El verdadero nivel de riesgo digital

La primera alternativa de adopción masiva, alternativa al manejo de dinero en efectivo, fueron las tarjetas de crédito y débito. En este modelo, los formatos y niveles de fraude aumentaron, pero también evolucionó la gestión del riesgo. Hoy en día, si se tienen tarjetas emitidas por bancos de trayectoria razonable, cualquier incidente de fraude se resuelve adecuadamente en cuestión de días, e inclusive hasta se previenen por medio de comunicaciones al cliente cuando el emisor del plástico detecta una operación anómala. Este uso del “dinero plástico” potenció el concepto de “apetito de riesgo”, que es, en definitiva, cuanto dinero está dispuesto a perder el emisor de la tarjeta para mantener más o menos contentos a clientes y comercios que usan este medio de pago. Aquí aparece la idea de la franja de flotación definida por dos niveles, cuando el fraude está cerca de la línea baja, todos recibimos ofertas de tarjetas de crédito que no solicitamos; y cuando se está cerca de franja alta, tenemos que notificar al emisor de plástico que vamos a hacer una compra en Amazon por 10 dólares.

La evolución hasta el estado actual del universo Fintech y sus parientes cercanos y lejanos cambió varias de las reglas del paradigma de la gestión de riesgo.

¿Quien hace una solicitud es quien dice ser?

Hoy , para tener un billetera virtual, una cuenta virtual o algo parecido, es necesario pasar por un proceso de on-boarding más o menos exigente de acuerdo al tipo de servicios financieros que se vayan a utilizar. Cuando nos encontramos con uno de estos procesos y nos solicita, además de cosas básicas como fotos del DNI, que como “prueba de vida” nos saquemos varias fotos con distintas expresiones, pensamos que estamos ante un sistema seguro, lo que no es así. El primer factor a tener en cuenta es que, si se cuenta con un documento robado, ya sea en forma física o sustraídas sus imágenes de una base de datos, existen programas que toman la imagen de la foto de la persona y la manipulan para que reproduzca las expresiones faciales que les solicita el on-boarding. Además, hay que tener en cuenta lo que pasa con la gestión de riesgo dentro de las empresas que utilizan estos sistemas: si la cantidad de datos solicitados al potencial cliente y el nivel de exigencia de la veracidad de los mismos es muy alto, aparecerá un alto nivel de rechazos, los que será visto por las áreas comerciales como “probables clientes perdidos que se fueron a la competencia” y por las áreas de riesgo y ciberseguridad como “potenciales focos de fraude que evitamos”. Desde que comenzó la pandemia muchas empresas luchan por sobrevivir ganando un espacio en el mundo digital, por lo que la discusión “áreas comerciales vs áreas de riesgo” termina en la decisión de bajar el nivel de precisión de los controles biométricos para que no existan tantos rechazos. En estas situaciones los controles como “la prueba de vida” siguen existiendo, pero su eficacia disminuye mucho. Esto le facilita mucho las cosas a los delincuentes informáticos que requieren cuentas o billeteras virtuales para generar fraudes

Me hackearon la cuenta o la billetera

Si el delincuente decide no ir por la apertura de instrumentos espúreos, sino cometer fraudes con instrumentos legítimos, genera ataques de phishing por distintos medios (correo electrónico, mensajería, etc.) y obtiene las credenciales de los usuarios para operar durante el tiempo que tarde el dueño legítimo en darse cuenta de lo que está pasando. Aquí aparece una diferencia importante entre el mundo Fintech y el Bancario; los controles de fraude en el primero, a pesar de que tienen un universo de riesgo más grande, tienden a ser menores que en el segundo, por una falsa idea de que hacer las cosas seguras implica complicarlas.

Los formatos delictivos y sus factores de éxito

Las condiciones más propicias para el fraude digital dependen de que tan completos son los recursos de identidad de personas con las que se cuenta.

Si por medio de un Phishing o de Ingeniería Social se capturaron los datos de una cuenta o billetera virtual, estamos expuestos a un escenario de vaciado de saldos y utilización de los instrumentos como “mulas” en una operación que requiera de varios pasos para lograr un fraude.

Si con lo que se cuenta es con la identidad digital, la situación es mucho más complicada para las personas.

El año pasado se conoció un ataque a RENAPER que tuvo como consecuencia el robo de datos de personas que incluían información de DNIs. Este año se dispersó un Phishing contra correo Argentino que, para liberar la supuesta entrega de un paquete, requería que se enviara fotos del documento y una selfie. Cuando el delincuente cuenta con estos recursos, los puede usar en operatorias que van desde la apertura de instrumentos digitales varios, solicitud de préstamos de manera virtual, etc. Lo complicado de este escenario es que da lugar a una suplantación de identidad, situación de la que resulta muy difícil salir debido a que los datos se pueden usar reiteradamente para una multiplicidad de acciones, a diferencia del robo de credenciales de un medio digital, cuyas consecuencias terminan cuando el mismo se cancela.

El banco me ayudó pero la Fintech ni me escuchó

Otra de las diferencias, luego de ocurrido un incidente, es la atención que la o las empresas involucradas, le dan al individuo. Las personas tienden a disfrutar de los automatismos de (cuando son simples y funcionan) de lo digital, pero cuando se sienten víctimas de un problema quieren ser escuchadas por algo más que un autómata programado. Si observamos cómo fueron evolucionando los sistemas de atención al cliente de los bancos y las Fintech, los primeros mantuvieron figuras como la del “ oficial de cuenta” que, aunque en algunos casos con dificultades, posibilita terminar hablando con una persona; los segundos comenzaron, hace un par de años, manejando un conjunto de opciones que cubría mayormente la generalidad de los casos que se podían presentar, pero coincidiendo con el inicio de la pandemia (con el aumento de las transacciones digitales y por lo tanto los casos de fraude) se fueron simplificando hasta el punto que, en caso de conflicto de dinero, la única opción que ofrecen es un blanqueo de la aplicación con una probable pérdida económica que deba asumir el cliente. Esta es otra de las grandes diferencias entre la banca analógica y la digital; por lo general los bancos o los emisores de tarjetas de crédito o débito, tienden a asumir las pérdidas, mientras que la mayoría de la banca Fintech, salvo excepciones, tiende a penalizar a las personas, tanto sea en un rubro business to consumer real o disfrazado de consumer to consumer. Si en este momento alguien está pensando en que se puede recurrir a organizaciones de defensa de consumidores, la realidad es que las posibilidades de resolver favorablemente para la persona un litigio en el mundo digital, son bajas debido a limitación de las evidencias probatorias.

Lo digital y lo analógico se combinan

Un ejemplo de cómo los delincuentes informáticos pueden combinar lo mejor de ambos mundos es una metodología que se puede utilizar desde para evadir a AFIP a lavar dinero:

• Una persona física va a un local de pagos y carga con dinero en efectivo su cuenta legítima de la plataforma de e-commerce más popular.
• Desde su cuenta virtual legítima transfiere a otras 50 o más billeteras virtuales generadas con datos falsos.
• Desde las 50 o más billeteras transfiere a, por ejemplo, una plataforma china de compra y venta de Criptomonedas.
• El local de pagos puede tener un buen sistema de control de fraude, pero por mejor que sea, se perderá al llegar a la plataforma de compra y venta de Criptomonedas.

La realidad de los ataques

Concentrémonos en lo que ocurrió el mes pasado, pero tengamos en cuenta que todo empezó con el robo de datos a RENAPER en año pasado:

Septiembre 2021 – RENAPER – Si bien la entidad negó el hecho, un grupo de delincuentes informáticos declaró que robó información de la entidad y ofrecía como servicio bases de ciudadanos argentinos con los siguientes datos: nombres completos, domicilios particulares, fechas de nacimiento, información de género, fechas de emisión y vencimiento de la tarjeta de identificación, códigos de identificación laboral, números de trámite, números de ciudadanos e identificaciones con fotografía. Como prueba de que estaban en condiciones de brindar este servicio, los delincuentes publicaron a través de redes sociales, datos del Presidente de la República y del jugador de fútbol Lionel Messi.

Marzo 2020 – Globant – Sufrió dos ataques de los que reconoció abiertamente el primero. Las consecuencias del mismo fueron casi 74 TB (si, no me equivoqué, casi 74 TeraBytes). Para lograr un robe de datos de esa magnitud es necesario que los delincuentes informáticos permanezcan una cantidad considerable de tiempo con acceso a los sistemas. Entre las carpetas de datos que se ofrecían en venta, se observaban algunas relacionadas con empresas de salud y de medicamentos. Si alguien piensa que el impacto reputacional es algo que se puede manejar con un buen márketing, hay que tener en cuenta que las acciones de esta empresa cayeron 10% al día siguiente que se conoció el ciberataque.

Marzo 2020 – Mercado Libre – La declaración formal de la empresa fue que se robaron datos de aproximadamente 300.000 usuarios de la plataforma, pero no precisó de qué tipo. La realidad es que Mercado Libre y Mercado Pago, justamente por la popularidad con que cuentan, son una fuente importante de casos de fraude, con un nivel de resolución cuestionable en cuanto al servicio al usuario. Al igual que Globant, al día siguiente de anunciado el ciberataque, las acciones de la empresa bajaron 9,7 %.

Marzo 2020 – Banco Provincia – Delincuentes informáticos accedieron a la parte de los sistemas que gestionan las cuentas sueldo de la administración pública provincial. No existen denuncias de hurto de dinero de las cuentas que sufrieron la anomalía, solo se reportaron adhesiones a débito automático que jamás realizaron y solicitudes de préstamos. El banco no negó ni reconoció el hecho, pero declaró oficialmente «todos nuestros equipos técnicos se encuentran trabajando para solucionar posibles débitos no autorizados en las cuentas de algunos clientes y si se constata algún débito de forma indebida el monto será reintegrado». Si a alguien le parece tranquilizador que no se hayan registrado denuncias por hurto y que el banco reintegraría los fondos de cualquier situación de fraude, sólo ve una parte de la realidad. Si los delincuentes informáticos pudieron realizar esta acción, tienen un gran dominio de los accesos y el funcionamiento de los sistemas del Banco.

Algunas reflexiones

Lo que debemos entender es la exponencialidad de los problemas que van apareciendo.

Si la base de datos biométricos de los ciudadanos de un país y los datos del sistema de su principal plataforma de Comercio Electrónico y Transacciones financieras Virtuales está en manos de delincuentes informáticos, es lógico que la consecuencia sea la aparición de cuentas espúreas en la plataforma, pero generadas con datos legítimos. Y si además se sabe cómo acceder a sistemas de bancos y grandes empresas. Esta es la receta para una Tormenta Perfecta de Fraude Informático.