23/5/2022
Los
últimos dos años han sido desafiantes para instituciones de todos los sectores
de la economía y, especialmente, para las instituciones financieras. Lo
anterior, debido a la aceleración en los procesos de digitalización y atención
al público, así como a la mayor cantidad de transacciones en línea que han
incrementado el riesgo de cibercrimen, lo cual ha revelado las fortalezas y
debilidades del sector.
Los
retos a los que se enfrentan la banca en materia de ciberseguridad son
innumerables, pero buscaremos destacar los más relevantes.
Ransomware
De
acuerdo con la encuesta 2022 KPMG Fraud
Outlook, el ransomware se ubicaba
en el cuarto lugar como la amenaza cibernética que más se incrementó durante
2021. La realidad demuestra la rentabilidad que este tipo de cibercrimen representa
para los perpetradores. En este sentido, un informe publicado por la FinCEN indica
que para agosto de 2021 las instituciones financieras en Estados Unidos (EU) habían
reportado cerca de 590 millones de dólares en pagos posiblemente relacionados
con ransomware.
Por
lo anterior, las instituciones financieras deben fortalecer acciones
preventivas para detectar de forma temprana las amenazas, incrementando la
sensibilización de sus empleados y el uso de capacidades robustas de inteligencia
contra amenazas.
Robo de identidad
El
robo de identidad es uno de los elementos más utilizados por los
cibercriminales para afectar tanto a los usuarios como a las propias instituciones
financieras. De acuerdo con la Condusef, en lo que va del año 2022, se han
presentado reportes de suplantación de
identidad de 52 instituciones financieras.
Mediante
este delito, los suplantadores buscan obtener información de personas
contactándolas vía redes sociales, usualmente mediante la publicación de
anuncios falsos, o en llamadas telefónicas, a fin de reunir información clave
para cometer otros ilícitos. Una vez que el cibercriminal obtiene dicha
información, puede utilizar los datos obtenidos para solicitar servicios o
productos tanto de instituciones financieras como de proveedores de otros
servicios (telefonía celular e internet, entre otros).
Además
del robo de identidad de la institución misma, un suplantador puede crear una “identidad
sintética” al añadir elementos ficticios o “fabricados” a datos robados y, de
este modo, ir construyendo perfiles de clientes con un historial falso con el
fin de burlar los controles de las instituciones financieras en el otorgamiento
de créditos. El fraude por identidad sintética (SIF, por sus siglas en inglés) es un flagelo que está afectando de
forma relevante a bancos en EU.
En
este contexto, las entidades bancarias deben incorporar mecanismos adicionales
de automatización y analítica para la validación de la identidad en los
procesos de vinculación y mantenimiento de clientes. El proceso de vinculación
puede ser una combinación de varias capas que involucre elementos automáticos y
manuales. Asimismo, se debe considerar el uso de fuentes de datos más allá de las
tradicionales. Un ejercicio robusto de análisis que cruce información de los
diversos productos de un cliente (seguros, préstamos, cuentas de cheques, entre
otros) puede aportar información adicional valiosa para la prevención.
Amenazas internas
Las
amenazas internas son un conjunto de riesgos derivados tanto de la tecnología
como de los procesos y las personas, que pueden ocasionar la pérdida de
información financiera, propiedad intelectual o datos de clientes, entre otros
rubros. La prevención y detección de estas amenazas no es sencilla, pues los
atacantes internos están familiarizados con los procesos y sistemas, además de poder
utilizar su posición para influenciar a otros empleados.
Por
ello, se vuelve indispensable la combinación de análisis automatizados (tomando
información de las herramientas de monitoreo) y la intervención humana para
lograr identificar patrones anómalos en el comportamiento de los empleados: ¿han
tenido acceso a los sistemas en horas inusuales?, ¿sus patrones de navegación
en internet han cambiado?, ¿están realizando consultas de información de
clientes que antes no hacían?
Para
atacar este problema, las instituciones financieras deben favorecer una cultura
de cumplimiento, estableciendo claras expectativas de comportamiento y
aplicando de manera consistente las sanciones a las que haya lugar por la
violación de dichas expectativas. Además, resulta muy importante establecer
estos lineamientos desde el liderazgo (tone
at the top), así como implementar o reforzar los programas de
sensibilización y entrenamiento personalizados dependiendo de la función y
nivel de acceso a los sistemas e información, incluyendo de manera explícita
elementos relacionados con las amenazas internas.
Por
último, es crucial usar la tecnología existente para monitorear el
comportamiento en los sistemas e identificar comportamientos anómalos. El uso
de machine learning y analítica
avanzada puede contribuir en este sentido.
Fraudes por
apropiación de cuentas
La
apropiación de cuentas (ATO, por sus
siglas en inglés) es la toma de control o “secuestro” de la cuenta de un
cliente por parte de un cibercriminal. La forma de toma de control varía, ya
que el cliente puede ser víctima de ataques de ingeniería social o de phishing, en los cuales se le induce a
proporcionar información de sus credenciales de acceso a su banco o institución
financiera. Entre enero y septiembre de 2021, se presentaron reclamaciones por
parte de usuarios de la banca por más de 653 millones de pesos (Buró de entidades financieras, Condusef
2022) por posible robo de identidad; sin embargo, muchas reclamaciones no
procedieron, precisamente porque el cliente entregó voluntariamente su contraseña
o usuario al tercero que ejecutó el fraude.
Ante
estas circunstancias y la necesidad de satisfacer las expectativas de velocidad
en el procesamiento de las operaciones, las instituciones bancarias necesitan reforzar
las tecnologías utilizadas para la detección del fraude transaccional derivado
de la apropiación de cuentas, incluyendo protocolos de autenticación y acceso
que involucren elementos adicionales de análisis como: el dispositivo utilizado
y anomalías en su uso; información biométrica, donde sea posible;
geolocalización; análisis de comportamioento transaccional, entre otros, antes
de autorizar una transacción o conceder acceso. Estos
mecanismos deben ser incorporados en los distintos canales que la institución
ofrezca.
Asimismo,
la estrategia para la prevención de los fraudes por apropiación de cuentas
debería ser parte de las iniciativas conjuntas de las tres líneas de defensa: operaciones,
gestión de riesgos y auditoría interna.
Riesgos por terceros
Cada
vez con mayor frecuencia se recurre a terceros para cumplir los objetivos de
negocio. Los bancos no son la excepción, pues han adoptado infraestructuras en
la nube, recurrido a terceros para la gestión tecnológica o mediante el envío
de información sensible para su procesamiento o análisis. Las organizaciones criminales
están aprovechando esta circunstancia para vulnerar a los bancos e
instituciones financieras a través de dichos terceros. Daños a la reputación, incumplimiento
de regulaciones, disrupción en las operaciones o destrucción de información
vital son algunos de los riesgos derivados de esta circunstancia.
Una
encuesta de KPMG revela que 73% de los respondientes había sufrido alguna
disrupción causada por un tercero proveedor de servicios (28%, en el caso de instituciones
financieras); en el mismo sector, 53% indicaba que no había suficiente
conciencia en relación con la implementación de programas de riesgos de terceros
en las instituciones financieras.
Con
el fin de mitigar esta amenaza, el sector debe incorporar controles robustos
asociados a terceros, como debida diligencia anticipada, análisis basado en
riesgos, monitoreo continuo de terceros que realicen funciones críticas, entre
otros. Asimismo, necesita contemplar estrategias para gestionar el riesgo cuartas
partes (subcontratistas de los terceros) y la finalización de la relación
contractual derivada de fallas en el cumplimiento de las obligaciones. En
general, se recomienda establecer un programa para la gestión de riesgos de
terceros.
Por
su naturaleza, el sector financiero ha estado desde tiempo atrás sujeto a
estrictas regulaciones para salvaguardar la información y los recursos de sus colaboradores,
accionistas y clientes. Esto lo ha colocado en una posición de liderazgo en
materia de prevención del crimen financiero y, al mismo tiempo, le ha obligado a
mantener un proceso de constante mejora, a la altura de la evolución de los
riesgos que enfrenta.
A
partir del aumento en las transacciones digitales el sector financiero ha ido
fortaleciendo las acciones preventivas, incluyendo la sensibilización de colaboradores
y usuarios.
Sin
embargo, es importante que integre nuevas perspectivas e implemente las
herramientas tecnológicas requeridas para afinar sus mecanismos de control a
fin de superar la intensidad y sofisticación de los ataques, logrando así que
la ciberseguridad sea el jugador de éxito en la industria, y no quede relegado
a “la banca”.
asesoria@kpmg.com.mx
www.delineandoestrategias.com
|