BLOG

Cinco consejos para combatir el fraude en 2023

Miniatura de Angel Grant
Ángel Grant
Publicado el 15 de febrero de 2023

En un mundo cada vez más digital, las tendencias de fraude cambian y evolucionan constantemente, y las amenazas a los consumidores, los proveedores de comercio electrónico y las organizaciones de servicios financieros aumentan no solo en número sino también en sofisticación. Se pronostica que el costo total del fraude en el comercio electrónico superará los 48 mil millones de dólares a nivel mundial en 2023 , frente a poco más de 41 mil millones de dólares en 2022. Las razones de este aumento en los costos del fraude son muchas, desde el aumento de los pagos y las compras en línea debido a la pandemia, la omnipresencia de malware y bots que extraen información de los usuarios de la web y las estafas de ingeniería social que se aprovechan de las vulnerabilidades humanas.

En el mundo predigital, el fraude requería una planificación cuidadosa y sigilo, mientras que hoy las herramientas necesarias para defraudar a personas y empresas están fácilmente disponibles en línea, lo que reduce la barrera de entrada. Con mercados virtuales, billeteras digitales y la automatización constante de todo, los delincuentes no solo tienen un objetivo cada vez más grande, sino que también cuentan con herramientas y tecnologías sofisticadas para ayudar a infiltrarse en las empresas y atacar las cuentas de las personas.

Revise nuestros cinco consejos para combatir el fraude en 2023 y manténgase a la vanguardia de las últimas amenazas y vulnerabilidades que los ciberdelincuentes utilizarán para atacar a las organizaciones de comercio electrónico y servicios financieros este año.

  1. Alinear y converger múltiples estrategias de seguridad para combatir más eficazmente el fraude, sin dañar la experiencia del cliente.

    Los comerciantes y las organizaciones de servicios financieros deben lograr una mejor colaboración entre sus equipos de seguridad, gestión de acceso de clientes (CIAM), detección de fraude y autenticación en toda la organización. Los delincuentes pueden explotar fácilmente las vulnerabilidades introducidas por equipos que trabajan en silos y con estrategias de seguridad que recurren demasiado a CAPTCHA y a técnicas de autenticación multifactor (MFA). Estos mecanismos interrumpen continuamente la experiencia del usuario, a menudo sin tener en cuenta el nivel de riesgo que presenta el intento de inicio de sesión.

    Un enfoque de autenticación transparente y continuo basado en riesgos permite a los comerciantes y las empresas de servicios financieros colaborar mejor entre múltiples equipos dentro de su organización e implementar una estrategia de detección de fraude ágil, confiable y de bajo ruido sin afectar negativamente la experiencia del usuario.

  2. Ampliar las estrategias tradicionales de punto de contacto omnidireccional para la prevención del fraude para incluir visibilidad y conocimientos holísticos a lo largo de todo el recorrido del cliente.

    Esta estrategia debería centrarse en tres áreas clave que a menudo se pasan por alto: 

    • Comience con la interacción inicial con el canal: Concéntrese en las actividades de los clientes desde el momento en que ingresan a un canal o crean una cuenta. Esto debería mejorar la visibilidad de los ataques del lado del cliente, como el robo de datos digitales o el secuestro de formularios, que a menudo se utilizan para recopilar credenciales e información de tarjetas durante la creación de una nueva cuenta, lo que en última instancia conduce a la apropiación de cuentas y al fraude.

    • Examinar las integraciones de API de terceros: Además de las aplicaciones web y móviles, los comerciantes y las empresas de servicios financieros también deben asegurarse de incluir la protección de API en sus estrategias de seguridad. Las API están sujetas a los mismos ataques que afectan a las aplicaciones web, es decir, exploits y abusos que conducen a violaciones de datos y fraudes e introducen riesgos no deseados provenientes de integraciones y ecosistemas de terceros.

    • Revise el potencial fraude de las transacciones con tarjeta no presente (CNP): Los comerciantes que ofrecen nuevos servicios como pago basado en proximidad, compra en línea y recogida en tienda (BOPIS) y compra ahora, paga después (BNPL) deben comprender los riesgos que conllevan estas transacciones y abordarlos en sus estrategias de prevención del fraude. Esto incluye obtener información sobre patrones de comportamiento fraudulento y compartirla en todos los canales.
       
  3. Esté alerta ante nuevos desafíos de fraude amistoso en un entorno recesivo.

    Un nuevo tipo importante de fraude amistoso que los comerciantes deben esperar ver aumentar durante una recesión es el “fraude amistoso falso”, que ocurre cuando los delincuentes crean identidades sintéticas para parecer un cliente real y luego realizan transacciones sin intención de pagar por la mercancía que compran. Los estafadores falsos y amigables pueden engañar y eludir con éxito los esfuerzos de prevención porque pueden reciclar fácilmente información de identidad robada y crear nuevas identidades sintéticas para abrir nuevas cuentas y evitar ser bloqueados por una lista de denegados. Estas actividades de fraude amistoso pueden incluir abuso del programa BNPL, estafas de reembolsos y puntos de fidelidad y fraudes de desmantelamiento.

    Protéjase contra la inscripción de nuevas cuentas con identidades sintéticas aprovechando información de patrones biométricos de comportamiento aumentados con aprendizaje automático para brindarles a los equipos de seguridad y de fraude información sobre las cuentas comprometidas. 

  4. Prepárese para la Directiva de Servicios de Pago 3 (PSD3) de la UE con nuevas regulaciones para pagos digitales.

    El panorama de amenazas, pagos y regulaciones para comerciantes y bancos ha cambiado drásticamente desde la implementación inicial de la Directiva de Servicios de Pago en 2018. Para prepararse para las regulaciones mejoradas de la PSD3, los comerciantes y los bancos deberían hacer un inventario de los nuevos servicios, canales y opciones de pago que han adoptado recientemente. Por ejemplo, ¿ahora admiten billeteras digitales y pagos con criptomonedas? ¿Cuántas API nuevas con formatos diferentes de proveedores externos ha integrado en sus sistemas y propiedades web?

    Los comerciantes y las organizaciones de servicios financieros deben dejar de centrarse únicamente en una mentalidad de riesgo y cumplimiento para su estrategia actual de API y autenticación. Deben anticipar y gestionar de forma proactiva todo el alcance de los riesgos de seguridad y fraude que conlleva el entorno API moderno.

  5. Prepárese para los ataques a la cadena de suministro de Shadow API y JavaScript y el próximo Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) 4.0

    A medida que las organizaciones expanden su ecosistema de terceros y aumenta la cantidad de scripts en su sitio, introducen nuevos puntos potenciales de vulnerabilidad que pueden conducir a ataques del lado del cliente, como robo de datos digital, secuestro de formularios y ataques de Magecart. Un ataque de skimming digital ocurre cuando un criminal inyecta uno o varios scripts maliciosos o manipula un script existente en una página o aplicação legítima para crear un ataque de tipo "man-in-the-browser" en la cadena de suministro de software. Estos ataques son difíciles de detectar debido a que estos scripts son actualizados con frecuencia por terceros, a menudo sin un proceso para que su organización realice revisiones de seguridad.

    Además, los nuevos requisitos de PCI DSS 4.0 se centrarán en la necesidad de supervisar y gestionar bibliotecas de JavaScript de terceros basadas en navegador que se incorporan a sitios web de comercio electrónico para habilitar funciones como iFrames de procesamiento de pagos, chatbots, publicidad, botones para compartir en redes sociales y scripts de seguimiento. Si bien el cumplimiento de los nuevos requisitos PCI DSS 4.0 no es obligatorio hasta 2025, los ataques del lado del cliente son cada vez más comunes en la actualidad, por lo que es necesario implementar protecciones mejoradas lo antes posible.

    Las organizaciones no solo necesitan visibilidad de las bibliotecas de JavaScript que se ejecutan en sus aplicações web, sino que también necesitan saber qué datos recopilan los scripts para evitar violar las regulaciones de privacidad de datos como GDPR y CCPA y mantener el cumplimiento con los nuevos requisitos PCI DSS 4.0 6.4.3 y 11.6.1.

    La mayoría de las organizaciones no cuentan con control y gobernanza centralizados sobre la gestión de scripts. Si un script de terceros en su sitio tiene una vulnerabilidad y usted no está al tanto de ello, no podrá solucionarlo. Los delincuentes saben que muchas organizaciones tienen dificultades para administrar, rastrear y proteger el volumen, el alcance y la escala de los scripts que ahora están integrados en los sitios web, y saben cómo explotar estos scripts para su propio beneficio.

Explore más estrategias nuevas para combatir el fraude leyendo el informe de Aite Cómo prevenir el fraude en línea frente al ciberdelito organizado y visite nuestro sitio web para obtener más información sobre las soluciones de prevención del fraude en línea de F5 .