El secuestro de datos, las pruebas de tarjeta y la suplantación de identidad crecen entre las principales amenazas de ciberseguridad que deben contrarrestar las empresas de finanzas digitales; ataques que incluso pueden significar la estocada final para una fintech emergente, con menos recursos para contrarrestar las estafas.
Mientras que grandes fintechs están volcándose a los datos y la Inteligencia Artificial (IA) para prevenir y bloquear la actividad sospechosa, los emprendimientos jóvenes se están convirtiendo en presas fáciles para las estafas cada vez más sofisticadas, poniendo tensión sobre todo el ecosistema.
Y la situación es particularmente grave en Latinoamérica, donde los ataques crecen considerablemente.
Un estudio realizado por el procesador de pagos Stripe reveló que entre el 2019 y el 2022 los intentos de fraude a través de la modalidad de “pruebas de tarjeta” crecieron más de 100 veces, a nivel global. Se conocen así a las pequeñas compras masivas ejecutadas por estafadores para comprobar si un plástico, cuyos datos han sido robados, puede ser vulnerado.
Stripe, una paytech estadounidense-irlandesa con presencia en 47 países, asegura haber bloqueado en el punto más crítico más de 20 millones de pruebas de tarjetas diarias, en todos los mercados donde operan, un registro que prevén seguirá creciendo este año con especial énfasis en LatAm.
“Con el aumento en transacciones digitales, se está comprando en línea todos los días. Igualmente, los intentos de fraude y los defraudadores también han incrementado”, dice a iupana Desmond Mullarkey, director de ingresos para Latinoamérica de la fintech con presencia en Brasil y México, los mercados más grandes –pero a la vez más complejos- de la región.
“Y esta es una tendencia que estamos viendo en particular en México, que lamentablemente tiene uno de los indicadores de fraude digital más altos en América Latina, y en el mundo”, complementa.
De hecho, el 59% de los fraudes financieros reportados en México durante el primer semestre del 2022 fueron realizados por canales digitales, según la Condusef, el organismo oficial de protección al consumidor. La situación incluso ha llevado al Gobierno a proponer una Ley Federal de Ciberseguridad, que podría ver luz este año.
Brasil, por su parte, se presenta como el segundo país de LatAm con mayores incidentes reportados, según la multinacional de ciberseguridad Fortinet.
Secuestro digital: Ransomware
Ante este panorama, Stripe origina y procesa enormes lagos de data construidos sobre sus ecosistemas de pagos para detectar y anticiparse a los ataques. Apoyados en esa información, utiliza machine learning e IA para dibujar patrones, detectar anomalías y, en ocasiones, anticipar actividad sospechosa.
“Ahí es realmente donde Stripe -y todos- quieren estar pendientes, y con tecnología buscar soluciones, innovación y defender a consumidores y merchants”, dice el ejecutivo. “Porque hay un costo asociado enorme”, añade.
No obstante, la empresa valorada en unos US$ 60.000 millones es uno de los procesadores de pago más grandes del mundo, lo que le aporta robustez financiera que puede ser trasladada a su gestión de ciberseguridad. Según Mullarkey, “en el segmento de tarjetas, casi el 90% de transacciones en Estados Unidos pasan por Stripe».
Pero para las fintechs más pequeñas, el panorama es más complejo, concuerdan expertos. Por su naturaleza, las startups son especialmente vulnerables a los ciberataques: son iniciativas en desarrollo, que no cuentan con grandes recursos humanos o tecnológicos para prevenir vulnerabilidades digitales.
Lumu Technologies, una empresa de ciberseguridad con origen colombiano y sede en Estados Unidos, advierte sobre esta situación. “Hemos detectado que el 60% de pequeñas y medianas empresas [fintechs] se van a la quiebra luego de ser víctimas de ciberataques”, asegura a este medio Cristian Torres, director de marketing de Lumu.
El directivo destaca que el ransonware (o secuestro de datos) es el ataque digital más recurrente para las empresas de tecnología financiera.
Según un estudio realizado por CyberEdge, una consultora de seguridad digital, este método de ciberataque seguirá creciendo a escala global, debido a que el 63% de las empresas afectadas pagaron los rescates en 2022, lo que impulsa a los delincuentes a continuar con la mala práctica.
Torres agrega que esta forma de chantaje incluye un mecanismo de triple extorsión, pues se pide rescate a la empresa, pero se vulnera también a los proveedores y a los usuarios finales, a través de la amenaza de publicar información financiera sensible.
APIs y phishing en Latinoamérica
Una puerta que aprovechan los delincuentes digitales para acceder a la información de una empresa son las integraciones con servicios de terceros a través de APIs. Es una práctica común de las finanzas abiertas y embebidas, que las fintechs usen desarrollos de otras empresas para potenciar sus soluciones. Sin embargo, ahí puede haber un riesgo para la seguridad.
“Cuando utilizamos esas librerías de terceros o softwares de terceros, no las auditamos y no estamos en la capacidad de establecer si ese software es seguro o no”, comenta Felipe Gómez, gerente en América Latina de Fluid Attacks, una empresa especializada en el hackeo ético.
“Por ende, una vulnerabilidad que ese software tenga, y que nosotros lo usemos al interior, pues hace que la organización sea vulnerable”.
Por otra parte, Gómez también recalca que los métodos de fraude digital son los mismos desde hace varios años, pero que se han adaptado al uso de nuevas tecnologías.
Así, un informe de Kaspersky, la multinacional rusa de antivirus, califica al phishing como “el gran villano de LatAm”. Este engaño utiliza al eslabón más débil en las transacciones (las personas), para solicitar fraudulentamente sus credenciales de tarjetas o aplicaciones, aprovechando los servicios de mensajería como WhatsApp para alcanzar a más usuarios
La empresa de ciberseguridad asegura haber bloqueado 110 mensajes de phishing por minuto en América Latina durante el 2022.
Suplantación por 75 dólares
Para evadir los ataques, otras fintechs están ideando nuevas vías de resguardo menos onerosas que la minería de datos. Por ejemplo, Trully es una fintech mexicana que ofrece un servicio antifraude por suplantación, a través de inteligencia colectiva
En el mercado ilegal mexicano es posible falsificar una identificación oficial, ponerle rostro y nombre tan solo por 75 dólares. Y este es uno de los requisitos principales para aprobar un proceso de onboarding digital, subraya Fernando González, CEO y fundador de la fintech.
“Las empresas que más índice de digitalización tienen, son más propensas a caer en fraudes por suplantación”, dice.
La propuesta de la fintech consiste en crear una base de datos compartida entre empresas, donde se almacenen los rostros identificados como fraudulentos y así evitar que los delincuentes se paseen virtualmente por múltiples instituciones buscando sistemas de onboarding digital débiles.
“Si yo ya pasé con esa identificación falsa en una empresa, muy probablemente voy a ir después a comprar 10 identificaciones y con eso voy a volver a sacar otros créditos en esa misma empresa”, advierte González.
La inteligencia colectiva de Trully actúa como un buró que cruza información para avisar a sus clientes si un rostro ha sido etiquetado como falso. “De nada sirve crear soluciones aisladas por los distintos bancos, por las distintas entidades financieras, si se genera conocimiento en silos. Si realmente aspiramos como ecosistema tecnológico, sistema financiero, a erradicar el fraude, tenemos que estar tan organizados -o más- como están los defraudadores”, concluye González.