Sabemos que el sector financiero es uno de los más atacados y también de los que más demandan productos y servicios de Seguridad Informática. En esta ocasión los expertos de Kaspersky Lab. se centraron en una de su vulnerabilidades críticas: el problema de la verificación de la identidad de los clientes y que tan rápido se realiza.
Según la encuesta más reciente del informe Riesgos de Seguridad para Instituciones Financieras de Kaspersky Lab, uno de cada cuatro bancos en todo el mundo tiene dificultad para identificar a sus clientes cuando prestan servicios bancarios digitales y en línea. Como más de la mitad de los bancos (59 por ciento) anticipa pérdidas financieras crecientes debido al fraude en los próximos tres años, Kaspersky Lab advirtió que la verificación de la identidad de un usuario debe ser primordial en sus estrategias de Seguridad Informática.
Con el aumento de las transacciones bancarias en línea y móviles, los clientes no sólo se convierten en víctimas del fraude financiero, sino en un importante punto de entrada de ataques a través de los canales digitales de los bancos. De acuerdo con la investigación, en 2016 el 30 por ciento tuvo incidentes de seguridad que afectaron los servicios que prestan a través de Internet, en los que el Phishing contra los clientes y el uso de sus credenciales robadas para actividades fraudulentas fueron los principales focos de ataques.
Por otro lado, los bancos se encuentran en la necesidad de contar con tecnologías de seguridad que no dificulten la experiencia del cliente: el 38 por ciento de las organizaciones encuestadas confirma que balancear las técnicas de prevención y la comodidad del cliente es una de sus preocupaciones específicas.
«Al pensar en diferentes métodos para asegurar los canales digitales y móviles, los bancos naturalmente evitan poner demasiada presión sobre los clientes. La banca en línea debe conservar sus principales beneficios: ser una forma conveniente de hacer transacciones financieras en cuestión de segundos. Es por eso que estamos trabajando en tecnologías que ayudan a proteger tanto a los bancos como a sus clientes sin añadir una rutina de seguridad adicional a la experiencia del usuario», explicó Alexander Ermakovich, director de Prevención de Fraudes en Kaspersky Lab.
Además de la autenticación de dos factores y otros procedimientos de seguridad utilizados por los bancos, Kaspersky Lab recomienda implementar soluciones dedicadas que pueden ayudar a identificar si una persona está autorizada, sin requerir acciones adicionales del usuario. La plataforma Kaspersky Fraud Prevention acumula y analiza el comportamiento del usuario, el dispositivo, el entorno y la información de sesión como Big Data (grandes volúmenes de datos) anonimizados y despersonalizados en la nube. La “Autenticación basada en riesgo” (RBA) evalúa los posibles peligros antes del inicio de sesión de un usuario, mientras que la ‘Detección de anomalías de sesión continua” identifica si una cuenta ha sido capturada, acciones de lavado de dinero, uso de herramientas automatizadas o cualquier proceso sospechoso durante la sesión.
Como resultado, la plataforma proporciona protección no sólo en la etapa de inicio de sesión, sino también durante la sesión en sí, mientras que los clientes no tienen etapas de autorización adicionales que deban pasar.
CLAVES PARA EL CANAL
Este estudio de los expertos de Kaspersky Lab. vuelve a exponer dos de los aspectos más importantes de la última modificación al paradigma de la Seguridad Informática: la importancia de la facilidad de uso y el análisis de comportamiento del usuario.
Con respecto al primer punto, la clave es que el negocio manda y hay que facilitarle la vida al usuario, por lo que vuelve a tener relevancia la importancia de mantener en equilibrio la Seguridad con la Operatividad, que este caso sería el factor de “amigabilidad” de la experiencia del usuario final con las interfaces.
El segundo punto es una tendencia que hoy ya trasciende a la Seguridad Informática y es todo lo que abarca “Analitics”; en este caso en análisis del comportamiento del usuario para detectar desviaciones sospechosas. Un ejemplo para aclarar este punto podría ser el siguiente: el sistema detecta que un cliente acude a retirar dinero por ATM reiteradas veces en un mismo día y desde distintos puntos geográficos; esto podría tratarse de un ataque de Skimming o que la persona se encuentre secuestrada y la estén obligando a realizar estas acciones.
En síntesis el Canal debe escuchar seriamente lo que le piden las empresas en cuanto a la experiencia de los usuarios y asumir como próximos pasos evolutivos el análisis de comportamiento y la Inteligencia Artificial.
