velocidad de actividad se eleva a un nivel de preocupación.
- Identificar el canal de ataque: ¿Se está contactando al cliente a través de mensajes de texto, correo electrónico o una llamada telefónica? ¿Cuál es la motivación? ¿Hay urgencia en el tono de la comunicación? ¿La comunicación apela a la caridad o al romanticismo de un consumidor para que actúe rápido? Todos estos son signos de actividad sospechosa que justifican una mayor investigación.
- Comprender las señales del canal de fraude: Otras señales de alerta son los pagos simples de persona a persona, en tiempo real, especialmente si están fuera de la norma, así como las transferencias bancarias, especialmente sin son varias a una misma persona.
- Proteger al consumidor: Si bien la organización tiene la obligación de proteger a sus consumidores en segundo plano, también debe ayudar a educarlos sobre cómo identificar actividades o comportamientos sospechosos. En caso de duda, los consumidores deben comunicarse directamente con la organización a través de un número de teléfono publicado para confirmar si una amenaza es real.
Si bien estos diferentes factores pueden parecer muy difíciles de resolver, existen enfoques que combinan soluciones digitales y físicas, biometría del comportamiento y análisis de datos para ayudar a resolver el desafío de la estafa. La manipulación psicológica del consumidor hace que los controles de fraude convencionales que utilizan direcciones IP, dispositivos y atributos de red sean menos efectivos por sí solos para frustrar estas estafas complejas. Agregar múltiples tácticas de prevención, como la biometría del comportamiento mezclada con elementos de datos de identidad física y del dispositivo, ofrece una defensa más sólida contra el fraude.
La biometría del comportamiento es una táctica de defensa relativamente nueva que las instituciones financieras, los minoristas y otros pueden usar para ayudar a detectar estafas. Permite analizar en segundo plano la forma en que un usuario interactúa con un dispositivo o una aplicación en línea, observando el movimiento del teléfono, el comportamiento de la pantalla táctil, el ritmo de la escritura, el tiempo que pasa en una página y otros gestos interactivos.
Esta tecnología utiliza este tipo de información para desarrollar una comprensión más profunda de la identidad digital detrás de la acción y sus movimientos típicos para identificar desviaciones que podrían ser indicativas de actividad fraudulenta. Las empresas pueden aprovechar este cúmulo de información y el contexto en tiempo real del análisis de comportamiento para tomar mejores decisiones de fraude que apoyen a los consumidores y los protejan durante su experiencia digital.
Los estafadores continuarán innovando las maneras para defraudar a los clientes. Las empresas pueden superar las complejidades de la ingeniería social y otras estafas mediante la adopción de nuevas estrategias para detectar mejor los múltiples vectores de amenazas vinculados a las estafas. Esto incluye analizar los atributos de la cuenta asociados a cómo el consumidor está transfiriendo fondos y los canales utilizados en el ataque. Las empresas también pueden minimizar las oportunidades de ingeniería social educando a los clientes sobre cómo asumir un papel más proactivo en la protección de su seguridad en línea.