Mundo Financiero Seguro
Mundo Financiero Seguro
Riesgos y Mitigación del Account Takeover
En este episodio exploraremos los riesgos del account takeover, un tipo de ataque que ha proliferado con el creciente papel de la digitalización en la sociedad moderna. Dado que el factor humano es crucial para prevenir este tipo de fraude, es fundamental utilizar de manera adecuada las tecnologías disponibles para mitigar y anticiparse a estos ataques.
Mundo Financiero Seguro, hasta las innovaciones en fintech y tecnologías de detección y aprendizaje automático. Descubriremos juntos cómo navegar las regulaciones del mercado y evolucionar en la gestión de riesgos y seguridad bancaria. Únete a nosotros para convertir estas tendencias en herramientas poderosas para un mundo financiero seguro. Toda persona es un blanco para la ciberdelincuencia, y esta es despiadada, con todas sus víctimas. El internet, las redes sociales y otros medios que nos conectan con el mundo exterior son un gran impulsor de la economía y la vida moderna, pero también son el canal de entrada para muchos ataques. Según El Economista, en México entre 55 y 77% de las personas utilizan las redes sociales para encontrar trabajo. Esta realidad no ha sido ignorada por los defraudadores. Así es como en México, han creado perfiles falsos para obtener información de sus víctimas. El contacto inicia con publicaciones falsas de empleo, para los cuales las personas jóvenes que buscan su primer trabajo y aquellos mayores de 40 son los más susceptibles a caer en ofertas que ofrecen facilidades de contratación.
Speaker 1:Durante el supuesto proceso de contratación, los estafadores obtienen datos relevantes hablemos como números de tarjeta o cuentas bancarias, además de su domicilio, entre otras informaciones personales. Una vez que han recolectado esta información, realizan llamadas, envían correos y mensajes haciéndose pasar por entidades financieras y bueno, revelan la información personal que han recolectado para ganarse la confianza de la víctima y obtener más información sensible, que, lamentablemente, posteriormente utilizan para defraudar sus tarjetas o cuentas bancarias. Que, lamentablemente, posteriormente utilizan para defraudar sus tarjetas o cuentas bancarias. Soy Juan José Ríos. Bienvenidos a Mundo Financiero Seguro, el podcast de BlueStream. Hoy nos vamos a adentrar en los riesgos de la account takeover, un ataque que se ha vuelto común conforme la digitalidad ha continuado ganando relevancia en la vida moderna. Hoy nos acompañan Andrés Huechi, que es fundador y CEO de GaraTech, una firma reconocida de ciberseguridad, y también José Ruiz, que es gerente de, a entrar en materia preguntándote directamente, josé ¿cuáles son, para empezar a entender este fenómeno, los métodos típicamente los más utilizados por los defraudadores?
Speaker 2:Gracias también, andrés, que siempre nos apoya. Respecto a tu pregunta, los ataques por a countercounter muchas veces empiezan a través de contactos no solicitados, como en el caso que presentaste al inicio, a través de una falsa premisa. Esta primera parte normalmente la conocemos como phishing o spear phishing, si son ataques dirigidos a un individuo de alto interés para los defraudadores. Si son ataques dirigidos a un individuo de alto interés para los defraudadores, en estos casos los defraudadores entonces contactan a su víctima a través de correos electrónicos, llamadas o mensajes de texto. La idea o su objetivo es crear una situación que suele apelar al sentido de urgencia, a la autoridad o el miedo para que las víctimas revelen información personal. Entonces los defraudadores solamente tienen que enfocarse en crear confianza en la víctima, por lo que los pretextos falsos, como el del ejemplo normalmente se disfrazan en ser representantes de una organización conocida o algo similar, para que se sienta cómoda y baje la guardia para revelar esta información.
Speaker 2:Sin embargo, también existen otros métodos que no requieren de la interacción con la víctima, como los ataques de fuerza bruta, en donde los defraudadores usan software automatizado para crear combinaciones de contraseñas para acceder a las cuentas o usan credenciales que han obtenido de fugas de datos para probarlos a través de diferentes plataformas hasta encontrar las cuentas que coincidan con las combinaciones que ya tienen.
Speaker 2:Además, pueden usar la tecnología de otras formas más avanzadas, como logrando que la víctima instale algún malware que robe sus accesos a través de un keylogger, o que registra todo lo que escriben o interceptan la comunicación entre la víctima y algún servicio o plataforma con la que están interactuando en línea cuando ésta ya ha iniciado sesión, lo que se conoce como un man-in-the-middle, aprovechando vulnerabilidades del software o la infraestructura de la red para obtener acceso a sistemas y cuentas sin necesidad de tener que robar credenciales. Sin embargo, hay otro método muy común que no requiere interacción con la víctima, que es el SIM swapping, que a la audiencia seguramente conocerá bien este método, que es cuando el defraudador engaña a un proveedor de servicios de telefonía para anular la tarjeta SIM actual de la víctima y asignarla a una que esté bajo su control, lo que entonces le otorga acceso a mensajes de texto y llamadas y, esencialmente, toda la información que se recibe a través de la línea telefónica.
Speaker 1:Curioso, josé, y además de interesante, porque estamos ya detectando y observando que el ataque inicia lejos, lejos de donde está el dinero, y ahí puedo mencionar redes sociales, mensajes de texto, llamadas y otros medios que utilizan los defraudadores para contactar a la víctima. Esto no solo nos habla sobre el esfuerzo que implica la ingeniería social, sino también que la responsabilidad para prevenir este tipo de fraudes debería de ser, entendemos ya compartida, más allá de las instituciones financieras.
Speaker 2:Sí, de hecho, los ataques por SimSwap son bastante comunes. Además de eso, hay que considerar que los representantes de servicio al cliente de las telefónicas están entrenados en resolver problemas y buscar la satisfacción del cliente y no en prevenir fraudes. En Internet hay muchos videos que explican y han experimentado y demostrado lo fácil que es acceder a las cuentas telefónicas de una persona e incluso lograr que el representante de servicio provea más información sensible. Por supuesto, también está el problema de las redes sociales y otras plataformas desde donde inician los contactos, como en este caso de las ofertas falsas de empleo, ya que estas empresas típicamente no suelen estar sujetas a regulaciones antifraude. me refiero a las redes sociales, aunque sí se pueden ver esfuerzos a nivel internacional por involucrar a telefónicas y empresas de tecnología en el proceso de prevención del fraude, y voy a mencionar aquí como ejemplos al Reino Unido o Australia, que sí tienen iniciativas al respecto.
Speaker 1:Bueno, enseguida vamos contigo, andrés, que estás en Ciudad de México, y comienzo preguntando ¿qué hacen los defraudadores con los datos que han robado?
Speaker 3:Muchas gracias, juan José, muchas gracias a todos y a la audiencia, por supuesto. Bueno, principalmente hacen dos cosas entre otras variantes que hay. Bueno, principalmente hacen dos cosas entre otras variantes que hay Una es vender o compartir estos datos, exponerlos de alguna forma, y la segunda cosase a través de varios medios. El medio más clásico son las redes sociales. Sin embargo, también, y sobre todo si se trata de venta, también, se publica mucho en la deep web y en la dark web, donde los defraudadores, a través de páginas especializadas en este tipo de compraventas, publican los datos que han robado. De hecho, muchas veces ofrecen una pequeña muestra de esta información de forma gratuita para que vean que la información es real y después, por supuesto, a través de la compra, liberan toda la información. Esto últimamente ha crecido mucho más en redes sociales. Por lo tanto es bastante común en perfiles tanto públicos como privados ver este tipo de información donde nuevamente se ofrecen para venta. Pero también hay sitios donde se expone esta información de forma gratuita, donde hay no una venta sino más bien una exposición de información confidencial para la comunidad en general Y, como te decía inicialmente, también los pueden usar a estos datos para cometer diversos tipos de fraudes.
Speaker 3:Lamentablemente se ha visto que el canal para cometer estos fraudes. Últimamente la ingeniería social ha sido el principal donde, a través de llamadas telefónicas o a través de correos, o a través de mensajes en redes sociales, el defraudador aproveche esta información sensible para cometer un fraude, ya sea directamente o indirectamente. En caso de que pueda reutilizar esta información adicional que puede obtener con identidad en algún canal de la organización en cuestión a la que pertenece el cliente, ya sea un banco, una clientes finales no necesariamente usuario y contraseña, que también puede ser el caso directamente inician sesión y cometen un fraude de su plantación de identidad en cualquier, digamos, proceso de de sesión fraudulento, sino que el account takeover también puede o tiene sus variantes durante operaciones post-login, con, obviamente, los ataques de man in the middle, man in the browser o, por ejemplo, trollones de acceso remoto. Digo, hay varias combinaciones que los depravadores utilizan para justamente utilizar y hacer estos ataques de account.
Speaker 1:Andrés, entonces es prácticamente un bazar, un mercado donde no necesariamente es el mismo defraudador que obtuvo los datos quien ataca a la institución financiera. Esto te lo pregunto para que nos quede más claro. Institución financiera, esto te lo pregunto para que nos quede más claro Sí por supuesto No necesariamente es el mismo defraudador.
Speaker 3:De hecho, cuando uno perfila, digamos, los defraudadores, que es una de las actividades que nuestra empresa puede realizar justamente, ve esta segregación de roles. De hecho, hasta podría ser parte del mismo grupo o no, pero hay una segregación de roles en este sentido donde hay defraudadores que solamente se encargan de robar información, otros defraudadores que los venden, otros que compran o utilizan esta información confidencial para cometer fraude. Entonces realmente hay un mercado donde diferentes grupos, donde diferentes perfiles de defraudadores están actuando, muchas veces con acuerdos previos, en sincronía para cometer fraude. Es que no necesariamente el fraude esté planeado, de que se tenga que cometer de tal forma. Puede haber también una planificación a nivel de ese objetivo, exactamente de cuál es el fraude que se va a cometer. pero sí, lo que está bien planeado y segregado es el tema de la segregación de errores.
Speaker 1:¿Qué les parece, si hablamos del impacto Y me refiero al impacto que tiene este fraude en los individuos, pero también en instituciones ¿Qué nos puedes platicar sobre este impacto, josé?
Speaker 2:El impacto más obvio de las personas son las pérdidas financieras. Sin embargo, las acciones tomadas por los defraudadores en las cuentas del cliente también pueden impactar su historial crediticio y su capacidad de acceder a un crédito a futuro. Además, así como mencionó Andrés, en donde prácticamente existe como una cadena de suministros a través de diferentes organizaciones criminales que hacen disponible toda esta información en la Dark Web y otros mercados negros, en Telegram, en WhatsApp y otras plataformas, que posteriormente son adquiridas y utilizadas por otras organizaciones para hacer el fraude, esto significa que estos ataques pueden afectar al cliente, a la persona, a través de varias cuentas, según sea en una institución financiera o en otro tipo de servicio que estén contratando o que contraten a nombre de ellos. Además, este tipo de situaciones suelen generar estrés y angustia emocional en combinación con el tiempo que les tome tratar de resolver el problema con, por ejemplo, su institución financiera. Cuando les ha sido secuestrada su cuenta y muy posiblemente van a asociar a su institución financiera de forma positiva o negativa, según esta les haya ayudado o no a resolver el problema, entonces esto significa además que de la pérdida financiera para una institución hay un potencial daño a la reputación, según cómo se maneja el problema y cómo se haya dado o logrado que el cliente quede satisfecho con la resolución que se le dé, así sea que se le restituyan los fondos o no, por lo que la parte de la atención y el servicio que se le da a estos casos, a estos reclamos, es muy importante para mantener al cliente y eso suele ir más allá de lo que puede hacer el Departamento de Prevención de Fraude o de Riesgos que esté a cargo.
Speaker 2:Además, si un ataque ocurrió por la vulneración de sistemas o plataformas de la institución, hay una potencial disrupción en las operaciones y todos los problemas que eso implica y las potenciales multas o sanciones que resulten por operaciones realizadas por criminales.
Speaker 1:Bueno, es bastante extenso, es enorme, es amplio este impacto, josé, es enorme, es amplio este impacto, josé, pero sobre todo es interesante notar que puede llevarse más allá para impactar al individuo en varios aspectos, o también a las instituciones en donde tienen más cuentas. Ahora, andrés, hablemos de prevención. ¿cómo podemos utilizar la tecnología precisamente para prevenir este tipo de fraude?
Speaker 3:Bueno, muy buena pregunta. Tecnología, precisamente para prevenir este tipo de fraude? Bueno, muy buena pregunta. Realmente hay que adoptar un enfoque integral para prevenir estos tipos de fraudes porque, como bien estuvimos comentando en preguntas anteriores, la problemática tiene varios niveles. ¿no, porque hay una fase donde, a través de ingeniería social principalmente, se roba información confidencial, se expone de alguna forma, y otra fase donde se utilno Con tecnología, con procesos, con recursos, etcétera, etcétera¿. De qué forma? Bueno, primero Es importante contar con un servicio de ciberinteligencia que esté monitoreando tanto la web decir, no estoy hablando de que se detecte y se alerte, sino que de alguna forma también el servicio de inteligencia tenga esta capacidad de actuar ante esta exposición.
Speaker 3:¿y cómo puede actuar? Bueno, a través de la baja de este tipo de sitios, sobre todo los sitios en la web, ya que que en la web las páginas están indexadas, no hay un control, digamos formal, de este tipo de páginas, no se pueden bajar. Sin embargo, en la web se puede solicitar la baja tanto de páginas web como de perfiles de redes sociales que estén promoviendo este tipo de exposición. Y en la de Web, lo que se puede llegar a hacer es retroalimentar a la organización que se le robó información confidencial de sus clientes. Llámese un banco, una fintech, etc.
Speaker 3:Para que de alguna forma pueda adelantarse y mitigar posibles ataques de fraude que se estén haciendo con esta información confidencial, posibles ataques de fraude que se estén haciendo con esta información confidencial. Y además de contar con un servicio de este tipo, también es importante contar con una tecnología, porque el servicio, por supuesto que no va a poder detener el 100% de los ataques, va a llegar a los diferentes canales de la organización, ataques usando este tipo de información confidencial. Entonces, en ese sentido, hay que contar con tecnología para poder prevenir estos ataques que llegan en los diferentes canales. Por lo tanto soluciones que estén monitoreando en tiempo real la transaccionalidad en los diferentes canales, tanto digitales como físicos la web, la móvil, un IBR, sucursales, cajeros, kioscos, etc.
Speaker 3:Como también tecnología que esté monitoreando sesiones digitales, que tenga esta doble visión de monitorear no solamente comportamientos anómalos a nivel transaccional, sino también comportamientos anómalos a nivel de sesión digital, porque muchas veces uno puede estar monitoreando que la transacción parece ser válida, sin embargo en algún punto de la sesión puede haber un robo de sesión o básicamente tomar el control de la sesión por un defraudador y cambiar algún dato en la transacción o cambiar algún dato por ahí, en la página web, en la web móvil del cliente para engañarlo y cometer de todas formas el fraude. Entonces, en resumen, es este enfoque integral que esté monitoreando tanto lo que sucede fuera de la organización y monitoreando los canales que tiene la organización hacia sus clientes y, por supuesto, combinando con controles de fraude interno por, justamente, este problema de ingeniería social que no solamente está enfocado a clientes finales de una empresa, sino también a los mismos empleados de la empresa.
Speaker 1:Andrés, si me permite, quiero destacar, recalcar que esto que nos estás mencionando no es una sorpresa para nuestros oyentes, pero el público en general no suele considerar los riesgos que sus dispositivos contengan tanta información personal y sensible. Eso podría ser un punto importante para resaltar en las campañas de educación y concienciación.
Speaker 3:Correcto. De hecho, mencionaste un aspecto muy importante que es todo lo que tenga que ver con concienciación, que es el famoso Security Awareness. Ver con concienciación que es el famoso Security Awareness. Y el Security Awareness es un programa bueno nosotros también lo hemos implementado durante varios años y que tiene que estar enfocado no solamente a los clientes finales, ¿no? Para generar esta conciencia de seguridad que muchas veces en las personas que trabajamos de esto puede ser algo natural, pero no está naturalizado tanto en el resto de las personas que no trabajan en seguridad informática. Que tengan que ver no solamente con educación a través, por ejemplo, de mailing, digamos alertando sobre tal riesgo o generando algunas recomendaciones que deben tener en cuenta los usuarios, sino también a través de campañas simuladas de ingeniería social sobre todos los empleados de la organización, de ingeniería social, sobre todo a los empleados de la organización. ¿por qué? Porque es una buena forma de medir qué tan propenso a la ingeniería social está una organización Y, con base a esa medición, se pueden crear campañas de entrenamiento para los empleados para mejorar esta métrica inicial y volver de nuevo, cuando termine esta campaña de educación a los empleados, para mejorar esta métrica inicial y volver de nuevo, cuando termine esta campaña de educación a los empleados a medir a través de campañas simuladas de ingeniería social, que llámese campañas simuladas de phishing.
Speaker 3:Campañas simuladas de phishing que son estas llamadas telefónicas que estamos viendo cada vez más, simulando que llaman de una empresa y no lo son, y son defraudadores. Entonces es un ciclo permanente, que se va repitiendo, de medir, digamos, las amenazas de ingeniería social que tiene la empresa, generar campañas de educación, volver a medir y así continuamente para justamente prevenir que lleguen este tipo de ataques.
Speaker 1:Interesante. Ahora hablemos, josé, si es suficiente, y tengo que preguntarlo de esta forma. Es suficiente, y también importante, autenticar que sea el usuario, la persona o el cliente legítimo quien tenga el acceso a las cuentas y fondos?
Speaker 2:La respuesta es una mezcla entre sí y no. Autenticar no solo es una buena práctica, sino que también es necesario. Sin embargo, la autenticación tiene que ir más allá de un mensajito de texto antes de iniciar sesión o al momento de realizar una transferencia, algo que el cliente sabe, algo que el cliente tiene y algo que el cliente es. Sin embargo, la autenticación entonces debe ser un proceso continuo a través de todo el ciclo de vida de la transacción, por lo que los factores de segunda autenticación pueden emplearse en cualquier momento, con base al nivel de riesgo que se determine a través del monitoreo continuo. Aquí cabe decir que no solo monitorear operaciones financieras, sino también operaciones administrativas que haga el cliente, Así como también se pueden emplear múltiples formas de entrega de estos factores de autenticación, como las redes sociales, un autenticador de ceros, etc. Que puedan ser opciones entonces más difíciles de vulnerar que un mensaje de texto que queda muy susceptible a un ataque por SIM swap.
Speaker 2:El uso de mecanismos de biometría integrados en el dispositivo del cliente también es algo que se usa bastante, pero hay que considerar que, conforme avanza la tecnología y los riesgos que pueden estar presentes en los dispositivos del cliente, esos también pueden ser comprometidos. Aquí menciono el ejemplo de un trollano bancario llamado Gold Pickaxe, identificado por la firma de ciberseguridad Group IB de Rusia, que es capaz de robar esta información biométrica de los dispositivos para posteriormente crear deepfakes de la persona. Entonces esto significa que esta información disponible en el dispositivo está sujeta a riesgos del dispositivo y se puede utilizar para vulnerar el proceso de autenticación. En el caso específico de este troyano, se ha visto enfocado a usuarios en Taiwán hasta el momento, pero es un nuevo riesgo que hay que conocer.
Speaker 2:Un control importante que podría ayudar a mitigar aquí el problema de autenticación es conocer el comportamiento biométrico del cliente o saber cómo usa sus dispositivos físicamente, cómo mueve su dispositivo, la presión que aplica sobre la pantalla touch, etc. Y cómo navega adentro de la aplicación bancaria para validar continuamente conociendo cómo se comporta este cliente normalmente e identificar cuando su comportamiento se desvíe de lo normal.
Speaker 1:En resumen, josé, entonces, es conocer al usuario, al cliente, y esto solo nos demuestra que, en las manos incorrectas, la tecnología es un arma de doble tilo. Además de esto, nos demuestra que la prevención del fraude es una labor dinámica y en constante cambio, por lo que el conocimiento, como las herramientas que se utilizan, deben ser capaces de afrontarse a nuevos retos. Estamos llegando al momento de tanto pedirle, a Andrés como a José, una sugerencia, una advertencia, una recomendación, y quisiera comenzar contigo, andrés.
Speaker 3:Bueno, la recomendación que les puedo dar justamente es que las organizaciones, sea de la industria que sean, es que las organizaciones, sea de la industria que sean, tomen una actitud proactiva y integral en prevenir este tipo de fraudes. Muchas veces las organizaciones están muy enfocadas en prevenir y detectar fraudes en los diferentes canales que tiene la organización hacia sus clientes, pero se olvidan muchas veces de prevenir o mitigar el fraude que llega a estos canales, que es justamente lo que comentaba antes, que es el servicio de ciberinteligencia que deberían tener todas las organizaciones, no solamente para proteger su marca digital, la reputación de la marca, sino que tengan información de inteligencia de primera mano de cómo está la exposición de información confidencial de la misma organización y de sus clientes allá afuera, tanto en la web como en la deep web, para que puedan obviamente mitigar algún tipo de fraude que se esté planificando o tomar otras acciones que tengan que ver con la protección de la información.
Speaker 1:Ahora, José, ¿qué sugerencias podemos adicionar a lo que ya nos adelantó Andrés?
Speaker 2:Pues, muy alineado con lo que dice Andrés, mi recomendación es que las instituciones financieras vayan más allá de lo esperado por las regulaciones locales, a veces incluso con los estándares, en la prevención de este tipo de fraude. Muchos de los controles a implementar que hemos mencionado les ayudarán también a prevenir otros tipos de fraude y proteger a sus clientes de una forma robusta y que tenga menor impacto en sus experiencias al usar sus productos. y que tenga menor impacto en sus experiencias al usar sus productos. Conocer ese perfil del cliente para reconocer cuando el comportamiento se desvide en lo normal también es clave. Y, por supuesto, la autenticación constante, yendo más allá de un segundo factor de autenticación que puede ser interceptado en un C-Swap, que puede ser interceptada en un C-Swap hacia sistemas más robustos y dinámicos que ayuden a mitigar el riesgo a lo largo de toda la transacción.
Speaker 1:Gracias, entonces, tanto Andrés, como a ti, josé. Bueno, al final, este episodio ha sido bastante revelador sobre el impacto un impacto devastador podemos decir de la account takeover en la vida de las personas y, por supuesto, en las instituciones. El factor humano es crítico en la prevención de este fraude, pero la protección requiere de múltiples capas Y en este sentido podemos hablar de preparación, inteligencia, el uso adecuado de las debidas tecnologías. Cómo también podemos mitigar y adelantarnos a estos ataques? Muy bien, gracias por escucharnos, gracias por participar en este diálogo, en esta conversación, en este episodio de Mundo Financiero Seguro. Soy Juan José Ríos. Hasta la próxima.