Evolucionando la ciberseguridad en el sector bancario sin perjudicar CX

A medida que cada vez más personas se alejan de la banca tradicional para adoptar canales digitales, las empresas del sector están bajo más presión que nunca para acelerar la transformación digital. Para competir en un mundo basado en pantallas y construir relaciones duraderas con los clientes, la industria financiera necesita mantenerse al día con las expectativas cada vez mayores de los clientes en cuanto a velocidad, conveniencia, calidad de servicio e interactividad. Hacer esto significa aprovechar los canales y aplicaciones de mensajería, pero también la inteligencia artificial y la automatización para crear las experiencias personalizadas y perfectas que todos esperamos como clientes. Pero el cambio hacia puntos de contacto digitales también expone a los proveedores de servicios financieros a desafíos incrementados de seguridad de datos y cumplimiento normativo. Entonces, ¿cómo pueden los bancos crear viajes de clientes seguros e ininterrumpidos en el panorama digital actual? En esta publicación de blog, discutimos los principales riesgos de fraude asociados a los canales móviles y las estrategias para mejorar la ciberseguridad en los bancos, prevenir fraudes bancarios en línea, proteger los datos de los clientes y mantener la confianza.

5 tipos de fraude bancario a tener en cuenta en un mundo digital

• Ataques de smishing

Los ciberdelincuentes suelen enviar correos electrónicos y enlaces falsos que parecen provenir de una fuente legítima, con el objetivo de engañar a los usuarios y obtener información confidencial o datos financieros. Esto se conoce como phishing. El smishing es una forma de phishing que implica el envío de mensajes de texto falsos a usuarios móviles objetivo. Los ataques de smishing representan una amenaza creciente para la industria financiera.

• Malware y spyware 

A medida que los dispositivos móviles se utilizan cada vez más para operaciones bancarias y otras transacciones financieras, también se convierten en blanco de software malicioso como malware y spyware, que pueden ser utilizados para robar información confidencial o realizar transacciones no autorizadas. Estos pueden utilizarse para rastrear las actividades en línea de un usuario y acceder a datos financieros o información confidencial.

• Fraude de cambio de SIM y secuestro de cuenta (ATO) 

El cambio de SIM es un tipo de secuestro que implica desactivar la tarjeta SIM de alguien y activar una nueva sin el consentimiento de la persona, para tomar el control del número de teléfono. Los estafadores suelen utilizar técnicas de ingeniería social y convencer al proveedor de telefonía móvil de la víctima de transferir el número a otra tarjeta SIM. La mayoría de los proveedores han tomado medidas para evitar esto, pero el riesgo aún existe. El atacante puede luego eludir los procesos de verificación utilizando ese número de teléfono, por ejemplo, la autenticación de dos factores con códigos de acceso únicos enviados por SMS (OTP). Esto significa que el atacante tendrá acceso a cuentas bancarias, aplicaciones de pago y otras cuentas e información confidencial. En algunos mercados, es posible combatir esta amenaza bloqueando los OTP de SMS en dispositivos móviles donde se haya emitido una nueva tarjeta SIM recientemente.

•  Vulnerabilidad del SS7 

Otro tipo de secuestro ocurre cuando los ciberdelincuentes utilizan el sistema de señalización para tomar el control del teléfono de la víctima. El SS7 (Sistema de Señalización 7) es una red que permite a los proveedores móviles intercambiar mensajes entre sí. Un ataque exitoso al sistema de señalización de un operador móvil puede dar a los hackers acceso a los mensajes de texto de sus suscriptores, incluyendo los OTP de SMS. Luego utilizarán la información para acceder a cuentas bancarias. Afortunadamente, los ataques al SS7 son bastante difíciles de llevar a cabo y, por lo tanto, relativamente raros, y muchos operadores móviles ahora tienen firewalls de señalización para proteger sus redes de estos ataques.

• Tráfico Artificialmente Inflado (AIT) 

El Tráfico Artificialmente Inflado, también conocido como tráfico de mensajes SMS, es un tipo de fraude en el que los estafadores colaboran con proveedores de servicios dudosos para generar tráfico falso. Los OTP de SMS pueden ser extremadamente vulnerables a este tipo de fraude. En la práctica, los estafadores solicitan miles de códigos de verificación, enlaces o cualquier cosa que una empresa pueda enviar a través de SMS, y los envían a números aleatorios para obtener parte de los ingresos generados. Este tráfico termina en la mayoría de los casos como spam en los dispositivos reales de los usuarios o nunca es entregado por el proveedor de servicios cómplice, aunque confirmen la entrega. Esto puede ser un riesgo significativo para las empresas, ya que significa pagar por muchos mensajes falsos. Para los consumidores, generalmente resulta en spam y un potencial robo de identidad.

Equilibrando la experiencia del cliente y la ciberseguridad en la banca

 

Mitigar los riesgos asociados con la banca digital y los mensajes móviles es una colaboración entre los usuarios finales, los bancos, sus proveedores de servicios, el ecosistema y los reguladores. Como proveedor líder de servicios, Sinch promueve las mejores prácticas para ayudar a construir un ecosistema más seguro y proporcionar los mejores servicios para las empresas y los usuarios finales. En esta sección, presentamos algunas mejores prácticas y soluciones para ayudarlo a prevenir amenazas a lo largo del viaje digital del cliente, al tiempo que brinda una experiencia perfecta.

 

Autenticación móvil: la base de la protección de datos

La forma más común de asegurar el acceso a cuentas y aplicaciones de usuario es la autenticación de dos factores (2FA), donde se requiere que los clientes verifiquen su identidad utilizando dos de los siguientes elementos:

• Algo que saben, como una contraseña

• Algo que tienen, como acceso al teléfono

• Algo que es parte de su identidade, como información biométrica

Como probablemente ya sepa, con la introducción de PSD2 y la Autenticación Fuerte del Cliente (SCA) en los países de la UE y el EEE, la 2FA ahora es el requisito legal mínimo para transacciones iniciadas por el pagador dentro de esos países. ¿El objetivo? Aumentar la seguridad de los pagos electrónicos. En la banca, la 2FA a través de OTP de SMS es, con mucho, el método de verificación más popular para aprobaciones de transacciones debido a su simplicidad y disponibilidad universal. Aunque esto evita la mayoría de los ataques automatizados, este método puede ser vulnerable a fraudes, como se explicó anteriormente. Las instituciones financieras idealmente deberían utilizar una combinación de métodos de verificación para mejorar la seguridad.

La investigación muestra que la autenticación de dos factores (2FA) a través de SMS también puede causar fricción al cliente. La combinación de varios métodos de verificación es una excelente manera de mejorar la experiencia del cliente, ya que brinda a las empresas la oportunidad de elegir el mejor método o métodos para sus casos de uso y clientes específicos. La verificación de datos y la verificación de llamadas rápidas, por ejemplo, son excelentes alternativas, o complementos, a la 2FA a través de SMS que garantizan poca o ninguna interrupción en la experiencia del usuario. ¡Además, también son significativamente más económicos! Sin importar el método de autenticación elegido por las empresas de servicios financieros, la experiencia del usuario, al igual que la seguridad, siempre debe ser una prioridad.

 

Cómo los canales de mensajería enriquecida hacen que las comunicaciones móviles sean más seguras

Los canales de mensajería enriquecida, como WhatsApp, Viber, RCS messaging o Apple Business Chat, no solo son excelentes para crear experiencias bancarias conversacionales atractivas, sino que también ofrecen mayor seguridad con mensajes personalizados e identificadores de remitentes verificados. Mientras que los mensajes de texto SMS tradicionales pueden enviarse a través de rutas no confiables, como rutas de "grises", los mensajes de WhatsApp, Viber, RCS y Apple se envían utilizando datos de internet. Las empresas que utilizan estos canales también deben pasar por un riguroso proceso de verificación, lo que reduce significativamente los riesgos de spam o smishing. A su vez, esto también ayuda a aumentar la confianza del cliente.

 

SIM Farms y el riesgo de protección de datos

Las SIM Farms, o rutas piratas, son conjuntos de tarjetas SIM no autorizadas obtenidas legal o ilegalmente y utilizadas por algunos proveedores de mensajería móvil para enviar SMS empresariales a un precio más competitivo. Al utilizar rutas no autorizadas para la entrega de mensajes, las granjas de SIM violan los términos y condiciones de los operadores móviles y generalmente no cumplen con la legislación de protección de datos, como el GDPR. Además, las granjas de SIM suelen estar asociadas a actividades ilegales y fraudes, poniendo en riesgo a consumidores y empresas. Las empresas son legalmente responsables de la cadena de entrega de sus SMS, por lo tanto, el uso de granjas de SIM las expone a posibles litigios y multas. Es por eso que los SMS empresariales solo deben enviarse a través de rutas de operadores móviles autorizados, y la única forma de garantizar esto es trabajar con un proveedor confiable.

 

Hacer que la banca digital sea fácil y segura: el papel de las comunicaciones en la nube

Asegurar la experiencia digital del cliente en el ámbito bancario no es una tarea fácil, pero existen herramientas revolucionarias disponibles para ayudar a las empresas a verificar a los usuarios y comunicarse de manera fluida y segura. Las plataformas de comunicación en la nube permiten integrar rápidamente capacidades de mensajería, voz y verificación en sus aplicaciones y flujos de trabajo existentes, garantizando la seguridad y el cumplimiento de regulaciones como el GDPR.

Elegir un socio de comunicación en la nube en el ue pueda confiar

 

Optar por una solución barata para comunicaciones móviles y verificación puede perjudicar a un negocio de varias maneras y nunca garantizará que se cumplan los principios fundamentales de seguridad de la información. Como en muchas cosas de la vida, generalmente se obtiene lo que se paga... ¿Has oído hablar de la CIA? No, no de la Central Intelligence Agency. En ciberseguridad, CIA significa Confidencialidad, Integridad, Disponibilidad, y debe ser la base de cualquier política de protección de datos:

• La confidencialidad se centra en evitar fugas de datos y garantizar que los datos sensibles sean accesibles solo por usuarios autorizados.

• La integridad significa que los datos no deben modificarse de ninguna manera sin autorización y deben mantenerse precisos en todo momento.  

• La disponibilidad se refiere a la disponibilidad de datos para usuarios autorizados cuando los necesiten.

La idea es que al buscar socios tecnológicos, solo se consideren aquellos que colocan la protección de datos y del consumidor en el centro de todo lo que hacen. Aquí hay algunas de las características clave que un proveedor confiable de comunicaciones debe tener:

• Una red de primera clase y conexiones directas con operadores, para una máxima cobertura, escalabilidad, confiabilidad y disponibilidad.

• Una plataforma a nivel de operador, para seguridad y calidad de vanguardia, y baja latencia.

• Altos estándares de seguridad y ética, que garantizan seguridad y protección de datos de extremo a extremo, con cumplimiento del GDPR, el Código de Conducta de MEF y la certificación ISO27001 (la principal certificación para Sistemas de Gestión de Seguridad de la Información, también conocidos como ISMS).

• Una cadena sólida de confianza para la verificación móvil.

• Un equipo de soporte dedicado comprometido a ayudarte a tener éxito.

• Una amplia experiencia en el apoyo a instituciones financieras en su viaje de transformación digital.

¿Quieres más detalles? Hemos preparado una hoja de consejos útil para ayudarte a elegir un socio de comunicaciones en la nube con confianza. La creciente sofisticación de los ataques de fraude está obligando a las instituciones financieras a fortalecer su seguridad. Mitigar los riesgos asociados con la banca digital sin perjudicar la experiencia del cliente requerirá el uso de la combinación adecuada de canales móviles y métodos de verificación para permitir que los clientes avancen en su viaje con tu marca de manera segura y sin problemas. Para lograr esto, será necesario encontrar el socio tecnológico adecuado para hacerlo posible. Uno que vaya más allá del cumplimiento cuando se trata de protección de datos y contribuya a la construcción de un ecosistema de comunicaciones mejor. Y, por supuesto, esto también significa hacer tu parte, siguiendo las mejores prácticas y educando a tus empleados y clientes sobre las amenazas de seguridad digital. ¿Necesitas ayuda para fortalecer la seguridad y la experiencia del cliente? Explora las soluciones de Sinch para servicios bancarios y financieros o conoce los resultados de nuestra investigación global con consumidores.