ataques de ingeniería social en las transacciones bancarias
TRANSCRIPT
Ataques de ingeniería social en las transacciones bancariasCómo mitigar el riesgo humano
La explotación del deseo de confiarLa ingeniería social no es un concepto nuevo, pero sí es algo persistente que continúa creciendo y que es probable que siga existiendo durante mucho tiempo.
La ingeniería social funciona porque todos tenemos una tendencia humana natural a confiar. Y los hackers manipulan ese factor humano y explotan la confianza para robar información valiosa.
Una de las estrategias de ingeniería social más comunes es el llamado «phishing», que se puede definir como el uso de ingeniería social y medios técnicos engañosos para apropiarse de información financiera o credenciales haciéndose pasar por una entidad o persona de confianza.
El phishing se puede realizar a través de múltiples medios. Estos incluyen correos electrónicos falsos, llamadas telefónicas engañosas, manipulación de enlaces web y falsificaciones de sitios web... todo con el objetivo de convencer a sus usuarios de que divulguen información confidencial o sean partícipes en transacciones fraudulentas sin saberlo.
ATAQUES DE INGENIERÍA SOCIAL RELACIONADOS CON LAS OPERACIONES BANCARIAS 2
casi el
50%de las
organizaciones tienen
credenciales o cuentas afectadas
por el fraude.
casi el
40%de las
organizaciones están infectadas con «malware».
Las consecuencias de un ataque de phishing exitoso[1]
53%de las
organizaciones pierden datos.
Los objetivos reales
En estos ataques de ingeniería social, el usuario final parece ser la víctima, pero a menudo el objetivo real del ataque es la organización.
Para las compañías de servicios financieros, pocas cosas tienen el potencial de ser tan dañinas como las estrategias de ingeniería social, por ejemplo, el phishing.
Y los ataques de phishing están aumentando. A nivel mundial, los ataques de phishing móviles aumentaron un 37% en el primer trimestre de 2020 comparado con el año anterior, y aproximadamente el 22% de los usuarios móviles de compañías fueron víctimas de un intento de phishing en el mismo trimestre [2].
Este tipo de ataques socava la confianza del consumidor en la marca, pone a los clientes en un riesgo muy significativo de ser víctimas de robo de identidad y tiene grandes costes para la industria financiera cada año. Peor aún, el costo promedio de un ataque ha aumentado un 10% desde 2014 [2].
Al mismo tiempo que el phishing y otros tipos de ataques de ingeniería social continúan aumentando, las instituciones financieras siguen luchando de forma constante para encontrar mejores formas de identificar los ataques y mitigar los daños potenciales.
casi el
50%de las
organizaciones están
infectadas con «ransomware».
casi el
35%de las
organizaciones experimentan
pérdidas financieras
ATAQUES DE INGENIERÍA SOCIAL RELACIONADOS CON LAS OPERACIONES BANCARIAS 3
La evolución de los métodos de ataqueAunque antes el phishing solía estar enfocado en envíos masivos de correos electrónicos, ahora también han surgido otros tipos de phishing más eficaces.
El llamado «spear phishing» sigue siendo un método favorito de los atacantes. Se trata de tácticas inteligentes de ingeniería social que, a través de mensajes de correo electrónico altamente dirigidos, persuaden a los destinatarios a hacer clic en enlaces que los conducen a sitios falsificados. Estos sitios a menudo contienen malware o les piden a los usuarios que proporcionen sus datos de inicio de sesión, contraseñas u otras credenciales, y luego los atacantes pueden usar esta información para acceder a sus cuentas bancarias en línea.
El phishing de voz, también llamado «vishing», es un método de ingeniería social diseñado para robar datos y credenciales de tarjetas de pago por teléfono. Los estafadores se hacen pasar por bancos u otras instituciones con el fin de engañar a sus víctimas y convencerlas de que compartan la información de sus tarjetas. Los datos más tarde se utilizan para realizar transacciones sin tarjeta (por ejemplo, compras en línea o por teléfono), o se codifican en nuevas tarjetas para comprar productos o retirar dinero en efectivo de cajeros automáticos.
Phishing de voz [3]
El 83%de las
organizaciones fueron el objeto de
ataques de phishing de voz en 2019.
Spear Phishing [3]
El 88%de las
organizaciones fueron víctimas de spear phishing en
2019.
ATAQUES DE INGENIERÍA SOCIAL RELACIONADOS CON LAS OPERACIONES BANCARIAS 4
El costo de un ataque
Para las organizaciones, el phishing puede tener un costo de millones por un solo ataque si tomamos en cuenta las pérdidas relacionadas con el fraude y los esfuerzos de mitigación. Los datos de Accenture indican que, para una organización en la industria bancaria, el costo anual promedio de un solo delito cibernético es de 18.37 millones de dólares americanos.
Además, los costos anuales relacionados con el phishing y la ingeniería social ascienden a un promedio 13.0 millones de dólares americanos[4].
Aunque algunos de los costos se pueden medir fácilmente, otros no son tan fáciles de cuantificar. Los costos directos asociados con el phishing se pueden medir directamente en términos de dinero, tiempo y esfuerzo e incluyen:
• Cargos fraudulentos asociados con tarjetas de crédito afectadas
• Retiradas de dinero efectivo o estrategias de “pump and dump” de cuentas de inversiones afectadas en línea
• El tiempo que los empleados dedican a lidiar con las transacciones fraudulentas
• Llamadas de atención al cliente
Los costos indirectos, o costos intangibles, son mucho más difíciles de medir y pueden tener un impacto a largo plazo en la marca de una organización.
ATAQUES DE INGENIERÍA SOCIAL RELACIONADOS CON LAS OPERACIONES BANCARIAS 5
Por qué los ataques siguen teniendo éxitoEn los ataques de ingeniería social, es importante recordar que el usuario es el punto débil, pero el estafador bancario tiene como objetivo llegar al dinero.
Muchas instituciones bancarias han tomado medidas para combatir los ataques de ingeniería social fortaleciendo la seguridad para los usuarios. Estos enfoques pueden incluir educar a sus usuarios o agregar recursos educativos sobre la seguridad a sus sitios web, así como la implementación de controles de seguridad orientados al usuario, como, por ejemplo, un proceso de identificación de calidad.
Pero incluso añadiendo elementos educativos y controles adicionales para los usuarios, los ataques de ingeniería social siguen teniendo éxito porque es el usuario quien toma la decisión final.
ATAQUES DE INGENIERÍA SOCIAL RELACIONADOS CON LAS OPERACIONES BANCARIAS 6
1. Desafío para el usuario: La autenticidad del
2. Desafío para el banco: No tener control sobre la autorización
Cómo los estafadores pueden explotar a los usuarios
En los procesos de verificación de transacciones tradicionales hay dos vulnerabilidades clave que los hackers suelen explotar:
VULNERABILIDAD 1: La autenticidad del mensajeDurante el proceso de verificación de una transacción, un estafador puede enviar una notificación de transacción fraudulenta al usuario, redirigiendo a este a una versión falsa del sitio web de su banco. El usuario tiene la impresión de que está aprobando una transacción genuina, pero no tiene forma de verificar la autenticidad del mensaje.
VULNERABILIDAD 2: No tener control sobre la autorizaciónUn estafador puede convencer al usuario de que autorice una transacción fraudulenta, y el banco no puede controlar este proceso. Si un banco recibe una notificación para procesar una transacción, aunque sea una transacción fraudulenta, no puede intervenir y detener el procesamiento de la transacción.
Puntos débiles en la autorización de transacciones tradicionales
ATAQUES DE INGENIERÍA SOCIAL RELACIONADOS CON LAS OPERACIONES BANCARIAS 7
1. Cronto cifra todos los datos, el banco establece un canal de comunicación seguro
2. El banco controla el proces de autorización
3. El usuario tiene acceso a una imagen completa y precisa de la transacción
Use Case
Una autorización segura de las transaccionesCronto® es una solución visual innovadora de firma de transacciones que permite a las instituciones financieras ofrecer un proceso de transacciones seguro y fácil de usar. Esta tecnología ha sido diseñada para detener los ataques de ingeniería social y de phishing evitando que las decisiones de «confianza» estén en manos de los usuarios y asegurando que solo el banco pueda iniciar una solicitud de autorización para una transacción.
Todos los datos de la transacción, incluido el dispositivo utilizado, el monto de la transacción y los detalles de la cuenta del destinatario, están encriptados, y el canal de comunicación seguro garantiza la autenticidad del mensaje, ya que la solicitud de autorización para la transacción proviene del banco. Además, los bancos pueden decidir alertar visualmente a sus clientes si se detectan transacciones de alto riesgo.
1. Cronto cifra todos los datos, y el banco establece un canal de comunicación seguro que permite garantizar la autenticidad de los mensajes. Cronto asegura al usuario que la solicitud de autorización de la transacción proviene del banco.
2. El banco controla el proceso de autorización. Cronto asegura al banco que un usuario solo puede autorizar una transacción legítima.
3. Cronto ofrece una imagen completa y precisa de la transacción al usuario para que este la revise y la autorice. Además, los bancos pueden alertar a los usuarios de forma visual y dinámica si se detectan transacciones de alto riesgo
ATAQUES DE INGENIERÍA SOCIAL RELACIONADOS CON LAS OPERACIONES BANCARIAS 8
Los beneficios de Cronto
1Minimice los ataques de ingeniería social
La solución Cronto de OneSpan ayuda a proteger contra ataques troyanos, de phishing, y contra los llamados Man-in-the-middle (MiTM) y Man-in-the-browser (MiTB).
2Ofrezca una experiencia de usuario superior
Lo que ve es lo que firma. Es tan simple como eso. Cronto permite una adopción rápida y ofrece a sus usuarios seguridad y simplicidad a la hora de firmar transacciones en línea.
3
Establezca un canal y un proceso de autorización de transacciones seguros
No ponga la decisión de confianza en las manos del usuario. Cronto asegura que solo el banco pueda iniciar una solicitud de firma para una transacción, y el canal seguro permite garantizar la autenticidad del mensaje.
4Disponibilidad en línea y sin conexión
Asegure las transacciones con Cronto en línea y fuera de línea para permitir que sus clientes interactúen con usted en cualquier momento y en cualquier lugar.
5Cumpla con los requisitos normativos
Las soluciones de Cronto cumplen todos los requisitos para la autenticación sólida del cliente PSD2 (SCA), así como los requisitos de enlace dinámico.
6Habilite implementa-ciones híbridas
Implemente las soluciones Cronto de OneSpan como software o hardware. Elija una implementación híbrida para satisfacer las necesidades de toda su base de clientes.
ATAQUES DE INGENIERÍA SOCIAL RELACIONADOS CON LAS OPERACIONES BANCARIAS 9
HARDWARESOFTWARE
Digipass 770 Digipass 772 Digipass 780OneSpan Mobile Security Suite
OneSpan Mobile Authenticator
Studio
Digipass 882Digipass® 760
Suite de productos Cronto
ATAQUES DE INGENIERÍA SOCIAL RELACIONADOS CON LAS OPERACIONES BANCARIAS 10
Un caso de uso adicional de Cronto
Entrega segura de los PIN
En lugar de enviar el PIN de un usuario por correo postal para establecer un dispositivo confiable o como parte del proceso de apertura de una nueva cuenta, ahora las instituciones financieras pueden enviar un PIN a través de una imagen cifrada de Cronto. Solo el usuario correcto con su dispositivo seguro (celular o hardware) podrá escanear y leer el nuevo PIN.
Los bancos también tienen la posibilidad de enviar el PIN cifrado a través de su canal de banca en línea o por correo electrónico, eliminando así los costos adicionales relacionados con los envíos en papel.
ATAQUES DE INGENIERÍA SOCIAL RELACIONADOS CON LAS OPERACIONES BANCARIAS 11
Un caso de uso adicional de Cronto
Dinero en efectivo móvilPara obtener dinero en efectivo sin tarjeta, un usuario simplemente abre su aplicación bancaria, introduce su PIN o se autentica usando datos biométricos, y selecciona la cuenta y el monto que quiere retirar.
Se genera un código Cronto seguro que contiene los detalles de la transacción.
El usuario escanea el código Cronto en el cajero automático con su dispositivo. Una vez que el usuario haya confirmado su solicitud mediante un PIN o autenticación biométrica, el cajero automático dispensa el dinero en efectivo.
ATAQUES DE INGENIERÍA SOCIAL RELACIONADOS CON LAS OPERACIONES BANCARIAS 12
“ Siempre estamos buscando nuevos métodos para ofrecerles a nuestros clientes la conveniencia de realizar transacciones bancarias en línea con simplicidad y seguridad”.
Marielle lichtensteinDIRECTORA DE MARKETING - RABOBANK
Historias de clientes de CrontoRabobank trabajó con OneSpan para lanzar su Rabo Scanner, un autenticador Digipass que utiliza Cronto. Este dispositivo garantiza el nivel más alto de seguridad en las transacciones, así como una experiencia positiva para los clientes.
ATAQUES DE INGENIERÍA SOCIAL RELACIONADOS CON LAS OPERACIONES BANCARIAS 13
“La innovación es clave para United Bulgarian Bank. Queremos mejorar y expandir el uso de nuestros canales digitales, especialmente los canales móviles”.
iliyana VoynoVaDIRECTORA DE DESARROLLO Y SOPORTE DE CANALES DIGITALES DE UBB
Historias de clientes de CrontoUnited Bulgarian Bank (UBB) implementó Mobile Security Suite con Cronto para cumplir con los requisitos de vinculación dinámica PSD2 y ayudar a mitigar el riesgo humano en sus transacciones bancarias.
ATAQUES DE INGENIERÍA SOCIAL RELACIONADOS CON LAS OPERACIONES BANCARIAS 14
“ OneSpan ha demostrado ser experto en todas las áreas, ofreciéndonos el asesoramiento y las soluciones que necesitamos para brindar el tipo de experiencia que los clientes buscan y también para garantizar el cumplimiento de PSD2”.
andreas FellerGERENTE DE PROYECTO, VOLKSWAGEN BANK
Historias de clientes de CrontoVolkswagen Bank implementó la seguridad de la aplicación móvil de OneSpan para proteger las transacciones financieras del banco y ayudar a garantizar el cumplimiento de PSD2, así como para ofrecer una experiencia positiva a sus clientes.
ATAQUES DE INGENIERÍA SOCIAL RELACIONADOS CON LAS OPERACIONES BANCARIAS 15
Sobre OneSpanEn OneSpan, establecemos confianza en las identidades de las personas, en los dispositivos que utilizan y en las transacciones que realizan. Ayudamos a reducir las pérdidas por f raude, of recemos experiencias seguras y sin complicaciones, e impulsamos la eficiencia operativa.
Nuestras productos:
Protegiendo el mundo del fraude digital
Fraude de identidad
apertura de cuentas
seguridad de las
aplicaciones MóViles
autoMatización de acuerdos
toMa de control de
cuentas
seguridad eMpresarial
serVicios Financieros
goBierno
cuidado de la salud
otras industrias
ATAQUES DE INGENIERÍA SOCIAL RELACIONADOS CON LAS OPERACIONES BANCARIAS 16
EBOOK-SOCENGATTACK-08052021-ES
Copyright © 2021 OneSpan North America Inc., todos los derechos reservados.
MEDIOS SOCIALES
Sobre OneSpanOneSpan ayuda a proteger al mundo del fraude digital creando confianza en las identidades de las personas, los dispositivos que usan y las transacciones que realizan. Hacemos esto asegurando que la banca digital sea accesible, segura, fácil y útil. La plataforma Trusted Identity (Identidad de confianza) y las soluciones de seguridad de OneSpan ya reducen el fraude de manera significativa en las transacciones digitales y aseguran el cumplimiento con las normas para más de 10 000 clientes, incluidos más de la mitad de los 100 bancos mundiales más importantes. Ya sea mediante la automatización de acuerdos, la detección de fraudes o la protección de transacciones financieras, OneSpan ayuda a reducir costos y a acelerar la adquisición de clientes a la vez que mejora la experiencia para los usuarios. Obtenga más información en OneSpan.com.
[1] Tessian, infográfico “Las estadísticas de phishing que debe conocer”, 2020.
[2] IBM Security, “Informe sobre el costo de un incumplimiento relacionado con los datos, 2020”, julio de 2020.
[3] Proofpoint, “2020 - El estado del phishing; una mirada en detalle a la concienciación del usuario, la vulnerabilidad y la resiliencia”, enero de 2020.
[4] Accenture, “El costo de los delitos cibernéticos: descubrir el valor de la protección mejorada de la ciberseguridad”, 2019.
APRENDA MÁS SOBRE FIRMAR TRANSACCIONES DE MANERA VISUAL CON CRONTO DE ONESPAN
CONTACT US