La seguridad contra la filtración de datos, los fraudes y las estafas busca entregar más garantías a las empresas y a las personas. La importancia de la educación, las nuevas formas de identificación personal y el reemplazo de las tarjetas físicas como herramientas.
La pandemia aceleró el traspaso de muchas actividades a la virtualidad y la evolución en el sector financiero fue una de las más destacadas. Junto con el crecimiento de trámites, transferencias de dinero e inversiones digitales, también se generó un aumento del ciberdelito que afectó tanto a usuarios como a empresas que intentan estar a la vanguardia para contrarrestar estas prácticas.
Desde el robo de datos a los usuarios para poder ingresar a sus cuentas hasta las filtraciones dentro de las empresas, las variedades en el delito dentro del mundo virtual avanzan en simultáneo con la tecnología.
“El tema de la ciberseguridad se volvió estratégico dentro de las compañías”, aseguró Pablo Lima, Director de VU Security, una de las empresas líderes en la región que trabaja con clientes de la talla de Visa, TodoPago, Globant o Banelco en la seguridad informática de estas multinacionales.
“El mundo físico empieza a desaparecer y se cambia por otras herramientas, pero lo tecnológico corre a una velocidad y lo normativo va más lento”, advirtió Lima sobre la importancia de combatir el ciberdelito, pero además aseguró que “los ciberataques corren delante de la protección que se genera, son empresas sin burocracia, que tienen las mismas herramientas técnicas que todos”.
Una de los cambios a realizar que destacó Lima fue que en las empresas “se dice que el usuario es el factor más débil pero muchas veces se deja en sus manos la seguridad”, por eso consideró que “el segundo factor de verificación es un must, debería ser obligatorio, Twitter mostró un estudio en donde el 97% de los usuarios no lo tiene activo”.
Robo de identidad y segunda verificación
Con el incremento del phishing (fraude por correo electrónico) o smishing (fraude por mensaje de texto) durante la cuarentena, el segundo factor de verificación se colocó en el centro de la escena por la relevancia que le dan los expertos pero también en cómo choca con la experiencia del usuario.
“Es importante que la seguridad del banco o la fintech sea transparente para el usuario, es fundamental lograr un equilibrio entre la seguridad y la experiencia, que la tecnología sea segura y usable, ahí basamos nuestro aporte”, destacó Lima.
Sobre este punto coincide Darío Fainsod, VP de 4i Digital, una empresa argentina líder en biometría, que trabaja con las bases del Renaper e Interpol para garantizar la identidad de las personas. ”No vale de nada la solución más segura si a la persona le cuesta y se aleja de ese proceso”, sostuvo, además de asegurar que “el que tiene que hacer que la transacción sea segura es la empresa”.
Fainsod además detalló que “es necesario generar herramientas amigables y muy enfocadas en una buena experiencia de usuario, destinadas al público que lo utiliza, con procesos amigables, rápidos, seguros y certificados” y comentó una de las opciones que se utilizan en las empresas clientes de 4i Digital: “Para determinados montos de préstamos se solicita por ejemplo un escaneo del documento y eso se chequea con distintas bases nacionales e internacionales para darle seguridad a la transacción”.
Además, el especialista consideró que en cuestiones de seguridad “que sigan existiendo las tarjetas físicas es una locura”, y que desde 4i Digital trabajan para generar una tecnología que permita “una tokenización de la identidad, que los datos no viajen, que estén en los celulares y vos elijas qué datos compartís”.
Ejemplificó que” se podría tener la historia clínica y compartirsela al médico, o mostrar los datos necesarios para entrar a una cancha de fútbol sin que tengan que ser enviados por internet, solo con mostrar un código QR”.
El robo de tarjetas de su círculo cercano por parte de una adolescente volvió a poner la seguridad en el centro de la escena. ¿Es necesario seguir usando tarjetas físicas, mucho más vulnerables al robo de datos? En este caso se vuelve mucho más palpable la recomendación de Fainsod respecto a evitar eu uso de plásticos físicos.
Algunas entidades pusieron especial énfasis en agregar una capa de seguridad a la tarjeta física. Por ejemplo, en la billetera cripto Belo entregan una tarjeta prepaga donde no figura el nombre del titular. Y en el caso de Openbank, el banco 100% digital del Grupo Santander, en el plástico sólo posee los últimos cuatro números para evitar el robo de la información.
Desde el sector financiero, ABAPPRA, la Asociación de Bancos Públicos y Privados de la República Argentina, tampoco fue ajeno al incremento de las estafas virtuales y generó una página (“las claves no se comparten”) con especificaciones de las modalidades que se utilizan en el ciberdelito y consejos para que los usuarios puedan sumar seguridad en sus cuentas.
Algunas de las ayudas que se disponen en diferentes textos y multimedias recomiendan utilizar claves seguras, detectar mail y mensajes sospechosos, la utilización del doble factor de autenticación y ayuda para denuncias en caso de haber sido víctima.
La importancia del usuario
Al igual que ABAPPRA en su página web, Ricardo Holovat, perito informático, recomendó la educación de los usuarios como uno de los puntos fundamentales contra el ciberdelito: “Hay tres medidas de prevención importantes que deben llevarse a cabo y son la prevención en las empresas, la educación al usuario y los procesos claros en las plataformas”.
En esto coincide Pablo Lima, que detalló la importancia de VU University dentro de la empresa donde forma parte, “para crear profesionales con conciencia sobre la ciberseguridad”.
Holovat además aporta recomendaciones para las empresas: aseguró que siempre “la proactividad es más barata y más fácil que la reactividad, hay que protegerse previo a los ataques, cuando ocurren es lento y caro recuperar la información robada”. Para los usuarios, recomendó que si la plataforma donde se opera tuvo una filtración de cuentas, es recomendable cambiar mail de usuario y contraseña para estar seguro.
También destacó que “siempre hay modas de ataques, en 2020 fue robo de cuentas Facebook, en 2021 de Instagram y ahora es el robo de Whatsapp donde le solicitan dinero a tus contactos en cuentas irrastreables”.
Fainsod, de 4i Digital, planteó la importancia de un cambio de paradigma para mejorar la ciberseguridad: “Tenemos un problema general de querer imitar lo físico en lo virtual, hay que salir de esa lógica, hacerlo de forma sencilla, inclusiva, rápida y segura”.
Partiendo de la base de que el “riesgo cero” no existe, Andrés Kecskemeti, Head de ventas de Banca y Pagos de Thales para el Cono Sur compartió a su vez algunas claves a tener en cuenta en el objetivo de reducir el fraude:
Capacitación e inducción de nuevas prácticas a los usuarios en el mundo de las tecnologías: el factor humano es fundamental, de hecho 2 de cada 3 brechas de seguridad son originada por usuarios internos. El usuario es el eslabón más débil, por lo que es necesario tener una autenticación robusta para protegerlo no solo a él, sino también a la empresa.
Invertir en la infraestructura del área de seguridad: la información es un activo que hay que proteger de igual forma que a los colaboradores o sistemas. Es preciso cambiar el enfoque y ser proactivos, entendiendo los costos vinculados a esta materia como una inversión y no como un gasto, ya que permitirá evitar que ciertos riesgos se materialicen.
La última tendencia en herramientas para reducir los ataques sin afectar la experiencia del usuario (UX) es el análisis de fraude basado en el riesgo conocido como “RBA” (del inglés “Risk Based Authentication”): estas herramientas permiten hacer un análisis inteligente del comportamiento del usuario, las posiciones de uso del dispositivo, el tiempo que demora en cambiar de una pantalla a otra o cuales transacciones hace habitualmente, entre otros.
Los casos ocurridos en el mercado argentino en los últimos meses hablan por sí mismos: el fraude más frecuente que podemos observar es la usurpación de las cuentas (del inglés “Account Take Over” o “ATO”), justamente este tipo de fraudes es posible evitarlos con la implementación de soluciones digitales que consistan en RBA.
