Mundo Financiero Seguro
Mundo Financiero Seguro
Lecciones aprendidas 2024 y desafíos 2025
Use Left/Right to seek, Home/End to jump to start or end. Hold shift to jump forward or backward.
En este episodio, exploraremos como los ciberdelincuentes elevaron sus tácticas a un nuevo nivel, aprovechando la inteligencia artificial y explotando vulnerabilidades en los métodos de pago. Este panorama dejó valiosas lecciones sobre cómo han refinado sus estrategias para evadir la seguridad.
Introducción al panorama financiero actual
Speaker 1Mundo Financiero Seguro , tu espacio para estar a la vanguardia en ciberseguridad , prevención de fraude , aml , fintech y gestión de riesgos . Descubre las últimas amenazas , innovaciones y herramientas clave para construir un futuro financiero más seguro . Únete a la conversación y transforma los desafíos en oportunidades . El panorama de riesgos ha evolucionado drásticamente . Sin embargo , el verdadero desafío está en lo que nos espera en 2025 . ¿qué tal ? ¿Cómo están ? Soy Juan José Ríos . Bienvenidos a Mundo Financiero Seguro , el podcast de Pluspi . En este episodio vamos a analizar juntos las lecciones aprendidas en el 2024 y los desafíos claves para el sector financiero en el 2025 . Para esto me acompaña una experta en la materia , marta Leuro Villamarín , vp de Customer Success en Plusti , con más de 25 años de experiencia en la industria financiera , ex-ciso de BBVA en Colombia y especialista en gestión de fraude , riesgos , cumplimiento , innovación y transformación digital . Marta , ¿cómo estás Bienvenida ? Gracias por estar con nosotros , marta ¿cómo estás , bienco ?
Speaker 2va a ser todavía más fuerte . ponemos foco va a ser todavía más fuerte .
Speaker 1Muy bien en caso de contexto . Marta , uno de los mayores desafíos del 2024 , estarás de acuerdo conmigo fue el fraude de identidad sintética , que creció alarmantemente . esto gracias a la inteligencia artificial , y es que antes los defraudadores combinaban datos robados , pero ahora pueden generar perfiles completos . Y bueno , en relación a esto , según cifras de TransUnion , este tipo de fraude representó , escuchen , más del 20% del fraude de identidad en el 2024 . Y si hablamos de pérdidas , las pérdidas globales son más de 6 mil millones de dólares . Además , el fraude interno en las instituciones financieras sigue siendo un problema realmente serio . Un estudio de la ACP reveló que estos fraudes costaron a las organizaciones un promedio de 1.5 millones de dólares por caso . Ahora , marta , ¿qué ha hecho que este tipo de fraude sea tan difícil de detectar ?
Speaker 2Sí , son extremadamente difíciles de detectar . Como bien lo mencionas , la evolución de la inteligencia artificial realmente ha permitido que esas identidades falsas creadas por estos delincuentes sean cada vez mucho más sofisticadas , al punto incluso de engañar a cualquier sistema , por avanzados que sean , Y eso es lo que hace que sean tan difíciles para detectar . Adicional no solamente es la creación de esas identidades falsas la inteligencia artificial generativa , además de crear pasaportes , las licencias de conducir y documentos de identidad con tal nivel de detalle que incluso supera cualquier control de expertos , de personas expertas , analizando este tipo de documentos que se les puede pasar ni siquiera a simple vista , sino con la expertise que tienen . Y adicional , esas entidades falsas no solamente cuentan con que son documentos prácticamente creíbles , sino que también tienen historiales crediticios y transaccionales que están diseñados exclusivamente para poder montar , en un momento dado , créditos o abrir una cuenta .
Speaker 2Los delincuentes realmente pueden generar estos movimientos bancarios previos con ingresos regulares , con pagos de servicios , que va a permitir que entidades pasen filtros de riesgos , los escores de riesgos y , de esta forma , los hacerse a créditos , a tarjetas de crédito , a aperturar cuentas . Entonces , realmente es el uso de la tecnología que está haciendo que esto sea cada vez más complejo y más difíciles de detectar . Pues qué te digo realmente ? las identidades sintéticas que están creando la inteligencia artificial , si son un problema crítico en el 2024 y van a seguir creciendo para el 2025 , es una de las tipologías que se vislumbran en el top 5 de las tipologías de fraude que más vamos a tener para este 2025 .
Speaker 1Es impresionante ver como la inteligencia artificial ha llevado el fraude de identidad sintética a un nivel tan sofisticado , Marta . Antes los sistemas de verificación podían detectar ciertas inconsistencias , pero ahora los delincuentes generan perfiles tan detallados y convincentes que hasta los algoritmos más avanzados pueden ser engañados . En relación a esto , Marta , ¿cuáles crees tú que han sido los ataques más impactantes del año ?
Speaker 2Bueno , pues , además del fraude de identidad sintética , que , como lo resaltábamos tanto con las cifras que tú nos pasaste , y lo que yo menciono , el robo de identidad a gran escala también tiene una gran participación . Son dos cosas diferentes Uno es crear una identidad falsa y crearle todos los documentos , y lo otro es robarle la identidad a una persona real , o sea a una persona que tiene buenos ingresos , que tiene ya sus movimientos transaccionales . Entonces apuntan a lo mismo . Realmente van enfocados a suplantar a alguien , a engañar a las entidades financieras para poderse hacer a un producto de crédito , a una tarjeta de crédito o aperturar a una cuenta . Entonces tanto la identidad sintética , pero también el robo de identidad a gran escala tuvieron durante el 2024 una gran participación . Mira , juan José , uno de cada 100 usuarios está vinculado a fraude financiero debido a este tipo de ataques . Esto significa que en una institución con un millón de clientes , al menos 10 mil usuarios han sido víctimas o están siendo utilizados para estas actividades fraudulentas .
Speaker 2Tú te imaginas esto Realmente ? este fenómeno es el resultado del crecimiento de ataques de phishing , de filtraciones masivas de datos , del uso de la inteligencia artificial para cronar esos documentos legítimos . Entonces no es solamente el que creó una identidad sintética , sino que además clono documentos que realmente son legítimos . El 38% del fraude en 2024 estuvo relacionado con billeteras digitales , pagos instantáneos y nuevos métodos de pago . Entonces ya estamos acostumbrados a las tipologías de fraude por suplantación , por todos los temas de phishing . Ya veníamos manejando cifras con billeteras digitales , con pagos instantáneos Y ahora pues , nuevamente , en la medida en que van ingresando nuevos métodos de pago , pues la delincuencia va aprovechando . Eso es como que aprovecha cada punto , cada dato , cada tema que hacemos de innovación en el sector financiero , en los sistemas , pues viene acompañado de una cantidad de vulnerabilidades , por supuesto , de experiencia para los clientes , que es innegable y que por esa razón las entidades financieras fintes , el ecosistema financiero como tal no puede extraerse de esto , pero que cada innovación , pues obviamente trae sus propias vulnerabilidades , que los delincuentes están ahí , listos para aprovechar con la rapidez que no te imaginas , más costosas y difíciles de detectar .
Speaker 2Dentro de las instituciones financieras , inclusive , acá ya no hay distingo si es entidad financiera o es cualquier tipo de corporación o cualquier tipo de entidad . Realmente , los empleados con acceso a información financiera , como bases de datos de clientes y sistemas de pago , pueden manipular registros , aprobar transacciones fraudulentas o vender información a redes de criminales . Esto hace que este tema de fraude interno sea tan complejo , y ni qué decir cuando hay una colusión entre la persona que está dentro del banco , o sea el delincuente que está dentro de la entidad financiera , y el externo , porque obviamente ahí sí es como ese cóctel preferido y el impacto es económicamente muy alto . Por otro lado , según un estudio de Juniper Rich , las estafas de pagos P2P , que es persona a persona , crecieron en un 28% para el 2024 .
Speaker 2Obviamente esto es debido a la dificultad de revertir las transacciones de pagos instantáneos . Esa es la característica , es una experiencia muy agradable para uno que tú mandes el dinero y en el instante lo esté recibiendo la persona , el destinatario , la persona a quien tú te lo mandas . Pero por la misma razón tienen una característica y es que son muy difíciles de recuperar , de revertir . Si tú lo mandas a la persona equivocada , estás , digamos que a merced , por llamarlo de alguna manera , a que esa persona sienta si esto no es para mí , yo lo devuelvo . De alguna manera se convierten en esos delincuentes pasivos en que , ok , pues llegó la plata , pues sí , yo no la voy a devolver porque además la necesito . Y entonces pues , como que se justifican no la estaba esperando , me llegó , pues no la devuelvo , sin que se sienten a pensar que realmente ahí están faltando contra todo tipo de valores éticos y contra su honestidad .
Speaker 2Vale la pena también mencionar el tema de fraude en pago sin tarjetas presentes , o sea , la tarjeta realmente como tal , como instrumento de manejo , no va a desaparecer
Análisis de fraude de identidad sintética en 2024
Speaker 2De pronto .
Speaker 2La vamos a dejar de ver como un plástico , pero como sistema de pago , como medio de pago , no . Y en el 2024 creció en un 25% todo lo que tiene que ver a pago sin tarjeta . También hubo ataques de numeración de tarjetas . Esto realmente es que el delincuente , tomando el BIN de una entidad financiera , haya o no haya emitido tarjetas , empieza a generar números de tarjetas aleatoriamente y eso afectó el 19% de los emisores en América Latina . Eso es uno de los ataques de lo conocemos como ataques de BIN , que más ha golpeado en este momento a la región Y , por supuesto , las estafas de los códigos QR y las super apps , que tienen un incremento de un 30% en fraudes , todo relacionado con robo de credenciales y manipulación de autenticaciones . En resumen , yo creería que estos son como los fraudes que más se destacaron en el 2024 y que obviamente están dando pie para ver lo que se espera para el 2025 , juan José .
Speaker 1Bueno , no cabe la menor duda que el 2024 nos mostró la capacidad de los delincuentes para adaptarse y reinventarse Y nos da una idea que los fraudes obviamente seguirán evolucionando . Y si hablamos de la inteligencia artificial , marta , se está volviendo y estarás de acuerdo conmigo se está volviendo una herramienta tanto para la prevención pero también , lamentablemente , para la Comisión de Fraudes . En este sentido , ¿cómo crees que va a impactar esto en el panorama del fraude financiero este 2025 ?
Speaker 2Bueno , juan José , yo creo que las instituciones que no se adapten a estas estrategias de seguridad al ritmo del cambio tecnológico , como en efecto sirvan los delincuentes , van a estar mucho más expuestas a estas pérdidas y a riesgos reputacionales . Claramente , yo qué veo , vamos a tener más fraude por inteligencia artificial . Obviamente , la inteligencia artificial va a venir a potenciar este incremento en la creación de identidades falsas , en la apertura fraudulenta de cuentas , de créditos , de tarjetas . Eso va a seguir siendo el pan de cada día . Realmente , incluso la solicitud de créditos y de tarjetas , pues es una forma de afectar de manera directa a las organizaciones y la apertura de cuentas , pues de alguna manera es un sistema que se utiliza para como cuentas mula , que permite que los delincuentes o reciban dinero de fraude o incluso también las abren para hacer la lavada , entonces esto va a seguir siendo fraude potenciado por inteligencia artificial en aumento .
Speaker 2La suplantación de identidad avanzada Pues , si yo hablé anteriormente del aumento por la creación de identidades falsas , podrían pensar que la suplantación de identidad avanzada pues como que podría ser exactamente lo mismo , son cosas completamente diferentes aunque apuntan igual es a poder suplantar Entonces el uso de las deep space y la clonación de voz en ataques con ingeniería social . Entonces ya , hoy en día hemos visto que han salido actores y actrices y gente , digamos personajes públicos , a desmentir que ellos fueron los que publicaron o hicieron algún comentario o dijeron . Antes uno decía yo no hice ese comentario , me clonaron mi perfil o mi Facebook o mi red social , yo no escribí eso . Pero ahora ya no es solamente eso , sino que , adicional , es con un ataque de voz . ¿y qué sucede con esto ? Que sencillamente yo podría estarte llamando tú conoces mi voz y estarte diciendo Juan José , vamos a hacer este pago e inventémonos que tú eres la persona que hace los pagos correspondientes a mis finanzas . Por decirlo así , necesito que gires esto , que gires lo otro , y pues es que soy yo la que , en teoría , te estoy hablando , ¿no ?
Speaker 2Entonces eso lo hacen con la clonación de voz y con la ingeniería social , pues obviamente han averiguado con anterioridad , por ejemplo , pues hacia dónde son los giros , más o menos los montos , como para que no haya nada que te pueda causar a ti como uy , saben cuál podría ser el comportamiento y la forma en cómo pido o hacia dónde dirijo los recursos , entonces , de tal manera que no genere sospecha Fraudes en pagos instantáneos , pues hablábamos hace un momento que la dificultad para revertir esos pagos , de poder mandar un pago y me equivoqué y revertirlo , pues obviamente hace que finalmente , aun cuando sea un fraude , que claramente sabemos que es un fraude , hoy en día las entidades financieras , como nos defendemos de una u otra manera , cuando sale una transferencia hacia otra entidad , pues solicitamos que el reintegro , o hacemos un contragalgo si es en el mundo de tarjetas , o sea buscamos la forma de recuperar el dinero Con estos pagos instantáneos , pues en efecto no hay la posibilidad de revertirlos , o sea ahí ya no se puede . Pero adicional , pues se está sumado a que ya no van a funcionar solamente para pagos locales sino también para , digamos , transferencias transfronterizas . Entonces en Europa esto no es nuevo , ya en Europa se vive que tú , desde Francia , puedes mandar a una cuenta de España y lo recibes de manera tan inmediata como si fuera en un banco local del propio país . En América todavía estamos un poquito más demorados de implementar este tipo de pagos , pero vamos a llegar allá , vamos a llegar allá . De México hacia abajo viven , su producto interno bruto está muy basado en las remesas , que es el dinero que mandan , o de Europa o de Estados Unidos , los familiares que viven allá y que todavía no los han devuelto . Entonces pues , finalmente , por esa razón , pues tiene mucho sentido que estos pagos instantáneos transfronterizos tengan , digamos , toda la acogida y generen una buena experiencia y que sea una necesidad que estamos solicitando , digamos los que en un momento o enviamos o recibimos . Para eso entonces se va a aprovechar de eso para poder crecer .
Speaker 2Ataques multicanal . Entonces obviamente vemos que cuando uno entra a la app o a la web de la diad financiera , no solamente tiene la tarjeta disponible , los cupos que tenga disponibles para avance , los cupos de crédito de libre inversión que tengas ahí disponibles , o los fondos de pronto de inversión que haya , los datos , los saldos disponibles de las cuentas de ahorro , de las cuentas corrientes , entonces pues obviamente el delincuente vulnera un canal y ya puede entrar a otro . Y ni qué mencionar cuando tengamos la banca abierta , que también en América es un capítulo que todavía está en pleno desarrollo , ya hay países , unos más que otros , que tienen todo su proceso normativa , pero que cuando eso está , tú entras a una app y ahí vas a poder ver el banco 1 , el banco 2 , el banco 5 con cada uno de los productos , como usuario voy a tener muchos beneficios , porque si yo voy a pedir un préstamo , pues en efecto voy a poder ver cuál de los tres que tengo ahí en mi plataforma me presta una mejor tasa , con cuál pago menos cuotas en fin . Pero el delincuente , pues obviamente también se le vuelve una oportunidad porque vulnera solamente una app y ahí ya tiene los tres bancos de la persona a la que le hizo . Entonces eso va a ser un tema que va a venir golpeando mucho el 2025 , no solo en América , sino a nivel mundial Y no sé .
Speaker 2Seguramente han escuchado el tema de las famosas SaaS , que no es otra cosa que software por servicios . Realmente es una forma en la cual se puede hacer un desarrollo para que varias entidades sencillamente se beneficien sin tener que invertir en infraestructura . Es lo que realmente se busca con eso . Pues bueno , déjame decirte que ya está FAT , que es el Fraud As a Service , y que ya está RAS , que es RAS As a Service .
Speaker 2Entonces , en el primero , realmente , por ejemplo en el 2020-2024 , se descubrió una plataforma en la Darwet que vendía el acceso de identidades sintéticas , de cuentas falsas y de tarjetas clonadas y sencillamente , ya , es decir , yo ya no tengo como delincuente , ya el delincuente no tenía que ver a cómo hacía ingeniería social , a quién engañaba , cómo tomaba el dato de la tarjeta , sino que , sencillamente , por una suma de 20 dólares algo así no era más podía entrar a esto y digamos que tenía a disposición una cantidad de entidades sintéticas , de cuentas falsas , de tarjetas que ya estaban , le habían robado la información , entonces digamos que ese es el riesgo . Ya no es que yo me expongo o que pongo a hacer esto , sino que ya está dispuesta a ir . Y el RAS , para citar un ejemplo , en 2024 , un grupo de hackers ofrecía paquetes de RAS , homer , por suscripción mensual , o sea pagas una tarifa mensual y tienes derecho a entrar para tenerlo . Eso qué facilitó , qué permitió ? Pues claramente un aumento escúchame del 40% en ataques .
Speaker 2Pues , yo creo que , además del crecimiento de todo ese tipo de temas , nos vamos a tener también lo mencionaba redes de mulas y lavados de activ . Mencionaría otro riesgo que tenemos que generar , que pareciera que muchos se preguntarán por qué digo esto , pero lo voy a contextualizar es obviamente el tema regulatorio . El tema regulatorio se nos va a convertir en un riesgo al ecosistema financiero . ¿y por qué ?
Speaker 2Porque finalmente esa presión de cantidad de fraudes y de cantidad de ataques pues termina , porque las entidades reguladoras pues generen una serie de requerimientos y pongan unas condiciones que se le va a devolver al ecosistema financiero . Incluso , hay países en los cuales se crean asociaciones de defensa de clientes , en las cuales , pues , ponen abogados a disposición de ellos y hacen revertir , por ejemplo , cualquier decisión que tome una entidad financiera de no pagar un fraude cuando claramente está comprobado
Los ataques más impactantes del año pasado
Speaker 2que el usuario final comprometió sus credenciales , entonces esa partecita , esa presión regulatoria , pues claramente se nos convierte en una amenaza porque , adicional a que tengo que estar cuidando el fraude , pues además tengo que cumplir con la regulación y si no tengo una probabilidad de multa , entonces no va a estar fácil . Yo creo que eso , en resumen , sería como los puntos que te diría , son los que veo que van a estar en el 2025 .
Speaker 1Bien , marta , hasta el momento lo que hemos abordado sobre todo es la necesidad de una mayor colaboración . El fraude , está claro , no es un problema aislado de un solo banco , una vintage . Es un problema de todo el ecosistema financiero , como bien lo mencionabas . Pero ahora , ¿cómo crees que podamos fortalecer la cooperación entre sectores e incluso a nivel internacional ?
Speaker 2Bueno , mira , yo soy una convencida , pero así 300% , 1000% convencida que definitivamente el poder tener unos acuerdos , una comunicación no solamente con el gremio , no solamente entre el ecosistema financiero , sino además intersectorial , es uno de los temas que definitivamente nos va a ayudar . Mira , yo creo que es cuestión de tiempo Si una institución es atacada , si la institución de al lado es atacada , es cuestión de tiempo que la que está ahí al ladito la vuelvan a atacar y de la misma manera . Entonces , algo así como la comunicación y el uso de la inteligencia de fraude . Para mí ¿qué es inteligencia de fraude ? Realmente ? es convertir la experiencia tuya , en este caso la experiencia de fraude , la tipología , la forma , como te hicieron el fraude , convertirla en datos de conocimientos accionables .
Speaker 2Entonces me acabo de enterar que en el Banco 1 del País 3 están haciendo una cantidad de ataques a través de identidad sintética , en donde lo que más están utilizando es solicitud de créditos . Entonces , si yo atesoro eso y lo convierto en un conocimiento accionable y empiezo a poner otro tipo de filtros , dobles , factores de autenticación , pues obviamente me voy a poder anticipar y de esa manera pues seguramente tendré casos , pero no un impacto fuerte , a que apenas en ese momento me esté enterando de lo que está pasando . Y la verdad que en mi vida pasada , cuando de pronto un día se me pasó , talos hablemos de las casuísticas de fraude , solamente casuísticas de fraude , que están viviendo en las entidades en Colombia o en Perú . En fin , en estos foros a los que uno acude , y entre todos intentemos ver cuál podría ser la solución o qué solución hemos dado , y la primera respuesta que a veces obtengo ay , es que reserva bancaria , no , pero es que no estamos pidiendo ni cédula , ni números de tarjetas , ni ID , nada , sencillamente es poder decir mira , como lo que yo acabo de hacer , señores , uno de los fraudes que más está dando es la clonación sintética , la robo por identidad sintética que José , juan José nos mencionaba las cifras , ahí , no está revelando nada , absolutamente nada , que esté protegido por la reserva bancaria o que sea un dato , digamos , sensible sobre el cual tenga que tener una protección .
Speaker 2Claro que yo , como entidad , si estoy hablando de que soy de una entidad financiera , tengo que proteger esos datos . Pero en este caso , sencillamente , estoy hablando de una casuística . No estoy diciendo ni el país , no voy a decir ni a qué clientes , inclusive , muchas veces , no tengo necesidad ni decir de qué banco está pasando , pero eso es importante . Entonces hay que alejarnos un poco de ese mito que es que si digo cualquier cosa , entonces es que estoy de pronto vulnerando la protección de datos . No , la protección de datos está creada para datos sensibles .
Speaker 2Esto se puede convertir en un momento dado , en una conversación trivial , o sea ¿cómo te están robando ? Están robando de tal manera ? Pues , se ve , en tales países las casuísticas de criminalística determinan que están muriendo más personas de sexo femenino que de masculino producto de arma de fuego . Pero realmente no sacaron ni los nombres de las personas , ni las edades , ni , pero sencillamente se está compartiendo lo que está sucediendo y a partir de eso , pues se pueden tomar acciones Realmente .
Speaker 2Yo repito , la comunicación y el uso de la inteligencia de fraude , que no es otra cosa que compartir conocimiento sobre lo que nos está pasando , no solamente con el sector al que pertenezco , en este caso el ecosistema financiero , sino además también intersectorial .
Speaker 2Yo creo que muchos de los escuchas estarán diciendo vial , sin SWAT , es una clonación , una suplantación que se hace . No es clonación , es una suplantación realmente que se hace ante una entidad que presta servicios de telefonía celular o una telco como la llamen , y sencillamente allá es donde se sucede la suplantación . Pero la afecta a la financiera porque una vez obtienen la línea del cliente , sencillamente empiezan a hacer transacciones que a veces inclusive , burlan todos los controles , porque pues es la misma línea telefónica que el cliente siempre ha tenido . Entonces ya no es solamente conmigo el mismo sector , sino con el ecosistema completo del país intersectorial y también , diría , con lo que hablábamos de lo transfronterizo también , pues internacional debe trascender . Realmente yo creería que eso es uno de los temas en los cuales deberíamos de trabajar Y solamente voy a mencionar ese porque creo que es el más importante que podemos tener .
Speaker 1Bueno , simplemente sorprendente , marta . Hemos cubierto hasta el momento desde las tendencias del fraude en 2024 hasta las amenazas emergentes de este 2025 . Ahora , ¿cuál sería tu principal recomendación ? ¿Qué hacemos para que las empresas y los usuarios en este caso , cuál será tu principal recomendación ?
Speaker 2Yo creo que podría decir que mantenerse un paso adelante significa prepararse , documentarse , estar a la vanguardia de lo que está sucediendo en otros hemisferios , en otros países , en otras entidades , en otros sectores , adoptar tecnologías avanzadas , compartir información de fraude , fortalecer controles internos . La educación y la concienciación de empleados y clientes es clave para reducir los riesgos . Realmente no nos debemos quedar solamente en , porque muchas de las entidades financieras generamos cantidad de información hacia nuestros clientes para evitar que caigan en temas de fraude , pero a veces no lo hacemos hacia nuestros empleados . Entonces yo creo que la educación , la concienciación de empleados y de clientes son claves para reducir estos riesgos .
Speaker 1Muy bien , marta . Ha sido una conversación sumamente enriquecedora , interesante , sorprendente . Unos datos importantes . Hemos visto cómo el fraude ha evolucionado en este 2024 y los desafíos estos desafíos que nos esperan en el 2025 , desde la inteligencia artificial hasta el fraude en pagos digitales . Está claro que las instituciones financieras deben mantenerse en la vanguardia para protegerse de estas amenazas en constante cambio . Cambio A nuestros oyentes , gracias . Gracias por acompañarnos en Mundo Financiero Seguro , el podcast de Plus T Oigan . No olviden estar atentos a nuestros próximos episodios donde , por supuesto , vamos a continuar explorando los retos y estrategias clave para un sector financiero más seguro . Soy Juan José Ríos . Hasta la próxima .