A medida que la transformación digital se acelera a un ritmo sin precedentes, las iniciativas estratégicas como la recaudación de ingresos, la fidelización de clientes y el conocimiento de la marca están ahora principalmente en línea.
Y cada vez más son secuestradas por los hackers, lo que lleva a la apropiación de cuentas (ATO, por sus siglas en inglés), pérdidas por fraude y marcas afectadas. Cualquier empresa que utilice aplicaciones de comercio electrónico o gestione cuentas de usuarios de valor es un objetivo.
El atractivo retorno de la inversión del fraude en línea
Los responsables de los ataques deciden dónde gastar su tiempo y recursos de la misma manera que usted podría evaluar el coste frente al valor de una compra importante. Si resulta económico poner en riesgo un objetivo determinado y el valor es astronómico, es una decisión fácil. Si un objetivo es muy valioso y está muy vigilado, un ataque requiere una mayor inversión, lo que hace que el coste de un ataque exitoso sea mayor.
Los responsables de los ataques de hoy en día tienen acceso a herramientas, infraestructura y datos comprometidos fácilmente, por lo que, a veces, solo cuesta céntimos robar datos de alto valor a través de la automatización. Cuanto más avanza la tecnología, más bajan los costos, incluso para los objetivos más difíciles de conseguir. Entonces, ¿cómo desmotivar a los responsables de los ataques para que no entren en su sitio?
Descubra nuevas estrategias para desmotivar a los responsables de los ataques en el eBook: Economía del atacante: Coste vs. Valor del hacker
A principios del siglo XX, Willie Sutton, un conocido atracador de bancos, robó unos 2 millones de dólares en su carrera de 40 años a la fuga. Cuando le preguntaron por qué robaba bancos, contestó: “Porque ahí es donde está el dinero”. Si Willie Sutton estuviera vivo a día de hoy, podríamos suponer con seguridad que ya no estaría robando bancos, sino defraudando aplicaciones.
El negocio del fraude es mayor (y más inteligente) que nunca
Gracias a los escasos obstáculos de entrada y al fácil acceso a los recursos, el fraude en línea se ha convertido en un gran negocio, y el proceso de extracción de información personal identificable (PII, por sus siglas en inglés) ha alcanzado proporciones industriales. Sólo en los últimos siete años se han vulnerado más de 30 000 millones de registros.
La situación actual es inaceptable. Las pérdidas estimadas por fraude en línea son asombrosas y, sin embargo, los responsables de las empresas a menudo reservan presupuesto en previsión del pago de devoluciones de cargos. Además, los controles de seguridad destinados a frustrar a los defraudadores pueden hacerlo con los clientes reales, lo que provoca el abandono de las transacciones y la pérdida de ingresos.
Para proteger los activos importantes de los sofisticados ciberdelincuentes y garantizar el éxito de los imperativos empresariales estratégicos, las organizaciones deben adaptarse a la evolución de los responsables de los ataques.
Documentación técnica de Aite Group. La industrialización del fraude: Combatir el problema de la misma forma.
Donde se originan los ataques: Automatización
Hoy en día, la mayoría de los visitantes a un sitio web no son personas. Son bots.
Mientras que algunos bots son benignos, como los chatbots y los motores de búsqueda, la mayoría son bots malos utilizados por atacantes malintencionados para obtener acceso no autorizado, apoderarse de las cuentas de los clientes e incluso cometer fraudes mientras debilitan la experiencia del cliente. Además, se están perfeccionando constantemente para imitar el comportamiento de los usuarios y eludir las contramedidas habituales, como los CAPTCHA. A continuación, le presentamos algunas de las tendencias más relevantes en materia de ataques automatizados y cómo puede defenderse de ellos.
Robo de credenciales: Las personas que actúan de mala fe comprometen a los clientes reales
El noventa por ciento o más del tráfico online y móvil de una empresa puede provenir de ciberdelincuentes que realizan ataques automatizados con la intención de robar datos de los clientes y cometer fraudes.
Estos ataques, conocidos como robo de credenciales, pueden acabar en apropiación de cuentas y en graves pérdidas por fraude, además de afectar negativamente al rendimiento de las aplicaciones y sesgar los análisis. Por si fuera poco, los responsables de los ataques también pretenden poner en peligro la confianza de sus clientes, desviando el dinero y los puntos de los programas de fidelización.
Más del 80 % de las infracciones relacionadas con la piratería informática implican violencia o el uso de credenciales perdidas o robadas.
Robo de credenciales 2021: Las últimas tendencias y herramientas de ataque
Estos ataques suponen grandes pérdidas para los negocios online. Los sectores del comercio electrónico, los billetes de avión, las transferencias de dinero y la banca perderán en conjunto más de 200 000 millones de dólares por el fraude en los pagos en línea entre 2020 y 2024.
Las soluciones Shape que forman parte de F5, tienen un enfoque de varios niveles para acabar con el robo de credenciales, protegiendo más de 4000 millones de transacciones a la semana.
Para cada conexión a un sitio o aplicación, Shape crea y asigna un ID de dispositivo -Un identificador único para cada dispositivo que visita su sitio, es creado en tiempo real utilizando algoritmos avanzados de recogida de señales y aprendizaje automático. Utilizando este identificador único, así como otras señales, las soluciones de Shape pueden identificar y detener los intentos de utilizar credenciales comprometidas en tiempo real, bloqueando a los bots que emulan el comportamiento humano y a los estafadores que piratean manualmente las aplicaciones para eludir las defensas antiautomatización.
Shape Enterprise Defense: Visión general de la solución
Shape, que forma parte de F5, protege más de 4000 millones de transacciones a la semana de sofisticados ataques en nombre de las mayores empresas del mundo.
CAPTCHA y otros mitos de la ciberseguridad que perjudican a su empresa
¿Sus sitios web utilizan CAPTCHA para mitigar los ataques automáticos? Si es así, probablemente no esté funcionando, y podría tener consecuencias no deseadas, como el abandono del cliente debido a la excesiva fricción. Además, con el aumento de los servicios de resolución de CAPTCHA de terceros, tanto automatizados como humanos, cada vez es más sencillo eludir los CAPTCHA. Sus aplicaciones web y móviles necesitan una mejor protección.
Lo último que se quiere hacer es basar las decisiones empresariales reales y los resultados de seguridad en un mito, aunque suene convincente.
Los mitos de la ciberseguridad que están perjudicando a su negocio
Un minorista soluciona el fraude sin aumentar la fricción
Conocida por su oferta de productos de lujo y su experiencia en línea sin fricciones, una cadena minorista norteamericana se enorgullecía de ofrecer una gran experiencia al cliente. Sin embargo, la empresa fue asaltada por atacantes automatizados que se aprovecharon de su sistema optimizado.
Después de intentar acabar con los responsables de los ataques gracias a las contramedidas tradicionales (CAPTCHA, bloqueo de direcciones IP, etc.) y no conseguirlo, el minorista recurrió a las soluciones de Shape. Tras tres semanas de observación, pusieron en marcha la mitigación y los resultados fueron inmediatos.
Desde el primer día, cuando Shape optó por el modo de bloqueo, vimos un descenso de casi el 100 % en el fraude por automatización.
Mientras que los clientes son fieles, los estafadores no lo son; una vez que los detenemos, desaparecen.
Un enfoque de seguridad adaptable
En el siguiente período de 30 días, el minorista se ahorró más de 500 000 dólares en fraudes que se habrían perdido debido a la apropiación de cuentas y al robo de tarjetas de regalo. Los responsables de los ataques trataron de burlar las defensas de Shape, pero como rastrea cientos de señales de la red, el dispositivo y el entorno, se encontró fácilmente a los responsables de los ataques y fueron bloqueados de nuevo.
Gracias a que Shape logró rechazar a los responsables de los ataques automatizados, los servidores de origen sólo fueron afectados por visitantes humanos, un mero 1 % de la carga anterior. Al reducir el 99 % del tráfico, Shape eliminó “una enorme carga de nuestra infraestructura, lo que tuvo un impacto positivo directo en los ingresos”.
El minorista resolvió problemas importantes con los bots, poniendo remedio a los fraudes, a la fricción y a la falsificación
Este minorista tuvo éxito, no sólo por las medidas de mitigación iniciales, sino por la capacidad de la solución para adaptarse a las tácticas cambiantes de los responsables de los ataques. Las personas que actúan de mala fe encontrarán la forma de eludir las contramedidas de seguridad estáticas si el objetivo es lo suficientemente atractivo. De hecho, los responsables de los ataques aprovechan ahora los modelos de inteligencia artificial (IA) entrenados para eludir la seguridad. Las organizaciones, especialmente las que custodian información altamente confidencial de los clientes, deben seguir responsabilizando a los socios comerciales y tecnológicos de garantizar la seguridad e integridad de la aplicación incluso después de su lanzamiento.
Falsa historia de reserva: El poder de las señales y compartir datos para detener el ataque de aplicaciones
Mientras las defensas mejoraban para bloquear comportamientos dudosos, los responsables de los ataques respondían creando herramientas para explotar e imitar a los usuarios individuales con todos sus matices.
Perspectiva a futuro: Prepararse para los responsables de ataques adaptables
Adelantarse a las cambiantes estrategias de ataque seguirá siendo una batalla constante.
A medida que la mitigación del fraude evoluciona para bloquear una automatización cada vez más sofisticada y minimizar el retorno de la inversión del fraude basado en bots, los responsables de los ataques no se darán por vencidos. Pasarán a utilizar métodos más difíciles de identificar, como la emulación del comportamiento humano, el encargo de granjas de clics humanas y el pirateo manual de aplicaciones. Aunque la automatización es el principal objetivo hoy en día, las organizaciones deben prepararse para luchar contra un híbrido de fraude automatizado y humano.
Las ciberamenazas a las que se enfrentan las empresas hoy en día no harán más que aumentar. A nivel mundial, las pérdidas por fraude aumentan anualmente en dos dígitos. A medida que la digitalización continúe y más clientes busquen servicios en línea, la superficie de riesgo se ampliará y será aún más porosa. Su empresa puede prepararse para el futuro panorama de las amenazas considerando un enfoque multifuncional de la seguridad que tenga en cuenta el potencial de los ingresos, la presión de los ingresos y la experiencia del cliente.
El nuevo imperativo empresarial
Romper el ciclo del fraude en línea
Piense en su inversión de mitigación de fraudes
¿Basta con gastar más en herramientas para detectar el fraude en línea? Respuesta corta: no. Las empresas descubren que, a pesar de gastar miles de millones al año en herramientas para detectar el fraude en línea, las pérdidas por fraude directo siguen aumentando. Juniper Research prevé que las pérdidas por fraude en línea en conjunto superarán los 48 000 millones de dólares al año en 2023.
Las herramientas actuales contra el fraude requieren una amplia configuración, generan puntuaciones de riesgo ambiguas y obligan a los equipos de lucha contra el fraude a desarrollar sus propias reglas, lo que puede suponer una gran fricción para los usuarios legítimos y, en última instancia, perjudicar los ingresos. Para una protección duradera contra una superficie de ataque cada vez más dinámica, las empresas deben invertir en soluciones de seguridad que se adapten continuamente a los responsables de ataques sin introducir fricciones para los clientes reales.
Detener el tráfico de ataques automatizados hace algo más que prevenir el fraude: reduce los costes generales de la empresa.
El éxito de la prevención del fraude en línea en acción
Muchas empresas han implantado con éxito soluciones de prevención del fraude en línea para garantizar resultados empresariales estratégicos. Lea sus historias a continuación y considere cómo el fortalecimiento de sus esfuerzos de prevención del fraude podría afectar drásticamente en su organización.
La plataforma mundial de citas derrota responsables de apropiación de cuentas
Detener el tráfico de ataques automatizados hace más que prevenir el fraude; reduce los costes generales de la empresa. Vea cómo Shape ayudó al equipo de TI de una plataforma global de citas a eliminar el tráfico de distracción y a reducir la latencia del sitio de 250 ms a 100 ms.
Una aerolínea internacional lucha contra los rastreadores de tarifas
Las defensas tradicionales de los sitios web se quedan cortas frente a adversarios automatizados adaptables. Descubra cómo Shape ayudó a una aerolínea internacional a desviar sofisticados bots que intentaban robar información de vuelo de su propiedad.
¿Le vendría bien a su WAF un empujón?
Shape se especializa en la reducción del fraude, sin embargo, F5 Device ID+, el componente fundamental de nuestras soluciones antibot y antifraude, puede utilizarse para mejorar sus otras herramientas de seguridad. La integración de nuestro identificador de dispositivos en tiempo real en su Web Application Firewall (WAF) o en su solución de acceso a aplicaciones corporativas puede detectar y bloquear los dispositivos malos conocidos, salvando así sus aplicaciones de una posible infracción.
¿Lo mejor de todo? Lo ofrecemos de forma gratuita.
Iniciar una prueba gratuita
Anticípese al fraude en línea en un entorno multinube
Las soluciones de F5 protegen el comercio en línea y las iniciativas digitales, como la fidelidad del cliente y el conocimiento de la marca, acabando con los ataques que ponen en peligro las experiencias de los clientes y afectan a la reputación de la marca, todo ello sin frustrar a los usuarios.
Defienda su negocio de comercio electrónico contra los ataques dinámicos de hoy en día con una seguridad integral de aplicaciones multinube y funciones antifraude que protegen sus activos más importantes de los ciberdelincuentes más sofisticados.
GRACIAS
Hemos recibido su solicitud. Nos pondremos en contacto con usted en breve.