Mundo Financiero Seguro
Mundo Financiero Seguro
Inteligencia de Amenazas: Prevención de Fraudes en Canales Digitales
En este episodio exploraremos como el fraude digital se ha convertido en uno de los mayores desafíos para las organizaciones y como la inteligencia de amenazas orientada a fraude en canales digitales puede ser una herramienta poderosa para proteger a las instituciones y usuarios.
Mundo Financiero Seguro, hasta las innovaciones en fintech y tecnologías de detección y aprendizaje automático. Descubriremos juntos cómo navegar las regulaciones del mercado y evolucionar en la gestión de riesgos y seguridad bancaria. Únete a nosotros para convertir estas tendencias en herramientas poderosas para un mundo financiero seguro. Vivimos en un mundo cada vez más conectado, donde los ciberdelincuentes han refinado sus métodos para atacar las plataformas digitales. El fraude en canales digitales se ha convertido en uno de los mayores desafíos para las organizaciones, especialmente en sectores como el financiero, Y es aquí donde la inteligencia de amenazas juega un papel fundamental Nos ayuda a identificar patrones de ataque, anticiparnos a los riesgos y proteger de manera proactiva tanto a las instituciones como a los clientes.
Speaker 1:Soy Juan José Ríos. Bienvenidos a Mundo Financiero Seguro, el podcast de Plus Team. Y proteger de manera proactiva tanto a las instituciones como a los clientes. Soy Juan José Ríos. Bienvenidos a Mundo Financiero Seguro, el podcast de Plus Team. Hoy exploramos un tema crucial para las empresas que operan en entornos digitales, y me refiero a la inteligencia de amenazas orientada al fraude. En el podcast de hoy discutiremos qué es la inteligencia de amenazas, cómo se aplica específicamente en el contexto de fraude en canales. Es hacker, experto en seguridad, formador y conferencista. Y Álvaro Arzayuz de Colombia, que es gerente de Producto de Prevención de Fraude Digital de PlusTip. A vos gracias por acompañarnos.
Speaker 2:Muchas gracias, juan José¿. Qué tal Cómo estamos, buenos días.
Speaker 3:Hola, juan José, muy buenos días. Muchas gracias y muy amables por la invitación y también agradecer a Deepak por acompañarnos en este nuevo podcast.
Speaker 1:Muchas gracias, Muy bien, comencemos y entramos en materia. Comienzo contigo, Deepak, para que entremos en contexto y entendamos. Quiero preguntarte ¿qué es la inteligencia de amenazas?
Speaker 2:Bueno, vamos a ver. La inteligencia de amenazas es algo que está muy de moda en el sector nuestro en los últimos años, threat intelligence. ¿por qué? Porque, evidentemente, como dijiste tú a la introducción de este podcast, los ciberdelincuentes han evolucionado muchísimo en el tema de los ataques sofisticados, lo que llamamos AdWords, persistent Threats, apt. Entonces, bueno, la inteligencia de amenaza es algo que surge como consecuencia de la evolución. La inteligencia de amenaza es algo que surge como consecuencia de la evolución de la sofisticación de estos ataques. Básicamente, es inteligencia que surge de analizar, recolectar y procesar todos los datos acerca de las técnicas, de procedimiento y los métodos que utilizan los ciberdelincuentes para cometer los diferentes tipos de ataques. Se trata de proporcionar a los equipos de seguridad una visión completa y conjunta de todos los tipos de amenazas, las vulnerabilidades que se explotan, la cadena de ataques para poder llevar a cabo un incidente y así poder tomar mejores decisiones a la hora de poder hacer frente a estas amenazas.
Speaker 1:Deepak, continuando con este hilo, quiero preguntarte cuáles son los tipos de inteligencia de amenazas.
Speaker 2:Vale a la hora de hablar de inteligencia de amenazas. Vale A la hora de hablar de inteligencia de amenazas y de tipos. Sobre todo, lo que realmente se aborda es el enfoque La más de alto nivel, es lo que llamamos la inteligencia de amenazas estratégica, que trata de alto nivel, tener un poco de conocimiento de cuáles son pues eso, sin entrar en detalles técnicos los tipos de amenazas que enfrentan las organizaciones y, sobre todo, para poder comunicar esto en un lenguaje que puedan entender los directivos de un comité de dirección, los CISO, el CTO, el CIO, lo que llamamos el Executive Board o los directivos C-Level, por eso se llama estrategista. Luego, cuando ya nos metemos a la hora de hablar de inteligencia de amenaza, tenemos táctica y tenemos operación operativa.
Speaker 2:La inteligencia de amenaza táctica, básicamente, siguiendo su nombre, lo que hace es describir las tácticas, técnicas y procedimientos lo que se llama en inglés TTP, que es la nomenclatura de la matriz de Mitre Attack, que da formato a todo esto de los actores de amenaza, diferentes tipos de grupos y criminales que se identifican por estos indicadores de compromiso y por las tácticas que utilizan. Básicamente se intenta ayudar a comprender en términos específicos cómo se puede atacar a la organización y cuáles son las formas de defenderse, para tomar decisiones. En este sentido incluye contexto técnico y utiliza directamente el personal involucrado en la defensa de los ataques, que son analistas de shock, y los operadores que están detrás del SIEM, los firewall endpoints y todo esto. Luego tenemos la inteligencia de amenazas operativa, que llega un poco más allá Y el objetivo es conocer todos los detalles de las campañas, es decir conocimiento del contexto de la campaña del grupo civil criminal.
Speaker 2:En este sentido incluye el vector de ataque que se está utilizando, la cadena de vulnerabilidades que se explotan, en concreto que identifica un tipo de ataque. Y bueno, en este sentido esto también afecta a personas técnicas, ¿no? Que son los threat hunters, que se llaman los analistas de esos también y sobre todo los equipos de respuesta a incidentes que van a ayudar a contener un incidente cuando se produce Más o menos.
Speaker 1:Estos son los tres tipos de inteligencia de amenaza. Gracias, Ahora voy contigo, Álvaro, hasta Colombia. ¿por qué? Y tratemos de entender ¿es importante la inteligencia de amenazas en el fraude digital.
Speaker 3:Claro que sí, juan José Mira. La inteligencia de amenazas es fundamental para proteger los canales digitales contra el fraude, ya que permite a las organizaciones anticipar e identificar amenazas antes de que causen daños significativos. Amenazas antes de que causen daños significativos En un entorno ya lo comentaba precisamente Deep hace un momento que en un entorno donde los atacantes son cada vez más sofisticados y los fraudes digitales evolucionan constantemente, pues disponer de información precisa y actualizada sobre las amenazas emergentes es crucial para mitigar los riesgos. Veamos algunos ejemplos de este caso, por ejemplo, anticipación de ataques y prevención proactiva. Una de las principales ventajas de la inteligencia de amenazas es su capacidad de anticipar ataques antes de que ocurran. Esto se logra a través de un análisis continuo de datos sobre amenazas globales, vulnerabilidades conocidas y actividades sospechosas en línea.
Speaker 3:Cuando se recopila y analiza toda esta información de diferentes fuentes, por ejemplo el DARWEB, foros de delincuentes, redes de bots y otros vectores de ataque, las organizaciones pueden identificar patrones y comportamientos comunes entre los atacantes. Otro punto es la detección de patrones de fraude en tiempo real. Esta es una función esencial de la inteligencia de amenazas, dado que, a través del monitoreo continuo de esas actividades en los canales digitales, es posible identificar anomalías y comportamientos fuera de lo común, lo que puede ser un indicativo de un ataque en progreso. Por ejemplo, el uso de algoritmos avanzados y técnicas de machine learning también son muy importantes en este punto, ya que permiten a las organizaciones identificar patrones de actividad que son consistentes con los intentos de fraude. Veamos un ejemplo A ver.
Speaker 3:En el caso de un portal transaccional, la inteligencia de amenazas puede identificar un patrón de comportamiento anómalo, como un alto volumen de intentos fallidos de inicio de sesión desde varias direcciones IP en un corto periodo de tiempo. Esto puede indicar un ataque, digamos, de relleno de credenciales le llaman credencial stopping donde los atacantes utilizan listas de credenciales robadas para intentar acceder a cuentas de usuarios. Otro de los puntos que podemos evaluar es el de respuesta rápida y mitigación de daños. En este punto, la inteligencia de amenazas no solo ayuda a la prevención, sino que también permite una respuesta rápida de estos incidentes.
Speaker 3:Cuando se detecta una amenaza en curso, como un ataque de bots o un intento de fraude, las organizaciones pueden activar inmediatamente sus planes de respuesta y mitigar los daños antes de que se produzcan pérdidas significativas. Y para cerrar, tenemos también lo que es el análisis y correlación de datos. Aquí, en este contexto, los ataques digitales pueden ser multifacéticos y difíciles de detectar en las primeras etapas, con lo cual se pueden emplear varios métodos simultáneos para disfrazar las intenciones, en el caso del uso de la ingeniería social y su planteación de identidad. La inteligencia de amenazas permite a las reorganizaciones correlacionar múltiples fuentes de datos para identificar estos ataques. Eso es como en línea general de ese Juan José.
Speaker 1:Gracias, Álvaro. Entonces entendemos que la inteligencia de amenazas, o también que es llamada inteligencia de ciberamenazas, ayuda a los equipos de seguridad a ser más proactivos. Ahora regreso España contigo, Deepak, para entender a qué nos enfrentamos. ¿Cuáles son las principales amenazas de fraude en canales digitales?
Speaker 2:Bueno, pues, a ver, a la hora de hablar de amenazas en canales digitales, evidentemente, sobre todo en lo que respecta a usuarios o a clientes, nos enfocamos en lo que los ataques de phishing dirigidos tienen como objetivo robar identidades digitales de un usuario, credenciales de acceso a diferentes tipos de servicios. Esta es una de las principales robos de cuentas acceso a bancas online, entidades financieras, toda esta parte. Aparte de eso, todo lo relacionado con robo de identidad, suplantación de identidad, otro tipo de fraude, estafas basadas en la ingeniería social, como comentaba Álvaro. Pero también tenemos que pensar que ahora la inteligencia amenaza. Hablamos sobre todo de ataques muy complejos y sofisticados, que son los que enfrentan las organizaciones Y, en este sentido, lo principal, dentro de que hay muchos tipos de ataques, lo que más está afectando a día de hoy son las organizaciones, son los incidentes de ransomware, que han evolucionado muchísimo, donde realmente lo que sucede no es solo que se cifran los datos de una organización y se pide un rescate económico a cambio, sino que estos ataques han evolucionado como los ciberdelincuentes, como las grandes organizaciones muchas veces no acceden al rescate para recuperar esta información.
Speaker 2:Lo que ha sucedido es que primero los ciberdelincuentes realizan una intrusión y recaban toda la información importante de una organización. Y en este punto, cuando se lanza el ransomware, ese tipo de ataque también se extorsiona a la organización con la información sensible que se tiene la organización para no que traerla en caso de que la organización no quiera acceder a la rescate? ¿no, y esto es lo que en los últimos años está pasando en este sentido. Y otra cosa que está teniendo muchísimo auge en el mercado cibercriminal son los ataques de BEC, business and Compromise, que estamos hablando de incidentes donde se ven dos partes enfrentadas.
Speaker 2:Una transacción, típicamente una organización que hace transacciones comerciales con un proveedor es donde a lo mejor todos los meses hay una comunicación entre personas, como si fuesen Álvaro y yo, que todos los meses yo le mando un correo a Álvaro. Oye, álvaro, aquí tienes en factura copia al responsable de mi organización, de su organización, lo que sea por los servicios, ¿no? Abril, mayo, junio, julio Y un mes determinado, pues llega el correo de la misma persona con mi nombre, con mi dirección de correo electrónico, con la misma factura, pero pidiéndole que haga la transferencia en otra entidad financiera. En ese momento realmente es difícil inferir que se trata de un ataque, pero porque probablemente haya habido una intrusión, se pueden contemplar diferentes tipos de escenarios Que haya una intrusión, que sea un ataque de phishing dirigido porque se ha entrado en una de las dos organizaciones, obtenido esta información, o que incluso esta comunicación sea legítima y esté produciéndose desde dentro de una organización. Y esto es una de las amenazas se llama business de mal compromiso y que está generando muchísimos problemas a día de hoy en el mundo del espacio.
Speaker 1:Bueno, continuando con este análisis y entendiendo lo importante y esencial de esta herramienta, Álvaro, ¿cómo la inteligencia de amenazas apoya a la prevención de fraude?
Speaker 3:¿Cómo la inteligencia de amenazas apoya a la prevención del fraude. Claro que sí, juan José. La inteligencia de amenazas realmente juega un papel importante en la prevención del fraude al proporcionar datos valiosos sobre comportamientos sospechosos, vulnerabilidades emergentes y tácticas utilizadas por los ciberdelincuentes En la lucha que se tiene hoy en día del fraude en cadenas digitales. Realmente permite a las organizaciones tomar decisiones informadas y responder de manera productiva a intentos de fraude antes de que se materialicen, Por ejemplo, la detección temprana de actividades fraudulentas. En este punto, este modelo de inteligencia de amenazas permite a las organizaciones detectar actividades fraudulentas en sus primeras etapas Al integrar información sobre ataques en curso, patrones de comportamiento anómalo, amenazas emergentes. En estos casos, las empresas pueden detectar señales tempranas de fraude antes de que causen daños significativos. Esto es especialmente importante en los canales digitales, donde el fraude puede propagarse rápidamente y afectar a múltiples cuentas en diferentes instituciones.
Speaker 3:Otro caso es la correlación de eventos para identificar fraudes complejos. En este punto, los ataques de fraude digital a menudo son multifacéticos e involucran diversas técnicas para evadir la detección. En este caso, digamos, las organizaciones pueden correlacionar eventos que parecieran no estar relacionados, como un inicio de sesiones de ubicaciones sospechosas, con transacciones inusuales y cambios de comportamiento en los usuarios. Esta correlación realmente ayuda a identificar fraudes complejos que de otro modo serían realmente muy difíciles de detectar.
Speaker 3:Otra característica, por ejemplo, es la priorización de vulnerabilidades y respuestas inmediatas. Una de las ventajas de este modelo de inteligencia de amenazas es que ayuda a las organizaciones a priorizar esas vulnerabilidades, en lugar de reaccionar a cada amenaza de manera aislada. Estas instituciones pueden usar el modelo para comprender qué vulnerabilidad representa mayor riesgo para sus operaciones y, por supuesto, actuar en consecuencia. Y otro caso, ya para cerrar este punto, es el monitoreo continuo de amenazas e indicadores de compromiso. El monitoreo continuo y el IOC, o indicadores de compromiso, son elementos claves de la inteligencia de amenazas que apoyan la prevención del fraude. Se rastrean señales conocidas de ataques en curso, como el uso de direcciones IP maliciosas y patrones de comportamientos anómalos, donde las organizaciones pueden detectar y prevenir el fraude antes de que afecte a los usuarios. Eso es en esencia que se debe accionar contra ataques de amenazas de fraude.
Speaker 1:Deepak, compártanos cuáles serían las buenas prácticas para implementar una estrategia de inteligencia de amenazas?
Speaker 2:Bueno, a la hora de hablar de las buenas prácticas de inteligencia de amenaza, lo que tenemos que tener en cuenta es que las plataformas de inteligencia de amenaza utilizan muchas fuentes diferentes de información. Tenemos todas las fuentes de información de código abierto OSINT, open Source Intelligence que están disponibles de diferentes tipos de contextos y luego tenemos todas las fuentes de inteligencia de amenaza que vienen de, por ejemplo, por poner algunos ejemplos, tenemos foros cibercriminales, pues datos robados, las herramientas maliciosas, las técnicas de hacking que se están utilizando, la clasificación de vulnerabilidades, las cadenas de vulnerabilidades que se utilizan, información sobre fraude. Luego tenemos también el ransom sites a la hora de hablar de insistencia en ransom sites a lo que hablaba de ransomware, pues tenemos muchísimos sitios que analizan toda la información de los diferentes grupos cibercriminales que están operando con todas las víctimas, los días que les quedaron, las víctimas, la publicación de los datos que han sido robados, quién ha pagado los rescates, quién no, la doble extorsión, si están ubicados en las darknets o no. Toda esta información, si están ubicados en las darknets o no, toda esta información, ¿no? Luego, también tenemos en los mercados de fraude todos los datos personales robados, malware y exploits, documentos que han sido falsificados o, por ejemplo, todo relacionado con las brechas de datos, ¿no? Es decir plataformas que nos dan toda la información, que exponen datos personales o corporativos, por ejemplo electrónicos, nombres de usuarios, nombres de personas y las contraseñas que son liqueadas. Todo esto, por ejemplo, es un ejemplo de fuentes que forman parte de la plataforma de inteligencia de amenaza, junto a toda la información interna que se tiene de la compañía, de los sensores que están dentro de la organización y de los sistemas internos, o herramientas como CM y IDS.
Speaker 2:Entonces, a la hora de abordar las buenas prácticas, es importante seleccionar de todas estas fuentes cuáles son las que nosotros necesitamos, contextualizar la información de los sistemas internos y saber exactamente, sobre todo, quién va a ser el receptor de la inteligencia, es decir quién va a adquirir los datos.
Speaker 2:Porque hablábamos de tipo de inteligencia, de inteligencia estratégica para los directivos o de inteligencia operativa o táctica, en función de quién va a ser el receptor de la inteligencia, tanto si es un directivo de C-Level como si es una agencia SOC o alguien del equipo de respuesta a incidentes, pues esto es crucial a la hora de poder trabajar para abordar esas mejores prácticas. Y luego, importante estructurar bien los datos A la hora de trabajar con diferentes fuentes de datos. Lo que es importante es normalizar la información para que esté del mismo tipo, porque, si no, no podemos tener información agregada para poder tener insights que nos permitan verdaderamente tomar este tipo de decisiones Y luego, aparte de esto, utilizar herramientas adecuadas para procesar estos datos. Todo esto nos va a ayudar a poder efectuar una inteligencia de amenazas que efectivamente sea útil para la toma de decisiones a nivel estratégico, táctico y operativo.
Speaker 1:Bueno, continuamos hablando, ya casi al final de este podcast, sobre la caza de amenazas y cómo es un enfoque proactivo para identificar amenazas y cómo es un enfoque proactivo para identificar amenazas desconocidas. Sobre este mismo tema, álvaro, te planteo la misma pregunta ¿Cuáles serían las buenas prácticas, desde tu experiencia, a implementar en la estrategia de inteligencia de amenazas?
Speaker 3:De acuerdo, juan José. Para que una organización pueda beneficiarse plenamente de la inteligencia de amenazas, es crucial implementar una estrategia bien estructurada y alineada con sus objetivos de seguridad. Veamos ahora algunas buenas prácticas en ese contexto. La adopción de un enfoque proactivo en la recolección de datos Uno de los pilares de una estrategia exitosa de inteligencia de amenazas es la capacidad de obtener datos relevantes y en tiempo real sobre las amenazas emergentes. Esto requiere, por supuesto, una postura proactiva en la recolección de información de diferentes fuentes, tanto internas como externas. Otro caso es la integración de inteligencia con otras soluciones de seguridad. La inteligencia debe estar completamente integrada con otras herramientas de seguridad existentes dentro de la organización para maximizar su eficacia Soluciones especializadas, como monitoreo transaccional, que deben trabajar en conjunto para correlacionar eventos y analizar patrones y responder de manera eficiente ante los riesgos y amenazas. Otra buena práctica también es la priorización de amenazas según el riesgo. La organización enfrenta ya lo habíamos dicho anteriormente múltiples amenazas a diario y no todas tienen el mismo nivel de impacto. Entonces, para que esa inteligencia sea efectiva, es necesario que se prioricen las amenazas según el riesgo y el impacto.
Speaker 3:Otro caso también podemos hablar de la automatización de la respuesta a incidentes. Una estrategia efectiva no solo recopila información, sino que también es capaz de automatizar la respuesta ante incidentes. Mediante la automatización, por ejemplo, las organizaciones pueden actuar de una manera rápida y eficiente ante amenazas, minimizando el tiempo de exposición y, obviamente, reduciendo los riesgos de pérdidas. Otro ejemplo también obviamente es importante la capacitación continua para los equipos de seguridad.
Speaker 3:Aquí, en este punto, la inteligencia de amenazas no solo se trata de tecnología, también involucra a las personas que manejan y toman decisiones en torno a ella. Por eso es fundamental que los equipos de seguridad reciban capacitación continua para mantenerse actualizados sobre las últimas técnicas de fraude y tácticas, por supuesto Herramientas utilizadas por los atacantes, entre muchos otros factores. Son importantes de que los conozcan y, obviamente, sepan cómo interpretar y actuar en función de la inteligencia amenaza recibida. Y ya para el cierre, pues, la colaboración con sistemas, con terceros, en el entorno digital actual, el intercambio de información sobre amenazas, es fundamental. Las organizaciones no deben tratar de abordar las amenazas de manera aislada, sino que deben, en lo posible, colaborar con otros actores del ecosistema, como grupos sectoriales, organismos gubernamentales y otras empresas, que les permita compartir esa inteligencia de amenazas, esa colaboración, pues, por supuesto, mejora la capacidad colectiva de detectar, prevenir y mitigar fraudes.
Speaker 1:Muy bien, luego de conocer sus posturas muy interesantes y una plática muy productiva. Quiero agradecer a Deepak Daswani, desde España, y Álvaro Arzayuz, desde Colombia, donde hoy, como ustedes han podido escuchar, hemos explorado cómo la inteligencia de amenazas orientada a fraude en canales digitales puede ser una herramienta poderosa para proteger tanto a las instituciones como a los usuarios. La combinación de detección proactiva, análisis avanzado y respuesta rápida es clave para prevenir ataques cada vez más sofisticados. Gracias por acompañarnos en este episodio del Mundo Financiero Seguro, el podcast de Pluski. Soy Juan José Ríos. Nos esperamos en el próximo de la serie.