Account Takeover, el peligroso “juego” de los hackers durante la pandemia

Escucha esta nota en MNI Radio
Voiced by Amazon Polly

Por Marcelo Fondacaro, COO de VeriTran

El mundo cambio y hoy en medio de la pandemia y de cara a una “nueva realidad” los consumidores y las empresas han hecho de la tecnología su mejor aliado, impulsando con esto, la aceleración y el uso de más herramientas y procesos digitales. Tan solo en los últimos meses, 7 de cada 10 consumidores en México realizaron transacciones de comercio electrónico según el IAB.

Pero, en un mundo donde las tendencias han dado un giro de 180 grados, y donde las empresas y usuarios dependen al 100% de los avances tecnológicos, también han aumentado los riesgos que vienen en forma de ciberataques.

Según el estudio de Lockton, “El riesgo de ciberataques, una realidad palpable”, México es el tercer país en vulnerabilidad ante ciberataques en América Latina. Se estima que 7 de cada 10 empresas han sufrido ataques de este tipo.

Actualmente, en medio de la crisis provocada por el coronavirus, el cibercrimen tiene un nuevo formato de despliegue, el Account Takeover (ATO), un proceso de hurto de credenciales de cuentas digitales que avanza sigilosamente sobre diversos sectores, entre ellos y en gran medida, en el financiero.  Si bien el phishing y el malware son de las amenazas más comunes para la banca, el Account Takeover o ATO es de las técnicas de robo mejor estructuradas que arremete hoy contra el sector financiero digital.

El ATO es un fraude que tiene por objetivo obtener los datos de un usuario para hacerse cargo de su cuenta en línea. Para lograrlo, el hacker despliega una serie de ciberataques como el malware, el phishing, llamadas telefónicas fraudulentas, keylogger, entre otras. Una vez que el cibercriminal obtiene las credenciales de la cuenta, accede a la misma y comienza a realizar distintos movimientos como transferir montos hacia otras cuentas o retirar dinero.

Para afrontar esta clase de ataque sofisticado, es clave que los bancos incluyan en sus canales digitales diferentes soluciones de seguridad basadas en tecnologías que garantizarán experiencias de usuario seguras, evitando cualquier intento de cibercrimen.  Entre ellas, la biometría, las contraseñas de uso único, segundo factor de identificación y las notificaciones push, se destacan en la industria financiera.

Armas tecnológicas contra el ATO

La autenticación biométrica es un método de verificación que implica características biológicas y estructurales de una persona. Puede incluir el escaneo de huellas dactilares, reconocimiento facial, reconocimiento de iris hasta análisis de latidos y mapeo de venas. Su implementación en la banca es esencial pues trabaja con datos únicos para cada cliente y presentan una estructura muy compleja en términos de transferencia. Su inserción en la banca móvil no es compleja ni dilatada, y puede emplearse para que los usuarios realicen el login, o hasta para hacer una transacción. Es importante saber que un proceso seguro de verificación biométrica debe de incluir pruebas de liveness – para evitar el uso de los videos o incluso las fotos para pasar el control. Además, es clave relacionar los datos biométricos no solo con el usuario, sino también con su dispositivo. Con eso, se reducen las oportunidades para entrar en una cuenta desde otro dispositivo.

Por otro lado, las notificaciones push operan como una garantía de seguridad al enviar alertas interactivas que le permiten al cliente obtener el control sobre la gestión de sus cuentas y proteger sus transacciones. Con el uso de las notificaciones push el usuario puede reaccionar ante la alerta y garantizar que la transacción es suya o se trata de un acto fraudulento.

Otra arma útil contra el Account Takeover es el uso de un segundo factor de autenticación (2FA). En un proceso de 2FA, el cliente tiene que ingresar un código digital adicional a su usuario y contraseña. Ese código puede provenir de una aplicación dedicada, un token físico o bien una clave especial enviada por SMS.

Y no podemos olvidarnos de los One Time Password – OTP –, una herramienta que también forma parte de la infraestructura de seguridad y que, como su nombre lo indica, es una contraseña diseñada para utilizarse una sola vez.  Las OTP se han utilizado en sector financiero por muchos años, para agregar seguridad a las transacciones en línea ya que proporciona una autenticación por clave, designada por su financiera, que el cliente debe emplear para realizar sus movimientos online. La autenticación en este caso está basada en un mensaje de texto (SMS) que llega al móvil y debe usarse adicional a los datos de usuario y contraseña.

En poco tiempo, con el auge de nuevas metodologías de ciberataques, estas herramientas tecnológicas de seguridad digital se han vuelto esenciales para la banca. Y en estos meses tan complejos por COVID, tenemos aún más responsabilidad para defender a nuestras instituciones de las amenazas nuevas y de hacer todo lo posible para proteger a las cuentas de los clientes.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *