Detección y prevención del fraude en la banca online

Puede ser comúnmente conocido que la mayor parte del fraude en la banca en línea tiene lugar online, pero las cifras reales sorprenderán a muchos: Se estima que el 93% de los fraudes relacionados con la banca tienen lugar online, según el Informe sobre Delitos Financieros del segundo trimestre de 2021.

Desde los neobancos y los bancos challenger hasta las instituciones heredadas, todas las organizaciones financieras tienen que luchar contra los complejos y cambiantes ataques de fraude y, al mismo tiempo, conservar la ventaja clave de pasar a la tecnología digital: una experiencia de cliente cómoda y sin fisuras. 

En este artículo, veremos formas eficaces de detectar y prevenir el fraude en la banca online sin causar fricciones ni falsos positivos.

¿Qué es la prevención del fraude en la banca online?

La prevención del fraude en la banca online es un conjunto de técnicas y procesos diseñados para reducir el riesgo. Las instituciones financieras son algunas de las empresas más atacadas por los defraudadores, debido a su acceso inmediato a los fondos y su capacidad para transferirlos.

Por ello, los bancos y las instituciones de tecnología financiera invierten en sólidas soluciones de prevención del fraude bancario para proteger sus activos, sistemas y clientes.

En sentido estricto, la detección de fraudes se centra en identificar los intentos de los estafadores, mientras que la prevención de fraude consiste en evitarlos, pero ambas son prácticamente intercambiables en realidad, ya que estas estrategias van de la mano.

Los mayores retos de fraude para los bancos

Podríamos pensar que los retos de los bancos en materia de fraude se dividen principalmente en tres categorías:

1. Incorporación de clientes

El onboarding digital, que forma parte de la incorporación de nuevos clientes, supone un riesgo para los bancos, debido a normativas como KYC (Conoce Tu Cliente) y AML (Lucha contra el Lavado de Dinero). Se trata de requisitos legales para confirmar la identidad de los usuarios y garantizar que no cometan delitos financieros.

Los estafadores utilizan identificaciones sintéticas o falsas para engañar el proceso y abrir cuentas bancarias. Confirmar las identidades es caro, y los costes aumentarán hasta los 35.200 millones de dólares en 2020. También es especialmente difícil para los neobancos y los bancos challenger, que necesitan adquirir nuevos clientes rápidamente con la menor fricción posible.

2. Prevención del fraude con tarjetas de crédito

Los bancos emisores deben saber cuándo se produce una transacción o un retiro sospechoso. Detectar patrones es difícil porque tienen un acceso limitado a los puntos de datos, solo ven la moneda, el importe, la categoría y el nombre del comerciante.

Si intentan bloquear los pagos fraudulentos basándose en estos parámetros, pueden crear altas tasas de falsos positivos, lo que resulta frustrante para los titulares legítimos de tarjetas. También existen requisitos legales, como la autenticación fuerte de clientes (SCA), y la garantía de que el origen de los fondos es legítimo.

3. Protección de cuentas

El robo de cuentas (ATO) se produce cuando los estafadores adquieren los datos de acceso de un usuario legítimo. Utilizan la cuenta como propia, lo que tiene terribles consecuencias para la relación de los bancos con los clientes, y posibilita otros tipos de fraudes y delitos.

Por eso los bancos deben hacer todo lo posible para proteger las cuentas de sus usuarios.

El problema más amplio, por supuesto, es que el fraude es adaptativo. Es decir, los defraudadores se darán cuenta rápidamente cuando sus acciones sean bloqueadas e intentarán otra táctica. Por ello, soluciones como el software AML y las herramientas KYC tienen que ser versátiles, además de eficaces.

Escenarios típicos de fraude en la banca online

Aunque no muchos preveían el crecimiento del sector cuando los primeros participantes, como Moven y Chime, se lanzaron en 2007, los bancos digitales han recorrido un largo camino. Ahora se espera que este sector alcance los 395.000 millones de dólares en 2026. 

Todo ello gracias a sus rápidos procesos de incorporación y resolución de reclamos. 

Por desgracia, todo ese éxito no pasa desapercibido para los estafadores, que constantemente intentan aprovecharse de esos rápidos procesos lanzando ataques. 

Algunos escenarios a los que debes prestar atención son:

Fraude de apertura de cuentas

Se trata de que los estafadores abran nuevas cuentas haciéndose pasar por clientes legítimos o utilizando identidades robadas (o sintéticas) para obtener crédito. 

Por ejemplo, PayPal es una de las principales víctimas de fraude de apertura de cuentas y de onboarding. En 2021, la empresa identificó más de 4,5 millones de cuentas falsas, que fueron el resultado directo de su estrategia de adquisición de clientes incentivada.

PayPal ofrecía 5 o 10 dólares a los clientes que se registraban en PayPal o Venmo, atrayendo automáticamente a los defraudadores que utilizaban redes de bots a gran escala para visitar el sitio de registro. Esto es esencialmente muy similar al abuso de bonificaciones en iGaming, otro punto de dolor importante con el que SEON es conocido por ayudar inmensamente.

Es importante señalar que PayPal no es un neobanco, sino un proveedor de billeteras electrónicas. Pero como las cuentas de los neobancos tienen más valor que los monederos electrónicos, el ejemplo de PayPal pone de manifiesto el alcance de las vulnerabilidades a las que pueden estar expuestas todas las empresas de tecnología financiera. 

Robo de cuentas

A veces, los actores maliciosos engañan a tu empresa aprovechando el phishing y el hacking para acceder a las cuentas de los usuarios. Una vez en la cuenta, el estafador puede gastar el dinero que contiene, cambiar las credenciales para bloquear al usuario legítimo o poner las credenciales a la venta en la dark web. 

Los robos de identidad en internet (ATOs) suponen un riesgo importante para tu banco digital. Según Aberdeen Group, el 84% de las empresas fintech experimentaron robos de cuentas en 2021, lo que les costó hasta un 8,3% de sus ingresos anuales. 

Transferencias de fondos fraudulentas

Esto ocurre cuando los defraudadores utilizan un emulador o clonador de aplicaciones para realizar una transferencia bancaria o recargar una cuenta. Este esquema de fraude en la banca online suele ponerse en marcha para lavar dinero. 

Además, hay casos en los que un defraudador abre una cuenta aparentemente legítima para recibir depósitos por un servicio o producto prometido que nunca va a cumplir. 

5 Pasos para la prevención del fraude en la banca online 

Aunque los estafadores son cada vez más inteligentes con sus técnicas, se les puede mantener a raya siguiendo estas recomendaciones: 

1. Revisa el fraude interno 

Dicen que la caridad empieza en casa. Por eso, si tienes que luchar contra el fraude de forma eficaz, empieza por investigar y auditar a los empleados de tu empresa.

Algunos de tus supuestos empleados «de confianza» podrían estar vendiendo los datos de las cuentas de los clientes en la dark web. Deberías tomarte esto en serio, ya que las investigaciones de Microsoft muestran que grupos como LAPSUS$, un equipo creciente de ciberdelincuentes, obtienen cada vez más acceso a organizaciones objetivo a través de empleados reclutados a cambio de dinero.

Con la investigación publicada en Clari5 que indica que el 70% del fraude en la banca online tiene éxito debido a los empleados internos, es más obvio que nunca que la supervisión del fraude interno debe ser una prioridad absoluta. 

2. Educa a tus clientes 

Concientizar a los clientes de los riesgos a los que se enfrentan, de lo que deben tener en cuenta y de los consejos para realizar transacciones seguras es una forma segura de reducir los riesgos de fraude como los robos de cuentas. Además, esta estrategia hace que tus clientes confíen más en tu banco.

Por ejemplo, Monzo introdujo una campaña online para advertir a los clientes sobre los intentos de robo de cuentas a principios de 2022. Esto también ayudó al banco online con sede en el Reino Unido a conseguir algo de publicidad positiva después de una cobertura de noticias menos favorable unos meses antes.

Aquí está el hilo de tweets que iniciaron para educar a los clientes: 

Una cosa a tener en cuenta de la campaña de Monzo es esto: 

Si te esfuerzas por educar a los clientes, asegúrate de enviar un comunicado de prensa. Los medios de comunicación más populares podrían recoger la noticia, lo que daría lugar a publicidad gratuita, mayor conocimiento y confianza en tu banco digital.

3. Supervisa las transacciones

En determinados contextos, la monitorización de las transacciones para prevenir el lavado de dinero y la financiación del terrorismo es un requisito, e incluye la presentación de informes de actividad sospechosa cuando algo falla.

Sin embargo, vigilar cómo los clientes utilizan el sitio web o la app de una entidad fintech o tradicional puede ser de gran ayuda no solo para evitar multas y cumplir con la normativa, sino para detectar e investigar posibles casos de fraude.

4. Utiliza herramientas de enriquecimiento de datos en tiempo real

Como su nombre debería sugerir, el enriquecimiento de datos en tiempo real mejora los datos KYC de los clientes con datos adicionales agregados obtenidos de diversas fuentes, como bases de datos de código abierto, servicios digitales y redes sociales. 

Esto es útil para la detección del fraude, ya que te proporciona información adicional para tomar decisiones de riesgo mejor informadas. Además, te permite obtener una imagen más amplia de tus usuarios sin tener que pedirles que presenten detalles. 

Como resultado, puedes luchar contra el fraude sin sacrificar la experiencia del cliente sin fricciones. Incluso puedes utilizar estas señales digitales alternativas para el score crediticio y la suscripción, ya que pueden actuar como anclas de confianza para señalar a los malos usuarios (así como a los clientes de alto valor).

Los módulos de enriquecimiento de datos de SEON proporcionan una gran cantidad de puntos de datos reveladores, comenzando con información sencilla que los propios clientes proporcionan.

Módulo de análisis de correo electrónico 

A través de un profundo perfil de las redes sociales y de la verificación del dominio, este módulo de huella digital te ayuda a confirmar la legitimidad de una dirección de correo electrónico buscando en más de 50 sitios de redes sociales y online para encontrar perfiles relacionados con el correo electrónico. También revela si la dirección de correo electrónico ha estado involucrada en listas negras y filtraciones de datos. 

Puedes buscar un correo electrónico manualmente o integrar la API de correo electrónico en tu pila de tecnología de riesgo: 

Con una puntuación de riesgo de 4 y observaciones como que el correo electrónico no se encuentra en un sitio web existente, deberías examinar más a fondo a este usuario.

También puedes comprobar por lotes varias direcciones de correo electrónico de una sola vez a través de la interfaz fácil de usar o mediante llamadas a la API:

Con puntuaciones de riesgo de 0/100, no deberías preocuparte por la legitimidad de estos dos usuarios.

Análisis de IP

A través de la API de IP, este módulo te permite conocer la ubicación de tu usuario y si la IP está en alguna lista negra de spam. También puedes utilizarlo para determinar si están en una IP de centro de datos o en una conexión residencial, así como otra información relacionada.

Todo esto ayuda a reducir los robos de cuentas, el spyware, el malware, los netblocks criminales, los botnets, los spammers y los exploit scanners. 

He aquí cómo:

Con una puntuación de riesgo de 0, es seguro decir que este usuario vive realmente en Gran Bretaña.

Huella Digital del Dispositivo

Este módulo expone la configuración y actividad sospechosa en el dispositivo que un cliente utilizó para conectarse a tu sitio. Te ayuda a responder a preguntas como:

• ¿Se ha conectado el usuario con este dispositivo antes?
• ¿Qué tipo de navegador utilizó el cliente?
• ¿El dispositivo del usuario es un móvil o una computadora de escritorio?
• ¿Qué sistema operativo está utilizando?

5. Machine Learning

Aunque los estafadores pueden intentar introducir información falsa durante el proceso de verificación KYC, los algoritmos de machine learning y una sólida puntuación de riesgo pueden ayudar a atraparlos.

El análisis estadístico es una de las piedras angulares de la detección del fraude en la banca online. En pocas palabras, se trata de recopilar tantos datos como sea posible y utilizarlos para establecer patrones relacionados con el riesgo mediante algoritmos. A menudo se denomina sistema de prevención del fraude blackbox, y es excelente para detectar rápidamente nuevos tipos de fraude. Los clientes de SEON pueden habilitar fácilmente el machine learning blackbox si así lo desean.

Sin embargo, también hay un algoritmo whitebox que trabaja entre bastidores, que se entrena y reentrena a sí mismo cuanto más tiempo se utiliza la plataforma, y que propone reglas totalmente personalizadas para mitigar el fraude. Al tratarse de una solución de caja blanca machine learning, siempre viene acompañada de explicaciones totalmente transparentes de por qué y cómo funciona, así como de una puntuación de confianza.

Estos dos módulos de Inteligencia Artificial funcionan de forma complementaria, lo que permite la máxima eficiencia al aprovechar las ventajas de cada uno.

Además de esto, tienes el control sobre qué reglas de riesgo activar, permitiendo o bloqueando acciones específicas de los usuarios. 

En definitiva, la solución de enriquecimiento de datos en tiempo real de SEON demuestra ser una capa de seguridad rentable y sin fricciones.

Puedes incorporarla fácilmente a tu producto mediante código o plugins con el sencillo flujo de integración, manteniendo un proceso de incorporación sin fisuras.

También puedes retrasar las comprobaciones de IDV hasta que sean absolutamente necesarias, de modo que solo evalúes a los usuarios considerados legítimos, o pidas a los clientes que rellenen campos adicionales. 

Patrones y tendencias del fraude en la banca online en 2022

En 2022 y más allá, hay varias tendencias de fraude en la banca online a las que hay que prestar atención y, curiosamente, algunas de ellas se basan en el trabajo conjunto de los defraudadores.

• Ingeniería social mejorada: Gracias a la tecnología, así como a su tendencia a poner en común sus recursos y colaborar, los estafadores son cada vez mejores en los ataques de ingeniería social, incluido el spear-phishing, como el fraude del CEO. Recuerda que esto también tiene aplicación offline.
• El fraude como servicio: La barrera de entrada para los delincuentes es más baja que nunca en estos días, ya que muchos están disponibles para ser contratados en la dark web. Los actores maliciosos ofrecen en línea sus servicios o el acceso a sus herramientas especializadas, así como tutoriales y guías.
• Falsificación de datos biométricos: Por desgracia, la verificación biométrica es menos fiable de lo que muchos creen, o más bien mucho más fácil de falsificar. Por ejemplo, en noviembre de 2021, Kraken demostró que es bastante sencillo descifrar los datos biométricos de la yema del dedo de cualquier persona, y también hemos visto explicaciones similares para las «selfies» de video y foto.
• Identificaciones sintéticas: Para crearlas, los defraudadores astutos combinarán información robada con datos inventados o deepfakes. Como estos últimos son cada vez más creíbles, la incorporación de los clientes a los neobancos, los BNPL, los microprestamistas y demás exige una mayor vigilancia.

Todo lo anterior va en aumento, lo que hace que sea más difícil para los bancos tradicionales y para los de nueva creación mantener la seguridad al mismo tiempo que se mantiene una experiencia del cliente fluida y agradable. 

El objetivo es utilizar una tecnología de riesgo robusta y escalable que siga ofreciendo una experiencia de cliente sin fricciones. SEON ofrece una amplia lista de APIs modulares, a través de las cuales puedes elegir solo las APIs que necesitas integrar en tu pila tecnológica para obtener datos más ricos. 

También te puede interesar:

• Los 9 mejores software de prevención del fraude bancario en 2023
• Los 7 mejores sistemas de administración de riesgos financieros

Fuentes

• Banking Exchange: Neo and Challenger Bank Market to Reach $395bn by 2026
• Krebs on Security: A Closer Look at the LAPSUS$ Data Extortion Group
• Clari5: The Threat Within. Spotting and Arresting Insider Fraud
• Zion Market Research: Neo and Challenger Bank Market – Global Industry Analysis
• Forbes: PayPal Admits 4.5 Million Accounts Were Illegitimate As Fintech’s Fraud Problem Grows
• Globe Newswire: New Report from Aberdeen Group Reveals Serious Impact of Credential Stuffing and Account Takeover Attacks on the Financial Services Industry
• The Fintech Times: Acuant: How AI and Machine Learning are Fueling Fraud Prevention in an Evolving Digital Economy
• Express: Monzo issues urgent warning to all banking customers and ignoring it could be costly
• Feedzai: Financial Crime Report Q2 2021 Edition
• Kraken: Your Fingerprint Can Be Hacked For $5. Here’s How.