El fraude electrónico continua creciendo en la región, lo cual obliga a las empresas interesadas en ofrecer servicios digitales a establecer estrategias efectivas para su mitigación. La identidad digital [REC2020a], su apropiación y uso por parte de los individuos, es fundamental para fortalecer el ecosistema digital y asegurar los procesos digitales. En este documento definimos los lineamientos que le permiten a las empresas desplegar estrategias exitosas para la mitigación del fraude electrónico.
Caracterización del Fraude Electrónico
Si bien las empresas que ofrecen servicios digitales hacen uso de diferentes técnicas para identificar y mitigar el fraude, este persiste, y en esta sección definimos algunas características del fraude y de los sistemas que intentan mitigarlo.
El fraude persiste
La persistencia del fraude esta directamente asociada a la rentabilidad. Solamente en Colombia, según la Superintendencia de Industria y Comercio (SIC) [SIC2019], entre 2018 y 2019 las quejas de suplantación de identidad crecieron un 125%. De acuerdo a [EXP2018], el 87% de los negocios sufrieron en 2019 tantos o más intentos de fraude que en 2018, y en Colombia mas del 8% de las transacciones son rechazadas por sospecha de fraude [VIS2017]. Es decir, la tendencia del fraude electrónico es creciente, y es mas importante que nunca para las empresas que ofrecen servicios digitales contar con mecanismos que ayuden a su mitigación.
El fraude es costoso
De acuerdo con [VIS2017], el 1.6% de las ganancias de e-commerce en América Latina (un sector líder y posicionado en transacciones digitales en la región) se perdieron debido al fraude en 2018. Esto puede representar un valor cercano a los 1000 millones de dólares. Así mismo, en aquellas empresas en América Latina que cuentan con tecnologías de mitigación de fraude, el 28% de las transacciones fueron revisadas manualmente. Esto implica un costo operacional considerable. Pero adicionalmente, el 57% de esas transacciones son aceptadas. Esto quiere decir que debido a la incapacidad de identificar el fraude por medio de métodos automáticos, se está incurriendo en costos innecesarios.
El fraude se adapta
El fraude electrónico evoluciona con los mas recientes desarrollos tecnológicos, y en particular con aquellos que surgen del internet. Según Distil Networks en 2019 el 20% del tráfico de internet consistía de badbots, es decir robots que se conectan a diferentes páginas web buscando vulnerabilidades. Esto quiere decir que la búsqueda de vulnerabilidades es cada vez más automática, lo cual afecta directamente a las empresas que ofrecen servicios digitales. Adicionalmente, si bien la vulnerabilidad mas común es el phishing, estas técnicas que buscan robar credenciales auténticas se han hecho cada vez mas sofisticadas, o se dirigen a perfiles que pueden generar mayores beneficios. De esta manera, el fraude busca minimizar la sospecha que puede generar en usuarios con conocimientos de herramientas tecnológicas.
La mitigación de fraude puede afectar la UX
Se sabe que el 98% de los usuarios que presentan credenciales a un sistema electrónico son legítimos [GAR2019], por lo cual no se deben usar los mismo niveles de seguridad que contra ese 2% de alto riesgo. Así mismo, mecanismos de autenticación de alta fricción como los passwords generan fallas de seguridad. Por lo tanto, es necesario hacer uso de técnicas que faciliten la experiencia de usuario, sin olvidar la seguridad.
Las técnicas de mitigación estáticas caen en desuso
Técnicas tradicionales de autenticación como las preguntas socio-demográficas, resultan cada vez menos efectivas a la hora de establecer la identidad de una persona. Esto ocurre debido a las constantes fugas de información con datos personales. Solamente en 2019, las 12 principales fugas de datos contenían mas de 21mil millones de registros de datos personales. Adicionalmente, técnicas como el SIM swapping han hecho que los OTPs enviados por SMS sean menos seguros. Por lo tanto, este tipo de técnicas pueden ser usadas solamente en conjunto con otras mas seguras.
Los sistemas de detección de fraude deben ser flexibles
El uso de datos personales varía en función de las regulaciones de cada país, haciendo que en algunos lugares donde no hay una regulación específica, o donde esta es muy laxa, el flujo de datos personales sea mayor, haciendo que herramientas como las preguntas socio-demográficas pierdan interés. Adicionalmente, ya que muchos sistemas hacen uso de datos biométricos (los cuales pueden ser clasificados como personales o sensibles), es necesario tener claro que requerimientos hay para su almacenamiento y procesamiento. Esto es especialmente importante para empresas que tiene una estrategia de despliegue que cubre más de un país.
Pautas para mitigar el Fraude Electrónico
Considerando la evolución del fraude en servicios digitales, y así mismo la manera en que los sistemas de mitigación de fraude han enfrentado este problema, en esta sección damos 4 pautas para que las empresas digitales puedan enfrentar el fraude.
1. Integrar diferentes mecanismos de autenticación
La autenticación multi-factor (MFA en sus siglas en inglés) es fundamental para establecer la identidad de una persona. El uso de diferentes fuentes de información genera una mayor seguridad, y puede incluir aspectos de la persona y del dispositivo desde el cual accede. Un aspecto importante es la manera en que esta información se integra, pues no se trata solo de sumar fuentes de información, sino de hacer que se consiga un resultado consistente. Esto implica unir fuentes de información heterogéneas como datos biométricos, huellas electrónicas de dispositivos, validación contra fuentes oficiales, etc. Adicionalmente, se debe buscar incluir tecnologías novedosas y seguras. En particular, la validación biométrica facial ha demostrado tener unos altos niveles de seguridad, generando una experiencia de usuario amable y de poca fricción.
2. Caracterizar el fraude de manera continua
Las herramientas y técnicas de análisis de datos masivos permiten entender la manera en que el fraude evoluciona, y por lo tanto muchas de las soluciones actuales se basan en ellas. Un aspecto importante a la hora de analizar información sobre transacciones y usuarios, es considerar el contexto de las transacciones, por lo cual se vuelve importante comprender patrones de uso que ayuden a identificar anomalías que pueden estar asociadas a intentos de fraude. Adicionalmente, debido a que el fraude se adapta, es necesario hacer una revisión permanente de los modelos de riesgo utilizados, para que puedan ser actualizados.
3. Considerar la experiencia de usuario y la protección de datos
Un sistema de mitigación de fraude que dificulte el acceso de los usuarios es inútil. Es importante adaptar los requerimientos de seguridad al nivel de riesgo de la transacción, y en lo posible hacer uso de herramientas que automaticen el proceso. De esta forma se puede mejorar la experiencia de usuario, pues se reduce el tiempo de respuesta al mismo tiempo que se incrementa la seguridad de la transacción. Así mismo, es importante dar a conocer al usuario que se va a hacer con sus datos personales, de tal manera que la adopción de las tecnologías de autenticación sea mayor.
4. Buscar soluciones flexibles
Debido a que la mayoría de sistemas de mitigación de fraude buscan funcionar en diferentes países y sectores con regulaciones que varían, es necesario hacer uso de soluciones que puedan adaptarse a ellas. Esto incluye el acceso a datos personales, su procesamiento, o incluso el flujo transnacional. Por otro lado, debido al sesgo demográfico que afecta a la población de América Latina en los algoritmos de validación facial, es importante buscar medidas que ayuden a mitigarlo, para mejorar la exactitud que ofrecen estas técnicas. Por otro lado, se deben considerar condiciones de infraestructura como el despliegue de tecnologías de comunicaciones, la penetración de teléfonos inteligentes o la banda ancha.
Conclusiones
Las empresas que ofrecen servicios digitales deben adaptarse a las nuevas modalidades de fraude y hacer uso de las tecnologías disponibles para su mitigación. El fraude digital sigue creciendo, tiene un impacto económico importante y se adapta. Pero además, los sistemas de mitigación de fraude no pueden impactar la experiencia de usuario, deben evitar el uso de datos estáticos como único factor de autenticación y además deben adaptarse a regulaciones que varían por país y sector. En este documento proponemos 4 pautas para ayudar a las empresas a establecer estrategias que les permitan mitigar el riesgo de fraude. En primer lugar proponemos integrar diferentes mecanismos de autenticación, analizar los datos para actualizar los modelos de riesgo, considerar al experiencia de usuario como eje, y finalmente buscar ser lo suficientemente flexibles para adaptarse a diferentes sectores. La continuación de estos procesos puede ayudar a reducir el impacto económico del fraude digital
Diego Pacheco-Páramo
Bibliografía
[REC2020a] La identidad digital. ReconoSER ID. D. Pacheco-Páramo y N. Spijkers. 2020. https://reconoserid.com/stagingv3/la-identidad-digital/
[SIC2019] ¿Funcionarios de la Registraduría serían cómplices de suplantación de identidad? Programa Séptimo día. Caracol televisión. 2019.
[VIS2017] Online Fraud Report. 2017 Latin America. CyberSource. Visa.
[EXP2018] The 2018 Global Fraud and Identity Report. Experian
[GAR2019] Gartner. 2019