El fraude online es un problema creciente tanto para empresas como para usuarios: solo en 2022 se ha incrementado un 87%, siendo el sector financiero el más afectado. Por lo que parece, es un problema con el que tendremos que "convivir", lo que significa intentar prevenirlo y combatirlo constantemente, pero en ningún caso acostumbrarnos.
¿Por qué decimos esto?
Porque el fraude está evolucionando constantemente, es cada vez más sofisticado y diverso, por lo que acostumbrarnos a él se puede traducir fácilmente en una falta de prevención, es decir, que detectemos técnicas de fraude conocidas, pero que bajemos la guardia ante nuevos métodos o canales. Todos tenemos claro que es muy poco probable que un príncipe nigeriano nos haya dejado una inesperada herencia, pero, ¿qué sabemos del pharming, el whaling o el pig butchering?
En Mitek organizamos regularmente webinars y mesas redondas donde expertos de diferentes sectores analizan las últimas tendencias en fraude online, porque, ante el escenario planteado al inicio, la forma más eficiente de luchar contra el fraude es conocerlo para poder detectarlo a tiempo. En los recientes eventos Identity Innovators de Mitek, realizados en Madrid y Barcelona en septiembre y octubre respectivamente, nuestros expertos Marc Sabadí, Identity Innovation Lead en Mitek y Pipo Serrano, Head of Innovation & New Business at Broadcaster, analizaron precisamente las nuevas tipologías de fraude online y las tecnologías más eficaces para detectarlas y evitarlas.
¿Qué dicen los datos? Fraude creciente y cada vez más sofisticado
Según el informe sobre el Estado del Fraude en España 2021-2022, el sector más afectado sigue siendo el financiero, lo que tiene sentido si pensamos que la gran mayoría de ciberdelitos tienen motivaciones económicas.
El más habitual en el sector bancario fue el fraude con tarjeta de crédito en un 41,8% de los casos, seguido por el fraude de préstamos o alquileres (16,1 %) y el fraude telefónico o de servicios públicos (12,8 %).
Sin embargo, aunque son los más habituales, hay una creciente diversificación de tipologías y de los canales utilizados para las ciberestafas. Según Statista, el 82% de empresas cree que fraude cibernético (hacking, ramsonware, malware, por citar algunos) y la ingeniería social (phishing, brandjacking, baiting) son las dos categorías con mayor expectativa de crecimiento, y Barclays indica que el 77% de estafas online se originan en social media, marketplaces digitales y apps de citas.
marc sabadi, Identity innovation LEAD, mitek
El fraude puede tener un impacto devastador en las empresas. En términos económicos, las pérdidas financieras pueden ser sustanciales, pero también está la pérdida de confianza de clientes y socios comerciales, lo que puede dañar una reputación construida durante años.
pipo serrano, Head of Innovation & New Business, Broadcaster
En un mundo cada vez más conectado, los ciberataques y fraudes digitales están creciendo exponecialmente. De hecho, según la empresa de seguridad Avast, el 33% de los españoles ha sido víctima de una estafa online en más de una ocasión, entendiéndose como fraude, por ejemplo, un SMS o email sospechoso, un robo de una tarjeta de la que se ha tratado de hacer uso posteriormente o una suplantación de identidad, entre otros.
Además, entre las empresas encuestadas, un 53% indica que ha sufrido más intentos y casos de fraude respecto al año anterior, y el 40% comenta que la cuantía de las pérdidas económicas también ha sido mayor.
Así, ¿cuáles son los nuevos tipos de fraude online que deberían preocuparnos?
- Los deepfakes, la joya de la corona
Los deepfakes son quizás la técnica que más auge ha tenido y la que más alarmas ha despertado. Se trata de suplantar la identidad de la persona con tecnología biométrica, que imita a la perfección su apariencia y su voz. Si bien una gran parte de los sistemas todavía son incapaces de detectarlos (en 2019 la cifra llegaba hasta el 95%), un sistema de verificación de la identidad bien preparado puede conseguirlo.
- Cuentas mula
Una "mula" es una persona que actúa como intermediaria en el lavado de dinero. Esta persona recibirá en su cuenta fondos obtenidos ilegalmente y los transferirá a otras cuentas, generalmente en el extranjero, cobrando una suma de dinero por cada operación.
- Vishing
El vishing es un tipo de ataque de phishing que tiene lugar por teléfono. Los estafadores llaman a posibles víctimas haciéndose pasar por una empresa legítima para solicitarles información personal o para hacer una pregunta sencilla a la que probablemente se responde con un "sí", para luego utilizar esta grabación para autorizar cargos o acceder a sus entidades financieras suplantando la identidad de esa persona.
- Pharming
Se trata de un tipo de ciberataque que redirige el tráfico de un sitio web a otro falso, para robar información personal o instalar malware en el ordenador de la víctima. El pharming puede ser muy difícil de detectar, ya que la víctima es redirigida a un sitio web que parece idéntico al legítimo.
- Whaling o fraude a altos directivos
Dirigido específicamente a directores ejecutivos, en este ataque los estafadores se hacen pasar por una persona de alta responsabilidad en la empresa y ordenan a los empleados que transfieran dinero a una cuenta fraudulenta.
- Intercambio de SIM
Los fraudes de intercambio de SIM se producen cuando un estafador convence a un proveedor de telefonía móvil para que transfiera el número de teléfono de la víctima a una nueva tarjeta SIM. Una vez que el estafador tiene el control del número de teléfono de la víctima, puede acceder a información confidencial, como cuentas bancarias y de correo electrónico, y a toda la información personal que hay en el dispositivo.
- Manipulación de datos
Consiste en modificar datos antes de introducirlos en un sistema informático. Es difícil de detectar porque a menudo lo llevan a cabo personas con información privilegiada que tienen acceso al sistema informático.
- Pig Butchering
Se trata de dividir una transacción grande en transacciones más pequeñas para evitar su detección. Por ejemplo, un estafador puede robar 10.000 € de una cuenta bancaria haciendo 100 transferencias de 100 € cada una.
- Salami Slicing
Se utiliza habitualmente en el sector financiero. Consiste en tomar pequeñas cantidades de dinero de un gran número de cuentas y reunirlas para crear una suma significativa. El estafador puede entonces transferir el dinero a otra cuenta o retirar toda la cantidad de una sola vez.
- Estudiantes Fantasma
Este fraude de matriculación cuesta millones cada año a las universidades de Estados Unidos, y ya ha empezado a llegar a Europa, aunque todavía en menor medida. Los estudiantes fantasma son principalmente bots fraudulentos creados para estafar a las instituciones educativas a través del proceso de solicitud. Si consiguen matricularse, pueden robar ayudas públicas y defraudar a los centros mediante el cobro de préstamos estudiantiles o a través de otros servicios universitarios.
La pregunta clave: ¿cómo evitar estos fraudes y proteger a tus clientes de ellos?
Ante el escalofriante escenario que conforman los ciberdelitos del punto anterior, no es de extrañar que nos preguntemos hasta qué punto puede la tecnología actual proteger a empresas y a usuarios. Que no cunda el pánico, porque cuando hemos mencionado los deepfakes en el punto anterior ya hemos apuntado la respuesta: la tecnología puede protegernos si se trata de un sistema integrado, actualizado y preparado no solo para los retos conocidos, sino con capacidad de adaptarse para combatir los nuevos.
Saber a qué nos enfrentamos y ser proactivos a la hora de implementar soluciones avanzadas son dos factores clave para reducir, si no eliminar, el fraude online. De hecho, afortunadamente cada vez más empresas están adoptando enfoques más integrales que van más allá de las soluciones tradicionales de ciberseguridad, con tecnologías avanzadas que integran la autenticación biométrica y la inteligencia artificial.
Una de las soluciones que se está posicionando como más eficiente y segura es la autenticación multifactor (MFA). Con ella es posible crear una defensa por capas que dificulta que una persona no autorizada acceda a un objetivo. Si un factor se ve comprometido o roto, el atacante todavía tiene al menos una o más barreras que romper antes de conseguir entrar. Este sistema integra tecnologías biométricas como el reconocimiento facial y la prueba de vida, entre otras muchas que pasan desapercibidas para el usuario ya que funcionan en un segundo plano; herramientas clave para verificar la identidad de manera segura y eficiente. Otra de la ventajas de este tipo de soluciones es que, al implementar una seguridad por capas, reducen la fricción al mínimo necesario para cada tipo de operativa, según su nivel de riesgo, para no perjudicar la experiencia del usuario.
Un ejemplo de este sistema es la plataforma MiIVP de Mitek, una solución de verificación de identidad de código bajo o sin código, que facilita la verificación de los clientes y la detección de fraudes en tiempo real.
Pero, ¿es realmente necesario implementar una plataforma tan avanzada y sofisticada? La respuesta es un rotundo sí: no solo por el actual escenario de fraude online expuesto, sino porque las consecuencias económicas y reputacionales son cada vez mayores de no hacerlo, no solo para el sector financiero (tanto banca tradicional como fintech), que suele ser el más afectado, sino para otros como teleoperadoras y aseguradoras.
Pérdidas económicas y reputacionales
Las pérdidas económicas son las más evidentes y cuantificables, pero no es el único efecto de un ciberataque. El 21% de empresas afirma que el impacto de un ciberataque ha supuesto una amenaza para su solvencia, y en España en los últimos dos años se ha duplicado el número de empresas que ha perdido clientes por un ataque de este tipo. Además, se produce una crisis de confianza no solo entre la empresa y sus clientes, sino entre los propios trabajadores, ya que se genera una inseguridad que se traduce en pérdida de motivación y bajada de la productividad.
¿Quieres saber más sobre cómo protegerte del fraude online? Descarga nuestro ebook "Cómo combatir el fraude con la autenticación biométrica multimodal"