Índice
El mejor contenido en tu bandeja de entrada
El fraude de identidad constituye el primer delito cometido en la red. Usurpar la identidad de una persona tiene distintos fines como el robo de información sensible con el que poder realizar operaciones en su nombre, especialmente aquellas relacionadas con sus cuentas bancarias u otro tipo de pagos.
Este robo de identidad convierte en vulnerable a la víctima dejándola expuesta a cientos o miles de atacantes en internet. El problema se acrecienta cuando esta información se comparte en foros, en la deep web o incluso en la dark web, pudiendo suponer un riesgo realmente peligroso. Las denuncias se han disparado en los últimos años y tanto usuarios como empresas están tomando conciencia de ello.
Por parte de los negocios y sus plataformas web, se ha comenzando a imponer una cultura de la seguridad informática más estricta por dos motivos: la aprobación de normativas y leyes que obligan a las empresas a cumplir con ciertos estándares de ciberseguridad y controles antifraude así como por la facilidad que están dando los players RegTech a sus clientes para implementar ágilmente soluciones asequibles que mitigan completamente este tipo de riesgos.
Qué es el fraude de identidad
El fraude de identidad es un método de suplantación por el que una persona se hace pasar por otra, generalmente con intenciones ilícitas. Este concepto engloba muchos tipos de fraude, ya que una vez que el delincuente es capaz de identificarse como la víctima, existen una variedad de operaciones y transacciones que puede realizar, desde aquellas en plataformas y empresas privadas hasta trámites con las administraciones y entidades públicas.
Este hecho está recogido por la mayoría de jurisdicciones de los países como delito de suplantación de identidad. Está catalogado como muy grave y su protección por parte de los estados viene aumentando según pasan los años. Ya no hablamos sólo de las penas y sanciones impuestas a aquellos que perpetran estos hechos delictivos, sino de que cada vez más se están aprobando normas y estándares que deben aplicarse a la hora de realizar actividades en sociedad.
En concreto, el sector bancario, las compañías de seguros y cualquier negocio relacionado con los servicios financieros y las transacciones monetarias está más sujeto que el resto a cumplir con las normas de prevención del fraude. Los reguladores de estas industrias llevan desde hace décadas trabajando por estandarizar los mecanismos que previenen este tipo de actividades.
Sin embargo, más recientemente se han aprobado normativas tanto nacionales como internacionales que aplican a todos los sectores de la economía, mercados e industrias. Esto ha impulsado la adopción de sistemas MFA por parte de proveedores de productos y servicios digitales como las plataformas de streaming de contenidos audiovisuales, venta online de videojuegos, música bajo demanda o apps del sector real estate (compraventa, alquiler o inversión en vivienda).
¿Cuál es la forma más habitual de fraude de identidad?
Existen muchas formas y tipos de fraude de identidad. Todas ellas destacan por sus diferencias en los métodos utilizados para robar los datos de identidad de la persona que va a ser víctima de este ataque fraudulento. Obtener información sensible puede parecer más sencillo de lo que parece, sobre todo si se trata de atacantes con recursos para crear webs o emails que imiten a las de las plataformas con las que operamos.
El spoofing hace uso de técnicas de hacking que requieren de algo más de conocimiento por parte de los atacantes. La utilización de las DNS, ARP y las IP son realmente complejas pero algunos expertos son capaces de vulnerar sus protocolos.
El phishing es mucho más conocido y extendido. Como veníamos comentando, es muy común recibir un email de nuestro banco donde nos indican que introduzcamos nuestras credenciales. Si hemos activado la autenticación multifactorial en nuestras plataformas, no habrá demasiado problema, aunque siempre tenemos que identificar aspectos como el dominio del correo electrónico que hemos recibido o el diseño gráfico diferente del mismo. El spear phishing y el phishing de clonación nos impiden detectar este tipo de ataques, sin embargo si nuestro banco o plataforma cuenta con controles anti-fraude basados en biometría o controles KYC no supondrá ningún problema.
Por último, vamos a destacar el pharming. Esta forma para obtener información confidencial redirige a los sitios web oficiales pero instala virus, malware y troyanos utilizando DNS fraudulentas para obtener la información al introducirla en una capa superficial de bloques insertada en nuestro explorador. Es una de las formas más peligrosas de ataque encaminado a cometer un fraude de identidad pero no cuenta con los controles biométricos ni es capaz de detectar los sistemas anti-fraude propuestos por las plataformas SaaS de verificación de identidad y firma electrónica, que conectan el hardware directamente a la plataforma de validación y no pueden replicar un escáner OCR de documentación, por ejemplo.
Tipos de fraude de identidad
En caso de realizar una categorización para entender los tipos de fraude que pueden tener lugar, podemos dividirlos en los siguientes bloques:
- Fraude financiero: Se refiere a todo ataque intencional con el objetivo de extraer dinero o robar cuentas bancarias. También incluye aquellas cuentas de inversión en plataformas de trading o exchanges de criptomonedas. En estos últimos, la integración del KYC ha supuesto un cambio radical respecto a su respaldo, seguridad y percepción por parte de la sociedad y de los nuevos potenciales clientes. Todos los bancos, FinTechs y resto de players del sector financiero están obligados por ley a cumplir con las políticas AML, algo que a su vez influye en la seguridad. Por otro lado, la aprobación de directivas de pago como PSD2 ha construido un ecosistema financiero global más seguro con transacciones garantizadas. Ya no tenemos que preocuparnos más al ser clientes de aquellas empresas que lo hayan implementado de las transferencias no autorizadas, la solicitud de préstamos o créditos por otros o las compras online con tarjeta de crédito.
- Fines de evasión con robo de identidad delictivo: Esta fórmula consiste en hacerse pasar por otra persona para evitar consecuencias jurídicas de actos ilícitos. Es decir, que una persona que haya cometido un delito lo haga identificándose como la víctima para no ser enjuiciado.
- Seguros médicos y sanidad pública: Aunque pueda parecer sorprendente, hay miles de casos en todo el mundo cada día de fraudes de identidad cometidos con el fin de que una persona reciba un servicio médico por el que no pagó o del que no le correspondía ser titular. Gracias a las herramientas HealthTech más innovadoras y ágiles, hospitales y clínicas han integrado la firma electrónica y la comunicación certificada para la firma de consentimientos informados o la identificación de los pacientes a su llegada a los centros.
- Implicación de menores: Contar con un menor a cargo puede significar ser beneficiario de decenas de descuentos en el sector privado, deducciones fiscales de la administración pública o subsidios y ayudas. Por lo tanto, obtener los datos de este niño o niña, en concreto número de la seguridad social para tales fines. También, los jóvenes que recién han cumplido 18 años son objetivo de estos atacantes al no contar con otros préstamos, deudas o propiedades, lo que les convierte en potenciales víctimas del fraude de identidad.
Salvando las distancias, podemos decir que estos 4 tipos engloban los hechos delictivos en función del objetivo del atacante. Para obtener más detalle sobre los métodos que se utilizan para sustraer la información con la que poder hacerse pasar por otra persona, os recomendamos visitar nuestro artículo sobre las formas de suplantación de identidad en la sección blog de nuestro Knowledge Center.
Cómo proteger tu empresa y a tus usuarios de la usurpación
Establecer políticas y controles de prevención del fraude es una necesidad imperiosa para cualquier negocio con presencia online. Como veníamos adelantando, la iniciativa de la integración de los controles anti-fraude en las plataformas de acceso ha venido por la obligatoriedad instada por las regulaciones. Aún así, hay muchas empresas que han decidido por su cuenta y sin tener la obligación de una ley de su sector de implementarlo, optar por establecer estos sistemas dados los enormes beneficios que aportan y su actual asequibilidad.
La integración de controles de acceso seguros con modelos de autenticación de múltiples factores (MFA) ha mitigado por completo los ataques de fraude de identidad. En caso de elegir un sistema de autenticación en dos pasos (2FA), debe contarse con al menos un factor de autenticación biométrico y de inherencia para evitar el robo de uno de ellos dos. Con este tipo de controles de acceso a las plataformas de gestión de productos y servicios dirigidos a nuestros clientes, el phishing (uno de los métodos que hemos analizado y el más extendido) es totalmente impracticable.
El estándar SCA (Strong Customer Authentication) propuesto por PSD2 se ha comenzado a implementar en miles de empresas con una facilidad asombrosa gracias a las tecnologías SaaS actuales. Aunque las industrias BFSI (Banca, Servicios Financieros y Seguros) llevan años utilizando el proceso Know Your Customer (KYC) de verificación de identidad, este se ha extendido a todas las áreas en los últimos años, destacando el caso de las telecomunicaciones donde el SIM Swapping suponía uno de los principales retos que debían afrontar dadas las grandes sanciones que ha acarreado su olvido.
El RegTech como aliado contra el robo online de identidad y fraude
La gestión de riesgos se ha venido profesionalizando con el tiempo y ahora contamos con departamentos o equipos dedicados a este cometido en gran parte de las empresas. En algunas ocasiones son los CCO (Chief Compliance Officers) y sus compañeros aquellos que se responsabilizan de esta función.
Contar con las herramientas necesarias para automatizar la adaptación de los procesos y operaciones a estos estándares técnicos y legales ahora está al alcance de cualquier profesional encargado de la gestión de riesgos gracias a las plataformas RegTech. Lo más destacable en este sentido, es la facilidad de integración de estos sistemas, la cual no requiere ningún tipo de esfuerzo por parte de los equipos IT u otros departamentos de las empresas.
Además, las RegTech han adaptado sus productos de tal manera que se ajustan perfectamente a las necesidades de microempresas, PYMES y grandes compañías por igual, al contar con un diseño flexible. Hay que tener en cuenta las características de estos software para elegir una solución que encaje con nuestros clientes, la estructura de nuestros empresa y las demandas del mercado en el que operamos.
Sistemas de prevención del fraude de identidad de fácil integración
Las herramientas de prevención del fraude de identidad han vivido un desarrollo acusado en los últimos años. A lo largo de este artículo hemos hablado de estos sistemas dirigidos a atajar el fraude online. Sin embargo, la suplantación de identidad y la usurpación tienen lugar también en el plano físico.
Este tipo de sistemas pueden integrarse también en las ubicaciones presenciales (tiendas, oficinas comerciales, sucursales…) a través de un sencillo dispositivo, pudiendo estar disponibles para los agentes y colaboradores en un móvil, tablet u ordenador con acceso a internet. La recogida y validación de la documentación de identidad entregada de forma presencial puede automatizarse para que tome tan sólo unos segundos a los empleados y a los clientes, disparando la productividad y reduciendo los costes de almacenamiento, material y liberando tiempo para dedicarlo a tareas de mayor valor.
Los SaaS funcionan en formato pay-per-use, por lo que una empresa no tiene por qué “hipotecarse” para instalar este tipo de herramientas en todos sus canales (online y offline) y en cualquier departamento o área interna. De esta forma, la compañía podrá ser escalable al crecer en ventas y volumen de operaciones sin la necesidad de realizar inversiones previas.
Tanto para clientes como para empleados, los negocios han sido capaces de sacar todo el partido posible a la verificación de identidad, la gestión documental, la firma y comunicación electrónica o los softwares RPA y transformar por completo su modelo de negocio hacia uno más productivo, optimizado y seguro.
