Cómo los bancos pueden optimizar la seguridad en los pagos digitales
El crecimiento acelerado de la banca digital corre parejo al de los intentos de estafas especializadas en ese ámbito. Por ejemplo, el centro de estudios Funcas (i) acredita un incremento del 40% en la cantidad pagada por canales digitales entre 2020 y 2021, y las proyecciones apuntan a que llegará a casi doblarse en 2025. La consultora PwC va más allá y prevé que las transacciones electrónicas se tripliquen en el mundo a finales de esta década con relación a las cifras de 2015. Mientras, en el mercado doméstico, el Banco de España alertaba sobre el aumento de casi el 89% en las reclamaciones de fraudes con tarjetas durante 2019 y 2020. No obstante, el último Informe de Medios de Pago y Fraude Online (ii), de 2023, constata ya el efecto positivo de la directiva comunitaria (iii) sobre la Autentificación Reforzada del Cliente (SCA) en las transacciones.
“Las innovaciones tecnológicas también se dan en la dimensión delictiva por eso la evolución del mercado de pagos digitales coincide con la creciente amenaza de fraude”, apunta Funcas, y en este sentido la diversidad en los servicios de pago tiene su reverso en la diversidad de las técnicas de fraude.
Así, a los métodos conocidos para hacerse con datos bancarios y contraseñas como el phishing y sus variantes (correos electrónicos, SMS, etc. usados como gancho) o la ingeniería social, se añaden otros como los botnets (virus especializados en robo de identidades y datos que infectan ordenadores y teléfonos móviles), el pagejacking (redirige el tráfico online de un marketplace legal a uno fraudulento para obtener los datos bancarios del comprador), sistemas más eficientes en el duplicado de tarjetas bancarias o tarjetas SIM, incluso métodos capaces de hackear filtros de identidad biométrica como las huellas dactilares.
Gestión integral a todos los niveles
Por lo tanto, la primera conclusión ante esa diversidad en las estafas, que buscan abrir nuevas fisuras para compensar las que cierran las entidades, es que la estrategia preventiva debe ser igualmente integral para ir un paso por delante del ciberdelito.
Integral, además, en varios niveles. Primero, como visión corporativa que desde la cúpula eleva la seguridad a valor esencial de los servicios de pago, tanto como su propia rentabilidad, porque de hecho es un factor competitivo de primer orden. Si dichos servicios no presentan un estándar de seguridad adecuado, difícilmente tendrán éxito comercial. En consecuencia, conviene engarzar la estrategia antifraude en medios de pago con una política general de seguridad y ciberseguridad que abarca desde la prevención de delitos como el blanqueo de capitales y el proceso de altas de clientes al de cumplimiento legal.
Asimismo, conviene que sea integral en la coordinación de todas las tecnologías antifraude con el factor humano, ya que hablamos de un fenómeno híbrido. Para que esas tecnologías desarrollen todo su potencial, necesitan la supervisión de equipos humanos especialistas, por ejemplo, el específico de Medios de Pago, sean propios o de un socio tecnológico externo. Además, es imprescindible la implicación del cliente final en su propia seguridad para reducir su condición de eslabón más vulnerable. De ahí que un requisito básico de la estrategia sea la constante concienciación (iv) sobre las medidas preventivas para blidar sus datos y transacciones, actualizadas en función de las nuevas amenazas.
Tecnologías múltiples en varias capas de seguridad
La variedad de herramientas tecnológicas apunta a la conveniencia de una plataforma centralizada de gestión preventiva donde sea posible integrar, entre otras soluciones, las siguientes:
- Accesos seguros encriptados, junto con la autenticación reforzada en la cadena de pago por ejemplo mediante envíos de códigos a los móviles de los clientes, doble confirmación a través de apps o tecnologías de identificación biométrica.
- Sistemas de analítica avanzada, big data e inteligencia artificial —sobre todo machine learning— para identificar movimientos sospechosos en base a patrones y cruces con historiales de los clientes y datos de geolocalización, firmas, etc.
- Monitorización automática (v) de grandes volúmenes de transacciones mediante software RPA (automatización robótica de procesos) que generan alertas en tiempo real y derivan las más graves a agentes humanos para su gestión, incluso hasta el punto del bloqueo preventivo de cuentas.
- Uso de tarjetas virtuales diseñadas solo para usarse en compras online —incluso una distinta en cada ocasión— para proteger la cuenta principal, o de códigos de verificación (CVV) dinámicos que cambian con cada transacción.
- Servicios de personalización y configuración de las tarjetas a disposición de los clientes. Por ejemplo, la notificación automática de todas las transacciones para que reaccionen enseguida a cualquiera no autorizada por ellos, además de límites preestablecidos a las operaciones o la desactivación temporal de una tarjeta cuando se usa con poca frecuencia.
(i) https://www.funcas.es/odf/el-reto-del-fraude-en-los-pagos-digitales/
(ii) https://www.adigital.org/media/informe-de-medios-de-pago-y-fraude-online-2023.pdf
(iv) https://www.funcas.es/wp-content/uploads/2022/04/Campaña-Funcas-Ciberseguridad-en-tus-finanzas.pdf