Informes

Desde que se comenzó a operar financieramente existió el riesgo y se asumió el hecho de que este jamás podía llegar a cero, por lo que se comenzó a convivir con él por medio de una gestión que lo mantuviera en un nivel en el que se asumían pérdidas razonables en relación a las ganancias.

La primera alternativa de adopción masiva, alternativa al manejo de dinero en efectivo, fueron las tarjetas de crédito y débito. En este modelo, los formatos y niveles de fraude aumentaron, pero también evolucionó la gestión del riesgo. Hoy en día, si se tienen tarjetas emitidas por bancos de trayectoria razonable, cualquier incidente de fraude se resuelve adecuadamente en cuestión de días, e inclusive hasta se previenen por medio de comunicaciones al cliente cuando el emisor del plástico detecta una operación anómala.

Este uso del “dinero plástico” potenció el concepto de “apetito de riesgo”, que es, en definitiva, cuánto dinero está dispuesto a perder el emisor de la tarjeta para mantener más o menos contentos a clientes y comercios que usan este medio de pago. Aquí aparece la idea de la franja de flotación definida por dos niveles, cuando el fraude está cerca de la línea baja, todos recibimos ofertas de tarjetas de crédito que no solicitamos; y cuando se está cerca de franja alta, tenemos que notificar al emisor de plástico que vamos a hacer una compra en Amazon por 10 dólares.

La evolución hasta el estado actual del universo Fintech y sus parientes cercanos y lejanos cambió varias de las reglas del paradigma de la gestión de riesgo.

¿Quién hace una solicitud es quien dice ser?

Hoy para tener un billetera virtual, una cuenta virtual o algo parecido, es necesario pasar por un proceso de on-boarding más o menos exigente de acuerdo al tipo de servicios financieros que se vayan a utilizar. Cuando nos encontramos con uno de estos procesos y nos solicita, además de cosas básicas como fotos del DNI, que como “prueba de vida” nos saquemos varias fotos con distintas expresiones, pensamos que estamos ante un sistema seguro, lo que no es así.

El primer factor a tener en cuenta es que, si se cuenta con un documento robado, ya sea en forma física o sustraídas sus imágenes de una base de datos, existen programas que toman la imagen de la foto de la persona y la manipulan para que reproduzca las expresiones faciales que les solicita el on-boarding. Además, hay que tener en cuenta lo que pasa con la gestión de riesgo dentro de las empresas que utilizan estos sistemas: si la cantidad de datos solicitados al potencial cliente y el nivel de exigencia de la veracidad de los mismos es muy alto, aparecerá un alto nivel de rechazos, los que será visto por las áreas comerciales como “probables clientes perdidos que se fueron a la competencia” y por las áreas de riesgo y ciberseguridad como “potenciales focos de fraude que evitamos”.

Desde que comenzó la pandemia muchas empresas luchan por sobrevivir ganando un espacio en el mundo digital, por lo que la discusión “áreas comerciales vs áreas de riesgo” termina en la decisión de bajar el nivel de precisión de los controles biométricos para que no existan tantos rechazos. En estas situaciones los controles como “la prueba de vida” siguen existiendo, pero su eficacia disminuye mucho. Esto le facilita mucho las cosas a los delincuentes informáticos que requieren cuentas o billeteras virtuales para generar fraudes

Me hackearon la cuenta o la billetera:

Si el delincuente decide no ir por la apertura de instrumentos espúreos, sino cometer fraudes con instrumentos legítimos, genera ataques de phishing por distintos medios (correo electrónico, mensajería, etc.) y obtiene las credenciales de los usuarios para operar durante el tiempo que tarde el dueño legítimo en darse cuenta de lo que está pasando. Aquí aparece una diferencia importante entre el mundo Fintech y el Bancario; los controles de fraude en el primero, a pesar de que tienen un universo de riesgo más grande, tienden a ser menores que en el segundo, por una falsa idea de que hacer las cosas seguras implica complicarlas.

Los formatos delictivos y sus factores de éxito:

Las condiciones más propicias para el fraude digital dependen de que tan completos son los recursos de identidad de personas con las que se cuenta.

Si por medio de un Phishing o de Ingeniería Social se capturaron los datos de una cuenta o billetera virtual, estamos expuestos a un escenario de vaciado de saldos y utilización de los instrumentos como “mulas” en una operación que requiera de varios pasos para lograr un fraude.

Si con lo que se cuenta es con la identidad digital, la situación es mucho más complicada para las personas.

El año pasado se conoció un ataque a RENAPER que tuvo como consecuencia el robo de datos de personas que incluían información de DNIs. Este año se dispersó un Phishing contra correo Argentino que, para liberar la supuesta entrega de un paquete, requería que se enviara fotos del documento y una selfie. Cuando el delincuente cuenta con estos recursos, los puede usar en operatorias que van desde la apertura de instrumentos digitales varios, solicitud de préstamos de manera virtual, etc. Lo complicado de este escenario es que da lugar a una suplantación de identidad, situación de la que resulta muy difícil salir debido a que los datos se pueden usar reiteradamente para una multiplicidad de acciones, a diferencia del robo de credenciales de un medio digital, cuyas consecuencias terminan cuando el mismo se cancela.