5 estrategias clave para abordar las nuevas tendencias en fraude
Los estafadores se adaptan rápidamente, siempre en busca de maneras nuevas de explotar las debilidades en las defensas contra el fraude y encontrar nuevos caminos hacia sus víctimas. ¿Cómo pueden responder los equipos antifraude?
Por Szymon Morytko, Principal consultant de Fraude en FICO.
En años recientes, el enfoque ha sido, comprensiblemente, en abordar el rápido crecimiento del fraude de pagos automáticos autorizados (APP, por sus siglas en inglés). En el trasfondo, sin embargo, ha habido un resurgimiento en los tipos de fraude que muchos pensaban estaban en declive.
Los datos recientes de UK Finance revelan que el número de casos de fraude CNP (compras sin tarjeta física presente) en el Reino Unido aumentaron el 26% a poco más de 1.24 millones en los primeros seis meses de 2024 (en comparación con el mismo periodo del año anterior). El valor bruto de las pérdidas se encuentra en £193.7 millones (con un crecimiento del 11% en el primer semestre de 2023).
Lo anterior destaca lo resilientes, innovadores y ágiles que siguen siendo los estafadores. Libres de las limitaciones que enfrentan las organizaciones legítimas que operan en el espacio financiero, pueden moverse rápidamente para explotar las oportunidades tanto nuevas como viejas.
A medida que el fraude continúa avanzando en múltiples direcciones, existen algunas estrategias clave que las instituciones financieras pueden y deben implementar ahora con el fin de prepararse para los cambios en los patrones del fraude:
Observar los tipos de fraude en declive
Los patrones de fraude son cíclicos y las organizaciones no deben olvidarlo. Cuando se implementan controles nuevos de forma exitosa en un área y los niveles de fraude comienzan a decaer, es tentador asignar recursos a las áreas en crecimiento. Sin embargo, los ladrones están al tanto de todo y buscan maneras nuevas de revivir las viejas tácticas.
Esto es evidente con el reciente resurgimiento del fraude CNP en el Reino Unido. Apareció por primera vez como un problema urgente con el crecimiento de las compras en línea, por lo que, en 2019, la autenticación reforzada de clientes (SCA, por sus siglas en inglés) se implementó ampliamente con resultados positivos. En consecuencia, los estafadores empezaron a enfocarse en los fraudes o estafas APP.
Si bien el fraude APP ya existía, repuntó de improvisto con el Covid-19, las desaceleraciones económicas y los adelantos tecnológicos. Las organizaciones y los reguladores en todo el mundo dejaron de enfocarse en la detección de actividades de pagos no autorizados para centrarse en la detección de estafas.
Mientras tanto, los delincuentes encontraron maneras de evitar las protecciones que se habían implementado
para el fraude CNP: principalmente engañaban a los clientes para que compartieran sus contraseñas de un solo uso (OTP, por sus siglas en inglés) a través de sofisticadas tácticas de ingeniería social. Esto les permitía llevar a cabo una transacción 3D Secure o registrar una tarjeta en una billetera digital, ya que ambos métodos de pago tienden a considerarse los más seguros y los menos vigilados una vez autenticados.
Este es un cruel recordatorio de que los que estafan, prueban constantemente los sistemas en busca de debilidades. Una estrategia antifraude equilibrada debe aplicarse de forma permanente mediante un análisis de datos y de tendencias para determinar dónde deben asignarse los recursos.
Coordinar a los equipos antifraude
En muchos casos, aún hay falta de coordinación entre los equipos que manejan el fraude de aplicaciones y aquellos que manejan el fraude después de ocurrido. Esta estrategia fragmentada crea vacíos enormes en el sistema de defensa.
Por ejemplo, logran abrir cuentas con identidades robadas, sintéticas o incluso propias. Además, gestionan esas cuentas de manera similar a los cuentahabientes legítimos, de modo que no hay motivo por el cual sospechar algo inapropiado. El crédito de su tarjeta va aumentando hasta alcanzar la cantidad máxima a la cual pueden acceder y, entonces, comenten un fraude bust-out, es decir, disponen del límite máximo de la tarjeta y abandonan la cuenta.
Eliminar la falta de coordinación es prioritario. Idealmente, debería lograrse consolidando la toma de decisiones de cada etapa en una sola solución, con información y resultados visibles y disponibles para tomar decisiones durante todo el ciclo de vida del cliente. Las organizaciones deberían al menos asegurar que los equipos compartan conocimientos y datos clave a partir de las diferentes soluciones utilizadas. Solo a través de una estrategia unificada será posible identificar las nuevas amenazas de forma oportuna. En el ejemplo anterior, si se comparten datos clave de la etapa bust-out con quienes gestionaron el proceso de apertura de crédito, las tendencias o señales de alerta pueden identificarse mucho antes en el proceso.
Aprender de las tendencias en desarrollo en otras regiones
Las tendencias de fraude no están limitadas por fronteras. Si bien las estrategias para combatirlo pueden variar significativamente entre cada país, un aumento de cierto tipo en un país es una señal vital de lo que pronto podría ocurrir en otros lugares.
Por ejemplo, el Reino Unido ha sido muy activo en su estrategia para combatir el fraude APP, con avances importantes desde una perspectiva regulativa. Sin embargo, como efecto secundario, ahora está experimentando un resurgimiento del fraude CNP, así como un aumento en los casos de abuso relacionados con reembolsos por estafas falsas. En los países donde las instituciones financieras aún no han observado un aumento en este tipo de fraude, la experiencia del Reino Unido es un indicador importante del cual se pueden obtener lecciones. ¿Qué medidas pueden tomarse para fortalecer las defensas contra las amenazas como el resurgimiento del fraude CNP antes de que esas amenazas se cumplan?
Empoderar a los equipos internos para actuar rápidamente
El resurgimiento del fraude CNP ha puesto el foco en las billeteras digitales, uno de los métodos de pago de más rápido crecimiento que se espera sea utilizado por más de la mitad de la población mundial en 2025. Estas billeteras se han convertido en un blanco popular de los ladrones.
Cada vez es más común que los estafadores accedan a las billeteras digitales mediante engaños de phishing o malware, o que añadan tarjetas de débito y crédito robadas a nuevas billeteras a través de técnicas de ingeniería social. Esto destaca la necesidad de incrementar la agilidad, en específico la capacidad de identificar las amenazas y adaptarse rápidamente.
Para alcanzar el nivel de agilidad requerido, las organizaciones que intentan gestionar este tipo de fraude deben considerar varios factores.
El primero es una estrategia flexible. Muchas organizaciones cuentan con una serie de reglas de detección de fraude que son tan complejas y rígidas que dificultan el mantenimiento e implementación de estrategias nuevas. Esto inhibe la eficacia y los beneficios de las capacidades analíticas altamente predictivas proporcionadas por los modelos tanto de terceros como los desarrollados internamente.
Asimismo, afecta la capacidad de incorporar y acceder a una variedad de conjuntos de datos mejorados de proveedores externos. Aunque la integración de diferentes conjuntos de datos ha demostrado ser fundamental para la toma de decisiones en materia de fraude, sigue siendo un proceso sumamente complejo y largo para muchas instituciones financieras.
Otro elemento clave para adaptarse y responder en el momento en que se identifican las amenazas es la capacidad de realizar cambios al instante. Muchas organizaciones informan que, debido a los largos procesos de TI, enfrentan tiempos de espera de entre cuatro y seis meses solo para realizar un cambio a sus procesos de ingesta de datos o a sus mensajes en las herramientas de comunicación con los clientes.
Estos son obstáculos importantes para poder adaptarse y responder rápidamente. Sin tecnología que permita a los equipos ingerir datos de manera más eficiente, utilizar herramientas analíticas de forma más eficaz o realizar cambios al momento, las instituciones financieras enfrentan riesgos considerables.
El poder de la psicología en la comunicación
Los estafadores son maestros de la manipulación. Son expertos en influir en el comportamiento de los clientes y utilizan tácticas de ingeniería social para convencer a las personas de que proporcionen información confidencial. Lamentablemente, esto convierte al cliente en el eslabón más débil de todo el proceso.
Por ende, entender la psicología tanto de los estafadores como la de sus víctimas, además de utilizar una comunicación eficaz con los clientes, es un aspecto fundamental. Ya no basta enviar solicitudes de verificación genéricas. La comunicación debe ayudar a las personas a pensar dos veces antes de compartir información personal. El objetivo debe ser romper el «hechizo» del estafador y ayudar a los clientes a identificar las señales de alerta que el estafador intenta ocultar.
Los mensajes personalizados y las alertas en tiempo real durante las actividades o transacciones sospechosas desempeñarán un papel más valioso para ayudar a los clientes a reconocer posibles estafas. Esto requiere contar con herramientas que permitan una comunicación personalizada y un trato apropiado para la amenaza en cuestión, a fin de llegar a los clientes de la manera correcta en el momento preciso.
Anticipar, adaptar y mantenerse conectados
Para que las instituciones financieras estén preparadas para actuar, deben eliminar las trampas del pensamiento aislado, elegir tecnologías que empoderen a los equipos internos y observar a sus vecinos internacionales para conocer los cambios en las regulaciones y en los patrones de fraude.
Un último aspecto que recordar es que los estafadores siempre elegirán el camino de menor resistencia. Actualmente, ese camino son los propios clientes. Los estafadores utilizan la psicología para explotarlos en sus momentos más vulnerables. Es tiempo de que las instituciones financieras incorporen la psicología del cliente en sus mensajes para eliminar ese camino y proteger a sus clientes contra la manipulación.
