Mundo Financiero Seguro
Mundo Financiero Seguro
Estrategias para los nuevos retos del cibercrimen
En este episodio conocerás cómo la seguridad se ha convertido en una prioridad en un mundo cada vez más digital. La evolución de las tecnologías ha traído consigo un aumento en los ataques cibernéticos, afectando tanto a usuarios finales como a grandes instituciones.
Mundo Financiero Seguro hasta las innovaciones en fintech y tecnologías de detección y aprendizaje automático. Descubriremos juntos cómo navegar las regulaciones del mercado y evolucionar en la gestión de riesgos y seguridad bancaria. Únete a nosotros para convertir estas tendencias en herramientas poderosas para un mundo financiero seguro. En los últimos años, la evolución de las tecnologías digitales ha traído consigo un incremento significativo en los ataques cibernéticos, afectando a usuarios finales como a instituciones. Y es que escuchen esto. Según el informe más reciente de Mastercard, solo en el 2023, los consumidores en Estados Unidos reportaron pérdidas superiores a los 10 mil millones de dólares debido al fraude. Bienvenidos a Mundo Financiero Seguro, el podcast de Plus T. Soy Guafo C Ríosy. Hoy nos acompañan Carlos Leonardo, que es director del Equipo Nacional de Respuesta a Incidentes de Seguridad Informática de la República Dominicana, y José Ruiz, gerente de Seguridad Transaccional y Prevención de Fraude Digital de Plus T.
Speaker 2:Muchas gracias, Juan José, por la invitación. Para mí es un placer poder estar acá el día de hoy compartiendo con toda la audiencia sobre los principales riesgos a los que se enfrentan los usuarios digitales, principalmente los usuarios y clientes de actividades financieras, ante la diferente y creciente amenaza cibernética que el día de hoy atenta sobre los usuarios en línea.
Speaker 3:Muchas gracias, Juan José. Un gusto estar aquí de vuelta y compartir este espacio con un experto y alguien altamente experimentado como lo es Carlos.
Speaker 1:Leonardo, comienzo contigo, carlos. Quiero plantearte la primera pregunta, y esta es ¿cuáles son los principales retos de amenazas que enfrentan hoy los usuarios de las instituciones financieras?
Speaker 2:Esto dicho, prácticamente, en materia de ciberseguridad y prevención de fraude, la digitalización y la transformación digital en la que estamos inmersos en todo el mundo genera mucho mayor riesgo y mucha mayor exposición de los usuarios ante las diferentes amenazas. Y eso implica diferentes retos que tienen que enfrentar no solamente el 100% de las organizaciones, específicamente, y más aún las instituciones financieras que proveen algún servicio financiero por estos usuarios. Y es que, como es sabido, los ciberatacantes tienen dos principales motivos Uno es el beneficio económico y otro es la satisfacción personal o la combinación de ambas. Una lleva a la otra Y al día de hoy, con este aumento la gran cantidad de servicios en línea que existen principalmente en las entidades financieras ya nos recordamos la última vez que fuimos a entidades bancarias de manera física, a hacer alguna cola para obtener algún tipo de servicio.
Speaker 2:Al día de hoy, con la banca digital, los canales electrónicos que proveen cada uno de estos proveedores o entidades financieras permiten que el usuario haga uso de estos, haciendo más eficiente no solamente el tiempo de respuesta, sino también el agotamiento de recursos que conllevaría tener ese desplazamiento. Y los ciberatacantes lo entienden, lo conocen y lo aprovechan. Y, claro, uno de los principales retos que tiene la banca en línea en sentido general en estos tiempos es proteger al usuario de sí mismo, de cómo los usuarios deben de utilizar la tecnología, siendo conscientes de que están caminando sobre un campo minado. Así debemos ver el Internet, de que las amenazas están por ahí, existen, son reales y que cada día tienen un objetivo de conseguir una víctima para tener algún tipo de esos dos beneficios que comenté al principio o económico o satisfacción personal.
Speaker 1:Ahora, Carlos, luego de escucharte, ¿por qué crees que estas amenazas son tan efectivas?
Speaker 2:Estas amenazas son sumamente efectivas porque aprovechan y explotan el desconocimiento del usuario. Como dije al principio, la falta de conciencia de los riesgos, de todavía no haber una asociación directa por parte del usuario final de los riesgos que existen igual en el mundo físico, que se han trasladado a ese mundo digital, provoca que se sienta de cierto modo seguro y como no tiene visibilidad, de que del otro lado probablemente asista como el sentido de urgencia, manipulando el deseo, la necesidad de urgencia, como dije, de ese usuario y de la necesidad puntual del servicio que está buscando. Y eso, combinado con el desconocimiento de los riesgos, genera una bomba de tiempo que al final del día beneficia directamente a los cibercriminales.
Speaker 1:Gracias, Carlos. Ahora vamos contigo. José. Por favor, explícanos algunas de las metodologías de ataque más recientes que los ciberdelincuentes utilizan para comprometer a los usuarios finales.
Speaker 3:Como decía Carlos, cuando hablamos de comprometer al usuario final, usualmente hablamos de cómo aprovechar vulnerabilidades en esto para explotarlo, o sea que hablamos de todas las formas en cómo se pueden emplear las tácticas de ingeniería social, como el phishing y sus variantes, y el objetivo aquí, entonces, es engañar a la persona para que esta entregue información importante, datos personales, datos de cuentas bancarias o otra información financiera De la misma forma. Estos ataques se pueden acompañar de ransomware, extorsión, en donde el valor secuestrado normalmente son los datos o los dispositivos de la persona y a estos se les exige un pago a cambio de no sufrir consecuencias negativas. Estos ataques de ransomware o extorsión a veces se dirigen a la persona, pero es común que sean dirigidos a individuos para afectar a las organizaciones en donde trabajan. Y por otro lado, pues, también están los ataques de impersonación, en donde los criminales hacen pasar por otra persona para que una víctima realice alguna acción, que frecuentemente es hacer algún pago o una transferencia a favor del criminal.
Speaker 3:Sin embargo, todos esos ataques ya han evolucionado a sus formas más básicas y se han vuelto más sofisticados, tanto en el uso de la inteligencia artificial pensando en soluciones actuales como ChatGPT para diseñar mensajes personalizados más creíbles, o para impersonar a alguien más a través de video audio con DeepFace, como también puede verse de forma más sofisticada en ataques como los compromisos de cuentas de correo corporativas, las estafas de inversión o romance o sus variaciones hacia el peak butchering, en donde los ataques son altamente dirigidos y altamente personalizados y efectivos para generar una pérdida en la persona. pero los principios de la operación, de la forma de defraudar continúan siendo los mismos.
Speaker 1:Ahora, Carlos, hablemos de estrategias. ¿Cómo se han gestionado a nivel nacional la estrategia de prevención para abordar estas metodologías de ataque más comunes?
Speaker 2:En el caso de la República Dominicana, hemos considerado la ciberseguridad como una política pública con el usuario, la persona, el ciudadano. a través de qué? De la creación de conciencia y de las medidas proactivas de protección de los dispositivos que son los que proveen las tecnologías para que estos usuarios lo utilicen. un objetivo estratégico, todo un capítulo dedicado a la estrategia de prevención, de educación, de cultura, de dar a conocer los principales riesgos, de dar a conocer a los ciudadanos cómo hacer un uso más efectivo y seguro de las tecnologías de la información, de los diferentes servicios en línea que se ofrecen, no solamente en el sector financiero, sino también para todos los servicios que se ofrecen no solamente en el sector financiero, sino también para todos los servicios que se ofrecen de cara al gobierno, dirigido al ciudadano.
Speaker 2:Y esto en acompañamiento con alianzas públicas privadas que permiten generar marcos de educación, de concienciación, de dar a conocer, de transmitir esos riesgos. y las diferentes medidas han sido la mejor de las estrategias, todo partiendo, como dije al principio, desde una política pública, desde el más alto nivel, que pueda permear a todos los niveles sociales, a todos los ciudadanos, desde el técnico hasta el usuario más común que utiliza probablemente únicamente un dispositivo para interactuar con otras personas.
Speaker 1:Carlos, muchos nos resistimos a los cambios. Ahora, cuando se realizan estos cambios, ¿qué podemos hablar de? cómo afectan al usuario y cuáles consideras que es la mejor manera o las mejores maneras de comunicarle a los usuarios sobre dichos cambios y los riesgos de ciberseguridad, para asegurar que estos estén bien informados?
Speaker 2:y además, bien preparados En todos los niveles sociales. Debemos de manejar un discurso unificado, un solo lenguaje en el cual, cuando mencionemos ciberseguridad, cada quien lo entienda en su contexto El técnico, el tomador de decisiones, el elaborador de políticas públicas, el ciudadano, el padre, el tutor, el niño, el adolescente. Que cada uno entendamos en nuestro contexto a qué nos referimos cuando hablamos de ciberseguridad. Y esto requiere que podamos manejar ese lenguaje unificado y lenguaje común como cada uno lo entiende. Las organizaciones. La mejor manera que tienen para comunicar esos cambios que pueden afectar al usuario o que pueden poner en riesgo la información del usuario por desconocer su uso, es comunicar efectivamente a estos sobre los cambios que afectan su seguridad y sobre los riesgos asociados, lo que es crucial para garantizar que estos estén informados y preparados de manera adecuada. Ejemplo utilizar canales de comunicación directos y claros.
Speaker 2:Utilizar un lenguaje, correo electrónico, mensaje de texto, tener ese acercamiento con ese usuario final al igual que en el mundo físico, mantener esa interacción con el usuario. Al final del día, todo se traduce en comunicar, y comunicar de manera efectiva. Primero, en cómo benefician esos cambios al usuario, cómo mejora su experiencia, pero cómo también el no conocer cómo utilizar adecuadamente esa tecnología puede resultar en una exposición de datos. Probablemente Realizar sesiones educativas, webinars, organizar esas sesiones donde se puedan aplicar, explicar esos cambios y permitir que los usuarios hagan preguntas que digan ¿por qué ahora debo de poner mis datos en esta casilla? ¿Por qué debo de ahora colocar doble factor de autenticación? ¿Cómo me ayuda esto? Lo vemos en las plataformas, por ejemplo, de banca en línea.
Speaker 2:Anteriormente no existía un mecanismo de doble factor de autenticación para hacer transacciones. Luego evolucionamos al uso de la tarjeta de código. La industria del sector financiero entendía que haciendo diseñando una tarjeta que tenía 40 códigos distintos podía el usuario podía utilizar aleatoriamente, agregaría una capa adicional de seguridad. Sin embargo, vimos cómo los ciberatacantes fueron aprovechando ese cambio y ya luego incentivaban, engañaban al usuario para que proveyera códigos distintos. Luego de ahí, identificando esos riesgos, nos movimos hacia el uso del token, que va cambiando periódicamente esa combinación de dígitos Y claro eso redujo significativamente los fraudes y las víctimas de este tipo de metodología. Sin embargo, vemos también cómo evolucionan los atacantes y luego utilizan nuevas técnicas, también de ingeniería social, para poder obtener esas combinaciones de números que cambian cada 30, cada 60 segundos. Cambian cada 30, cada 60 segundos Y es por esto que es importante no solamente comunicar en cómo beneficia ese cambio en la tecnología al usuario, sino también qué riesgos implica el mal utilizarlos.
Speaker 1:Continuamos en este diálogo, en el podcast Mundo Financiero Seguro, el podcast de Plus T Ahora José, hablemos de riesgos Y es que quiero preguntarte cómo consideras que pueden las instituciones financieras reducir los riesgos que representan, por supuesto, la vulnerabilidad del usuario de República Dominicana y las instituciones deben adoptar un enfoque integral que combine la educación, la tecnología y la colaboración.
Speaker 3:Como primer punto de la educación, hay que enfocarse en los empleados y en los clientes, no solo para identificar los ataques de phishing, las estafas y las últimas modalidades de defraudación que les puedan impactar, sino también para equiparlos con el conocimiento para que puedan identificar de forma fundamental las señales de que están siendo estafados. Aquí se empieza por reconocer la fuente del contacto y verificar su autenticidad, no dejarse guiar por el sentido de urgencia o de presión o de la presión que puedan estar sintiendo y la interacción con el defraudador, y estar aún más alertas y actuar de forma más escéptica cuando se les están solicitando datos personales o financieros o revisar algún pago. Además, reconocer también, cuando están en estas circunstancias, que existen inconsistencias en los argumentos que están recibiendo el defraudador o en el escenario que les está siendo planteado y lo que ellos saben que es la verdad, porque frecuentemente en las tácticas de ingeniería social lo que se busca es redirigir la atención hacia las emociones y no la lógica o lo racional. Además, pues, también es bueno mantenerse escéptico cuando se reciben ofertas que son demasiado buenas para ser verdad y analizarse un poco a sí mismo para aprender a reconocer cuáles son las circunstancias personales de uno mismo que podrían ser aprovechadas como una vulnerabilidad, porque los defraudadores suelen ser muy buenos en identificar y explotar estas vulnerabilidades de la persona. Además de esto, también es importante el uso de las tecnologías avanzadas, porque la tecnología ayuda a optimizar y acelerar la detección de forma más precisa.
Speaker 3:Vemos que se analizan enormes cantidades de datos que simplemente no pueden ser procesados fácilmente por el ser humano Y, en conjunto con el monitoreo, pues también aplicar el conocimiento del comportamiento normal del usuario o del cliente para identificar desviaciones de la normalidad e integrar una autenticación robusta basada en riesgo que puede ser aplicada en cualquier momento de la interacción para generar barreras a los ataques y posibles puntos de contacto que permitan ayudar al cliente a reconocer el riesgo que están enfrentando. Y finalmente, está el viejo decir de que la información es poder, y definitivamente lo es, porque no solo es importante contar con toda la información que sea posible tener de forma interna, sino que también es importante colaborar con el sector público idealmente el privado también para generar redes de cooperación y una verdadera inteligencia que permita respuestas más efectivas ante los incidentes de vulneración del usuario.
Speaker 1:Sobre esta misma línea ¿cuál es el impacto, josé, en la seguridad de los datos? Pero hablemos también de la experiencia del cliente.
Speaker 3:Esta es una parte muy importante porque, a pesar de que la seguridad es clave, al final de cuentas las instituciones financieras también son un negocio y por lo tanto el diseño del journey del cliente, de su experiencia, debe de considerar también el flujo en los puntos de fricción que pueden ser causados por la seguridad. no-transcript, estamos tratando y únicamente generemos fricción cuando realmente exista duda sobre quién está del otro lado o la legitimidad de la operación en cuestión, si incluso podemos estar tratando con el mismo cliente. Y finalmente hay que reconocer que la seguridad también es un valor, pero para el cliente puede volverse algo tedioso y ese valor puede ser menos claro. Así que en puntos de fricción, en la medida que sea necesario, también pueden incluirse puntos de contacto o touch points con el cliente, sea con interacciones humanas o automatizadas, pero que le ayudan a entender que el objetivo de esta barrera es mantenerlo seguro y que la institución sí se preocupe por su bienestar.
Speaker 1:Carlos, desde tu experiencia, desde la perspectiva de una institución financiera, ¿cuáles son o cuáles consideras tú que son las mejores prácticas que deberían implementarse para mejorar la ciberseguridad y la prevención de fraude? ¿Cómo lo están gestionando en República Dominicana?
Speaker 2:Desde la perspectiva de una institución financiera, es importante, o hemos considerado importante en la República Dominicana, mejorar la ciberseguridad y la prevención como medida crucial para la protección tanto de la información sensible de los clientes como, así también, la reputación de las instituciones. Al día de hoy, la República Dominicana cuenta con un equipo de respuesta a incidentes para el sector financiero, que es liderado por el Banco Central, donde se han establecido, desde el 2018, controles a través de una regulación de seguridad de tecnología e información con las que deben cumplir todas las entidades financieras. Y algunas de estas mejores prácticas que se contemplan en esos controles incluyen desde la implementación de medidas de autenticación con múltiples factores de acceso a sistemas críticos y cuentas de clientes, lo que añade una capacidad de seguridad más allá de las contraseñas que utilizan los usuarios a través de esos aplicativos en línea de los servicios financieros, así como también controles relacionados con el aseguramiento de los datos sensibles del cliente, tanto lo que se encuentran en tránsito como los que se encuentran en reposo, que cuente con esas medidas o control de la criptación para ser protegidos de accesos no autorizados.
Speaker 2:De monitorización y detección de anomalías es ampliamente utilizado soluciones como MonitorPlus, por ejemplo, no solamente de cara a monitorizar y a detectar esas actividades irusuales o sospechosas en tiempo real relacionadas con transacciones, sino que también han implementado soluciones relacionadas a actividades maliciosas que ocurren dentro de la red, al igual que se han aplicado diferentes estrategias, tanto en lo interno de las instituciones como sectorialmente, como también en diferentes comunidades, para capacitar sobre esas regulaciones, sobre esos riesgos, sobre las medidas de seguridad que deben tomar no solamente los clientes sino también los colaboradores internos de estas organizaciones, manteniendo sus programas de concienciación actualizados con las más recientes y emergentes amenazas, así como medidas específicas dirigidas a la realización de evaluación y gestión de riesgo, realizar pruebas de penetración, evaluación de adversario para probar los sistemas, no solamente interno de las entidades financieras, sino también esas aplicaciones que utilizan los clientes Y, por supuesto, contar con equipos, procedimientos de respuesta a incidentes para poder recuperar rápidamente al momento de que alguna entidad pueda ser afectada por un ataque cibernético, ya eso de cara a la entidad como tal, a esa infraestructura core que maneja los servicios que se ofrecen hacia afuera, hacia la organización.
Speaker 1:Entre todas las acciones que han emprendido y aplicado, Carlos, ¿cuáles consideras que son las lecciones aprendidas más valiosas?
Speaker 2:Las lecciones aprendidas en el ámbito de ciberseguridad y la prevención de fraudes de entidades financieras de la República Dominicana han sido varias. Lógicamente, al igual que en todos los sectores, en todos los ámbitos, vamos poniendo controles a medida que vamos reconociendo cuáles son las oportunidades de mejora o vamos identificando debilidades. Por esto que parte de estas lecciones aprendidas ha sido el establecimiento de un enfoque proactivo mediante las opciones de tecnología avanzada y la implementación de programas de detección tempranas. Siempre, siempre, siempre, la prevención y la proactividad será menos cara que la respuesta. de hecho, otra de las lecciones aprendidas importantes ha sido que no importa qué tan robusta sea la tecnología, que simplemente, siempre debemos tener en el centro el usuario, el factor humano, como elemento clave para que forme parte de esa estrategia de prevención y de concienciación, de conocimiento sobre los riesgos.
Speaker 2:Al final del día, los usuarios son el punto de entrada, la mayor parte de las veces, a los diferentes ataques o incidentes que ocurren en las instituciones. Y hemos reconocido que la seguridad no es un producto, es un proceso. Es un proceso que implica la adopción de un enfoque de mejora continua, no solamente en esas cajas, en esos equipamientos tecnológicos, en esas licencias, sino también en las políticas, los procedimientos de seguridad, los conscientes de que ninguna organización está exenta de ser afectada por un incidente, por un ataque cibernético, y que la mejor estrategia en medida que podemos tomar es estar preparados para tener la capacidad de levantarnos lo más rápido posible, con la menor pérdida posible, con el menor impacto, no solamente interno sino también de cara al usuario. Y hemos reconocido que la seguridad se debe abordar con un enfoque integral, asegurando de que todos los sectores, la parte interesada, todo el que tenga alguna participación en todo el proceso tecnológico, desde el test del diseño hasta la implementación, forme parte de esa estrategia integral de seguridad cibernética.
Speaker 1:Es momento de concentrarnos en las acciones y las recomendaciones que se deben tomar, y vamos a comenzar contigo, carlos.
Speaker 2:Como conclusiones finales, puedo resaltar que la protección del usuario de los fraudes financieros es un esfuerzo en conjunto que requiere estrategias sólidas por de guía dactilaria o de reconocimiento facial para el acceso a esos canales que al final nos abren la puerta a esa bóveda que contiene nuestros recursos económicos de monitoreo, conectar transacciones inusuales en tiempo real, como las que yo mencioné, utilizando al día de hoy tecnologías emergentes como inteligencia artificial, machine learning, para identificar patrones de fraude, orientado a anticiparnos a esos posibles eventos. Además, paralelamente, ofrecer programas de educación continua para informar a los usuarios y clientes sobre cómo identificar intentos de fraude, cómo evitar que puedan ser afectados por esas nuevas técnicas de los ciberatacantes Entrenando, más que sus capacidades técnicas, su mente, haciéndonos conscientes de que estas nuevas técnicas atacan en principio el desconocimiento de cada uno de los usuarios Y, por su parte, los usuarios también tienen un rol importante. No es únicamente la ciberseguridad, no depende únicamente de la entidad que provee el servicio, sino también que los usuarios tienen una responsabilidad en todo. Como parte de este proceso, deben monitorear sus actividades recurrentemente para identificar ellos mismos, de manera proactiva, actividades maliciosas.
Speaker 2:Además, es importante que se eduquen por cuenta propia sobre esos principales riesgos. Cuáles son las nuevas tácticas de fraude más utilizadas, más comunes por parte de los atacantes, además de verificar siempre que, donde utilicen los canales que están utilizando para navegar, para publicar información, sean confiables y que mantengan, como parte de esa intimidad, cierta información personal que puede ser utilizada por los atacantes para posteriormente tener acceso a uno o varios sistemas de información que utilizan esta información personal.
Speaker 1:Luego de escuchar a Carlos y sus recomendaciones, ¿qué puedes aportar, José, en el tema de recomendaciones y acciones a tomar?
Speaker 3:En primer lugar, creo que es importante implementar tecnologías con capacidad de análisis predictivo y automatización para monitorear de forma eficiente y detener el fraude de forma optimizada y en tiempo real y entonces así lograr reducir el impacto de los ataques.
Speaker 3:Segundo, desarrollar resiliencia tanto a nivel de la organización como a nivel del usuario porque, como bien seó, esto empieza con la concienciación, la educación y el entrenamiento, pero también las políticas y el control.
Speaker 3:Además es importante la gestión del riesgo, empezando por reconocer cuáles son estos riesgos y editando los procesos de la institución, asegurando que las prácticas de seguridad sean robustas y realmente se apliquen. Entonces también es importante generar las políticas de seguridad que sean centradas en el usuario, que le simplifiquen la vida pero sin perder de vista la seguridad, integren la autenticación multifactor y la autenticación como un proceso continuo con el fin de promover comportamientos seguros. Y finalmente, creo que importa la evaluación continua, tanto para evaluar el nivel de madurez en cuanto a seguridad como para continuar actualizando estrategias y controles para que puedan seguir haciendo frente a tendencias emergentes en el entorno normativo que puedan surgir, para que en el resultado final no solo se mitiguen los riesgos de fraude, sino que también se proteja la seguridad de los datos, la experiencia del cliente y se preserve el negocio de la institución que al final es básicamente su razón de existir.
Speaker 1:Muchas gracias, entonces, a Carlos Leonardo, desde República Dominicana, y a José Ruiz por acompañarnos en este episodio y compartir sus valiosas perspectivas y experiencias. Es más que aparente que los desafíos del cibercrimen son significativos, pero atención existen estrategias efectivas y tecnologías que nos pueden ayudar a mitigar estos riesgos y que debemos, por supuesto, aprovechar. El primer paso es mantenernos informados y ser proactivos en la implementación de medidas de seguridad. Gracias a todos ustedes también por acompañarnos en este episodio de Mundo Financiero Seguro. Soy Juan José Ríos. Hasta la próxima, gracias, gracias.