¿Cuál es la diferencia entre percepción y realidad a la hora de comprender el impacto y la respuesta a los ataques de ransomware?
Fraude financiero en Internet: las cuatro claves para construir una exitosa defensa
Con los servicios de banca digital en expansión, se ha hecho imprescindible poner en marcha tecnologías y sistemas de defensa contra los ciberdelincuentes y el fraude financiero. Solo en España, la banca tradicional podría aumentar sus ingresos anuales en más de un 3,6% si adoptara una íntegra y definitiva transformación digital. Un pastel de 14.000 millones de euros adicionales que, sin embargo, son solo una parte de la pérdida económica derivada de los fallos en ciberseguridad, el robo de datos personales, el fraude de identidad y el blanqueo de capitales por Internet.
La necesidad de blindar la seguridad de los servicios digitales lleva a las entidades financieras a convertir la confianza y la seguridad de sus sistemas en dos de sus principales activos, ya sean estructurales e incluso a nivel publicitario o de marketing. Las inversiones en este sentido deben ser generosas y estar muy bien enfocadas, aparte de resultar imprescindibles. Los equipos y responsables de la seguridad de los bancos deben entonces atender a una gestión bien repartida y sopesada. Pero, ¿cuáles son los factores clave que no deben faltar en una buena estrategia antifraude?
Los cuatro pilares de la lucha contra el fraude financiero
Cualquier estrategia contra el fraude financiero, ya sea por medio de Internet o tradicional, debe repartir los esfuerzos y la financiación en cuatro ámbitos principales:
I. TECNOLOGÍA | Las herramientas de monitorización de toda la actividad en los distintos canales digitales, facilitadas por la inteligencia artificial (IA), es un elemento básico de la planificación y optimización de la estrategia. No solo implica monitorizar las transacciones, sino cualquier elemento técnico como datos de inicio de sesión o información de red, que además puede provenir de diferentes dispositivos. La tecnología debe ser lo suficientemente eficaz para analizar los datos generados y autentificar información suficiente para trazar perfiles detallados de los usuarios. Para ello, si fuera necesario, habría que apoyar la infraestructura con programas específicos de gestión de datos o software de visualización. Estas herramientas ayudarían a trazar relaciones entre los clientes de las entidades y los posibles delincuentes; a comprender de manera global todo el contexto digital y a hacer las investigaciones más eficaces y rápidas. En este punto también entra en juego la verificación de la identidad, mediante recursos propios o empresas externas, que debería ser práctica, ágil, accesible y lo más sencilla posible para el cliente.
II. PERSONAS | Uno de los mayores errores que puede cometer una empresa a la hora de invertir en tecnología antifraude es confiar esta tarea al equipo equivocado. Este equipo, en ocasiones un proveedor externo de servicios de seguridad, necesita fondos suficientes y un liderazgo firme y flexible. El personal, con la dirección adecuada, debe ser capaz de gestionar gran cantidad de datos con la máxima precisión y privacidad. Por otra parte, no hay que dar la espalda a la automatización de ciertos procesos, que podría suponer un gran ahorro en los costes prescindiendo de personal superfluo. Los analistas de delitos informáticos deberían combinar una faceta meramente técnica, de análisis de datos y aplicaciones, con una visión empresarial. Por un lado, conocer los fraudes más usuales, como los distintos tipos de virus, el spam o el phishing, en el que se manipula al usuario para que revele información personal confidencial; y por otro cómo se articulan y propagan en toda la actividad corporativa. El analista tendrá la capacidad de detectar, mediante vigilancia y un seguimiento exhaustivo, si una sesión pertenece a un usuario normal o a un atacante tratando de suplantar una identidad. Este departamento deberá poseer una formación y experiencia muy específicas en temas relacionados con el blanqueo de capitales y el control de transacciones. Por supuesto, también deberá conocer a fondo el modelo de negocio de la entidad y evaluar la probabilidad de que los ataques sucedan en el mismo. A todo esto, finalmente, sería de gran ayuda añadir una formación en hábitos de ciberseguridad (alfabetización digital) para toda la plantilla de la corporación.
III. PROCESOS | Un buen punto de partida para testear el rendimiento de los equipos contra los ataques cibernéticos sería simular uno de estos incidentes. Los ensayos pondrían a prueba todos los mecanismos del proceso de reacción y erradicación, más teniendo en cuenta que los departamentos contra este tipo de delitos dentro de las entidades son relativamente principiantes y los ataques cada vez más sofisticados. Las pautas y protocolos deben estar bien definidos y servirse asimismo de las guías ya existentes de respuesta a problemas informáticos, simplemente adaptándose a este departamento en concreto.
IV. GOBERNANZA | Alrededor de la sección especialista contra la ciberdelincuencia, conviene establecer un comité de gobernanza. Esto es, un equipo formado por representantes de todas las áreas de la entidad (departamento comercial, sistemas, etc.) con competencias para decidir sobre el enfoque general de la estrategia, abarcar los posibles riesgos y, por último, auditar todas las acciones. El comité debe regirse por las pautas y directrices que se hayan marcado previamente y no obviar que los ataques podrían tener diversos fines (destrucción de datos, espionaje, mera diversión, etc.) o llegar incluso desde el mismo seno de la empresa. Su trabajo será esencial, pues de su supervisión devendrá el éxito del equipo de defensa y repercutirá en la calidad del servicio. Y, lo más importante, devendrá en la seguridad de los clientes y usuarios. En efecto, la ciberseguridad es una responsabilidad de todos, y conviene desterrar la idea de que la seguridad digital es solo competencia de los departamentos informáticos.
La delincuencia informática a través de ataques a distancia, a veces masivos, como los ocurridos este año en España en el SEPE, The Phone House o MediaMarkt, genera fuertes pérdidas económicas para las entidades bancarias; no solo por el propio ataque en sí, sino también por todo el desvío ilegítimo de fondos y la cantidad de información personal comprometida que pueden causar. De ella depende, además, que se mantenga la imagen y reputación de la empresa, ya que la ciberdelincuencia es cada vez más un tema destacado en las agendas mediáticas. Recursos tecnológicos, humanos y tácticos deben estar definidos, optimizados y coordinados, además de contar con una dirección competente que se apoye en una legislación específica. Tecnología, personas, procesos y gobernanza son, en definitiva, los cuatro factores clave para construir una exitosa defensa contra el fraude financiero.
FUENTES
1. Los bancos españoles aumentarían un 3,6% sus ingresos anuales si adoptaran los modelos de la banca digital. Europa Press. 25/11/2021
2. Los ataques de los piratas informáticos se multiplican en los días previos al Black Friday. Silvia Tubio | ABC. 12/11/2021
3. La banca que habla en digital. Isaac Asenjo | El Correo | MSN. 21/10/2021
4. Los ciberataques más importantes de 2021 en España: SEPE, Phone House o MediaMarkt. Portaltic | Europa Press. 30/11/2021