No es de extrañar que el robo de identidad siga siendo un importante problema para las empresas de tecnología financiera. A pesar de los grandes avances en la seguridad de las redes y la protección de la identidad personal, los estafadores siguen ideando métodos sofisticados para atraer a víctimas desprevenidas y hacerles compartir su información más personal.
Lo que sorprende a los profesionales del riesgo de fraude es la variedad de métodos y esquemas de fraude que están desplegando actualmente los estafadores, decididos a engañar incluso a los usuarios más vigilantes.
Vamos a examinar varias de las estrategias de fraude de identidad que se emplean cada vez más de forma virtual, pero con las que es posible que no te hayas encontrado antes, por lo que el conocimiento de estas técnicas es crucial. También explicaremos el impacto del fraude en la economía y qué se puede hacer para combatirlo.
Un gasto fraudulento
El fraude sigue teniendo un impacto significativo en la economía. Según un informe de la Association of Certified Fraud Examiners (ACFE) de Estados Unidos, se calcula que las organizaciones pierden cada año un 5% de sus ingresos a causa del fraude. Esto se traduce en billones de dólares perdidos en todo el mundo durante el mismo periodo. Además, el fraude puede tener un impacto perjudicial en la reputación de una empresa y hacer que los clientes pierdan la confianza. Incluso puede dar lugar a pérdidas monetarias en forma de multas y gastos legales.
Huelga decir que la verificación de la identidad es una herramienta esencial en la lucha contra el fraude. Las instituciones financieras y las empresas de tecnología financiera invierten miles de millones al año para mantenerse a la vanguardia de los avances tecnológicos. Los requisitos normativos, como el conocimiento del cliente (KYC) y la lucha contra el blanqueo de capitales (AML), son ahora omnipresentes en las industrias financieras, mientras que la inteligencia artificial se está utilizando para añadir capas de solidez.
Sin embargo, los delincuentes están siempre al acecho de vulnerabilidades en las medidas de seguridad que puedan explotar.
Comprendiendo las múltiples formas del fraude
Para identificar el problema del fraude es necesario conocer sus múltiples formas, categorizarlo y definirlo.
El fraude puede agruparse en dos categorías diferentes: el fraude empresarial y el fraude personal. El fraude empresarial se produce cuando clientes, empleados o incluso inversores estafan dinero o servicios a una empresa. Puede ser mediante la presentación de declaraciones de gastos falsas o el movimiento de fondos no autorizados entre cuentas. El fraude personal se produce cuando otra persona, grupo o empresa engaña a alguien para que le entregue dinero, servicios o información confidencial que puede utilizarse para el robo de identidad.
Algunos de los métodos más comunes utilizados para engañar a los usuarios para que faciliten su información personal son el phishing, el smishing y el vishing. Aunque suenan parecidos, difieren en el canal utilizado para llegar a los usuarios desprevenidos.
El phishing y el smishing utilizan el correo electrónico y los SMS, respectivamente, y con el tiempo se han vuelto más fáciles de combatir, ya que los usuarios han aprendido a reconocerlos. El vishing, en cambio, es más sutil.
¿Qué es el vishing?
El vishing es un tipo de ataque de phishing que tiene lugar por teléfono. Los estafadores llaman a posibles víctimas haciéndose pasar por una empresa legítima para solicitarles información personal.
Tal vez sea una llamada para renovar una suscripción o una garantía. Si contestas a esta llamada y te ponen en contacto con un supuesto agente, es posible que te pidan que facilites información como tu nombre, dirección, número de carné de conducir, número de la seguridad social o datos de tu tarjeta de crédito. Los estafadores utilizarán técnicas de conversación sofisticadas y específicas para hacer avanzar la llamada telefónica, recopilando información personal y, a menudo, generando urgencia.
Los estafadores también pueden hacerte una pregunta sencilla a la que probablemente responderás con un "sí". A continuación, pueden utilizar esta grabación para autorizar cargos o acceder a sus entidades financieras haciéndose pasar por ti.
El vishing ha demostrado ser una estafa contra la que resulta difícil protegerse, especialmente en el caso de las personas mayores. Los vishers suelen utilizar combinaciones de técnicas para despistar a sus víctimas, como números de teléfono fraudulentos, programas informáticos que alteran la voz, mensajes de texto e ingeniería social. Dado el carácter personal de las llamadas telefónicas, a las víctimas puede resultarles difícil determinar su legitimidad y acaban siendo engañadas para que divulguen información confidencial.
Otros métodos de fraude utilizados por los malhechores
Pharming: se trata de un tipo de ciberataque que redirige el tráfico de un sitio web a otro falso. El objetivo del pharming es robar información personal o instalar malware en el ordenador de la víctima. El pharming puede ser difícil de detectar porque la víctima es redirigida a un sitio web que parece idéntico al legítimo.
Whaling: el whaling es similar al phishing, pero está dirigido a personas de alto perfil laboral, como directores generales, directores financieros u otros ejecutivos. En un ataque de whaling, los estafadores se hacen pasar por un alto ejecutivo y utilizan técnicas de ingeniería social para engañar a los empleados para que transfieran dinero o información confidencial..
Estudiante fantasma: este fraude de matriculación cuesta millones cada año a las universidades (de momento hablamos de datos de USA), o centros de estudios superiores. Los estudiantes fantasma son principalmente bots fraudulentos creados por delincuentes para estafar a las instituciones educativas a través del proceso de solicitud. Si consiguen matricularse, pueden robar ayudas públicas y defraudar a los centros mediante el cobro de préstamos estudiantiles o a través de otros servicios universitarios.
Fraude a directores generales: se trata de un tipo de ataque dirigido específicamente a los directores ejecutivos. En este caso, los estafadores se hacen pasar por el director general y ordenan a los empleados que transfieran dinero a una cuenta fraudulenta. Los ataques de fraude contra directores ejecutivos son cada vez más comunes y pueden ser muy difíciles de detectar.
Intercambio de SIM: los ataques de intercambio de SIM se producen cuando un estafador convence a un proveedor de telefonía móvil para que transfiera el número de teléfono de la víctima a una nueva tarjeta SIM. Una vez que el estafador tiene el control del número de teléfono de la víctima, puede acceder a información confidencial, como cuentas bancarias y de correo electrónico.
Manipulación de datos: este tipo de fraude consiste en modificar datos antes de introducirlos en un sistema informático. Es difícil de detectar porque a menudo lo llevan a cabo personas con información privilegiada que tienen acceso al sistema informático.
Pig butchering: consiste en dividir una transacción grande en transacciones más pequeñas para evitar su detección. Por ejemplo, un estafador puede robar 10.000 euros de una cuenta bancaria haciendo 100 transferencias de 100 euros cada una.
Salami slicing: se trata de otro tipo de ataque que se utiliza habitualmente en el sector financiero. Consiste en tomar pequeñas cantidades de dinero de un gran número de cuentas y reunirlas para crear una suma significativa. El estafador puede entonces transferir el dinero a otra cuenta o retirar toda la cantidad de una sola vez. Este ataque puede ser difícil de detectar, ya que las cantidades son pequeñas y se reparten entre muchas cuentas.
Descubre más sobre los estudiantes fantasma
¿Qué medidas pueden adoptarse para combatir estos ataques?
Como se suele decir, siempre es mejor prevenir que curar. La mejor manera de combatir los ataques fraudulentos es evitar en primer lugar que se produzcan mediante la implantación de una solución de verificación de identidad segura y probada, como la Plataforma de Verificación de Identidad de Mitek (MiVIP).
Una solución de verificación de identidad eficaz debe tener las siguientes características:
- Verificación en tiempo real: la verificación en tiempo real garantiza que el cliente es quien dice ser, lo que reduce el riesgo de usurpación de identidad.
- Autenticación multimodal: la autenticación multimodal añade varias capas de seguridad, que a menudo incluyen la biométrica, lo que dificulta a los defraudadores el acceso a información sensible.
- Verificación de documentos: la verificación de documentos es un componente crítico de la verificación de identidad, ya que garantiza que los documentos presentados por el cliente son auténticos.
- Control de listas de vigilancia: el control de listas de vigilancia comprueba los datos del cliente en las listas de vigilancia mundiales, incluidas las personas políticamente expuestas (PEP) y los terroristas conocidos.
- Supervisión continua: la supervisión continua ayuda a detectar cualquier actividad sospechosa en la cuenta del cliente y alerta a la empresa de cualquier posible ataque fraudulento.
Los defraudadores siempre están buscando nuevas formas de estafar a particulares y empresas. Es esencial mantenerse informado y al día sobre los diversos ataques de fraude que existen. La biblioteca de recursos de Mitek incluye una gran cantidad de información útil que te ayudará a aumentar tus conocimientos sobre la seguridad de la identidad.
Recuerda: la implantación de una solución de verificación de identidad segura y probada puede contribuir en gran medida a prevenir estos ataques y a proteger a tus clientes y a tu empresa.
Consulta este nuevo ebook sobre la evolución de la identidad y el fraude