FRAUDE DE CUENTA NUEVA: HERRAMIENTAS Y TÁCTICAS DE UN NUEVO TIPO DE ESTAFA

Vivimos en una nueva era de innovación digital. El sector de los servicios financieros (SF) invierte cada año miles de millones de dólares en tecnologías nuevas y emergentes diseñadas para dotar a los bancos de mayor eficiencia interna y de más capacidad de reacción ante las cambiantes exigencias del mercado. Según Deloitte, alrededor del 90 % de los encuestados del sector SF coinciden en que las tecnologías digitales están alterando la industria de forma importante. Y un tercio de los CIO del sector señalaron en un informe de Gartner que la tecnología digital fue su prioridad en 2019.

Esta iniciativa gira en torno al deseo de ahorrar dinero en procesos internos lentos o costosos y de promover la fidelidad de los clientes mediante la mejora de la experiencia del usuario en todos los puntos de contacto digital nuevos.

Esta tendencia se está acelerando gracias a la implantación de las nuevas reglas bancarias en Europa (Segunda Directiva sobre Servicios de Pago - PSD2), que establecerán condiciones de igualdad para que un nuevo tipo de innovadoras empresas

financieras puedan conquistar el corazón y la mente de los consumidores.

En el marco de este empeño por mejorar la experiencia del cliente, los bancos están cerrando sucursales e implantando sofisticados servicios digitales destinados a satisfacer la demanda creciente de usuarios expertos en tecnología. La idea es buena sobre el papel, pero entraña riesgos nuevos.

01

02

Por supuesto, existen muchos tipos de actividades fraudulentas susceptibles de perjudicar a los bancos y sus clientes. Pero el fraude de cuenta nueva o NAF (New Account Fraud), también conocido con otros nombres como fraude de apertura de cuenta/fraude de creación de cuenta/fraude en originación de cuenta online (en inglés, Account Opening fraud/Account creation fraud/Online Account Origination fraud), es uno de los que más crecen.

En él, los estafadores utilizan identidades robadas o «sintéticas» para abrir varias cuentas bancarias, de crédito o similares, solicitando la mayor cantidad de dinero posible antes de desaparecer o utilizándose para blanquear fondos robados.

El NAF se sirve de brechas de seguridad de datos de identificación, una economía de ciberdelincuencia muy profesionalizada, los avances tecnológicos y las continuas iniciativas de transformación que acometen las entidades financieras internacionales.

De hecho, según un informe, en 2018 se violó la seguridad de más de 5.000 millones de registros de información. La mejor forma de abordar este problema es adoptando nuevos enfoques holísticos de prevención del fraude basados en el poder de la biometría del comportamiento, en inglés, Behavioral Biometrics.

Hoy en día los clientes de banca realizan más operaciones online que nunca. Según Capgemini, se espera que para 2022 las operaciones no bancarias alcancen la cifra de 1 billón USD en todo el mundo. Pero los ciberdelincuentes y los fraudsters crecen al mismo ritmo que los clientes en Internet.

MÁS DIGITAL SIGNIFICA MÁS RIESGOS

Esto no siempre ha sido así. A principios del 2000, la principal amenaza para los bancos era la falsificación de tarjetas y el fraude relacionado con los cheques. Era relativamente rápido, sencillo y barato realizar este tipo de estafas, por lo que siguieron siendo la opción más factible dentro del mundo del fraude. Por otro lado, el NAF y la apropiación fraudulenta de cuentas (en inglés, Account Takeover - ATO) exigían cierto estudio y planificación detallados. os fraudsters tenían que dedicar grandes recursos para conseguir los datosL de los clientes. En aquel momento también resultaba más difícil que hoy en día configurar «cuentas mula» para blanquear los fondos robados. En definitiva, por lo general, el NAF no merecía la pena.

El paso de una década y la aparición de técnicas combinadas han convertido el NAF y ATO en opciones mucho más viables para los fraudsters. En primer lugar, el desarrollo de estándar mundial EMV (Europay, Mastercard, Visa) alteró notablemente el modelo de negocio del fraude de tarjetas tradicional, animando a muchos ciberdelincuentes a mirar en otras direcciones. Esto ocurrió justo cuando los datos de identificación de los consumidores empezaron a proliferar online, en el momento en que las empresas comenzaron a ofrecer servicios digitales. Surgió una economía del ciberdelito impulsada por mercados de la deep web que negociaban con esta información robada y herramientas de hacking. Según algunas estimaciones, esta economía sumergida está valorada hoy en día en 1,5 billones USD, de los cuales 160 millones proceden del comercio de información personalmente identificable (IPI, en inglés, Personaly Identificable Information) robada. Algunas fuentes afirman que esta cifra es incluso mayor. Según un informe, solo en EEUU se robó IPI valorada en alrededor de 16 000 millones USD en 2017.

BREVE HISTORIA DEL fraudE

En medio de esta tormenta perfecta, surgieron 3 tipos de fraude bancario:

Fraude relacionado con operaciones /pagos: Uso de información de pago

robada para realizar compras fraudulentas. El paso a operaciones

transfronterizas y en tiempo real está dificultando la detección y detención de

este tipo de fraude por parte de las entidades financieras.

Apropiación de cuenta (ATO): Uso de credenciales robadas, obtenidas mediante

phishing/ingeniería social o compradas en línea, para apropiarse de cuentas bancarias/de tarjeta. Los fraudsters pueden vaciar las cuentas o

utilizarlas para efectuar operaciones fraudulentas. Este fraude se ha disparado debido a que los consumidores comparten sus contraseñas en varias cuentas y a la vez que han aparecido herramientas automáticas destinadas a rellenar y abrir cuentas de forma rápida usando grandes volúmenes de credenciales robadas. La apropiación de cuentas es difícil de detectar, porque los fraudsters utilizan credenciales legítimas y fingen ser clientes reales.

Fraude de cuenta nueva (NAF): Los fraudsters utilizan datos de identificación robados, normalmente combinados con datos falsos, para abrir cuentas a nombre de las víctimas, y agotar las líneas de préstamo y de descubierto antes de desaparecer. También resulta difícil de detectar, porque los estafadores utilizan datos de identificación legítimos, o identidades «sintéticas», que no se han usado nunca antes. 03

En resumen, la pandemia actual de NAF que asola el planeta existe gracias a:

Brechas de datos: Entre 2017 y 2018, el volumen de IPI expuesta en brechas de datos en EEUU aumentó un 126%, con más de 446 millones de registros expuestos, según el Identity Theft Resource Center (ITRC). Estos incidentes proporcionan un flujo continuo de datos personales a sitios clandestinos, donde los fraudsters los compran. Todo vale, desde pasaportes y permisos de conducción hasta información sobre tarjetas de crédito, números de la Seguridad Social y de documentos de identidad, diplomas y credenciales de cuentas.

Mercados / ciberdelitos profesionalizados: El de los ciberdelitos es un sector muy profesionalizado que genera unos ingresos anuales tan cuantiosos como el PIB de Rusia. Gracias a los mercados anónimos de la deep web y a la abundancia de oferta de herramientas y conocimientos de pirateo, el flujo de datos de identidad sigue siendo ilimitado a pesar de los esfuerzos de los cuerpos del orden a nivel mundial.

Fraude sintético: La combinación de información de identificación real y falsa para crear identidades nuevas ha contribuido a la expansión del NAF. En 2013, el Ministerio de Justicia de EEUU acusó a 18 personas por participar en «uno de los sistemas de fraude de tarjetas de crédito más grande y complejo hasta el momento»: una operación que duró más de una década y se extendió por ocho países.

Esta red criminal desarrolló más de 7 000 identidades sintéticas para obtener de forma fraudulenta más de 25.000 tarjetas de crédito. Los conspiradores crearon las calificaciones crediticias de las identidades sintéticas para incrementar su capacidad adquisitiva y de endeudamiento antes de esfumarse sin pagar. Este modus operandi es típico del fraude sintético. Aunque resulta difícil conseguir cifras recientes, este fraude costó a los prestamistas estadounidenses 6.000 millones USD en 2016 y se cree que es el tipo de delito financiero de mayor crecimiento en EEUU.

Digitalización del onboarding: Como hemos comentado, las entidades financieras se esfuerzan por mejorar la experiencia de cliente online, lo que implica una experiencia de onboarding impecable y centrada en los dispositivos móviles. Estos esfuerzos

son más urgentes si cabe debido a las nuevas normas bancarias que han abierto el mercado europeo a la competencia de innovadores fintech. No obstante, resulta muy difícil conseguir el equilibrio entre una buena experiencia de cliente y unos controles adecuados contra el fraude.

TENDENCIAS ACTUALES Y TACTICAS

04

La secuencia típica de un fraude de cuenta nueva o NAF consta de varias etapas:

recogida de datos en bruto En esta etapa, los ciberdelincuentes roban grandes cantidades de información personal identificatable (IPI) centrándose en organizaciones como entidades financieras, proveedores de tecnología, minoristas y otros que almacenan grandes volúmenes de información. Seguidamente, la ponen a la venta en los mercados clandestinos.

distribución de los datos En esta etapa la recogida de datos de identificación se refuerza a través de la investigación en las redes sociales y otros sitios. Las colecciones resultantes de IPI se venden a los fraudsters en sitios y foros del mercado.

fraude de cuentaLos estafadores utilizan la información robada para solicitar de forma fraudulenta la apertura de cuentas nuevas a nombre de estas víctimas. También pueden combinar datos de identificación reales con información falsa para crear identidades sintéticas, con el mismo objetivo en mente. Agotan las líneas de préstamo/de descubierto y después «se esfuman», ocasionando grandes pérdidas a los bancos y entidades emisoras de tarjetas.

RETIRADA DE FONDOSLos fondos se transfieren a otras cuentas, quizá en otros países con controles bancarios menos rigurosos, o a cuentas mula, algunas de las cuales pueden haberse abierto con identidades fraudulentas.

¿Cómo funciona?

05

Según RSA Security, es 15 veces más probable que el fraude se origine en una cuenta nueva que en una cuenta que tenga más de treinta días. Después de 10 días, las probabilidades de fraude ya solo se multiplican por tres.

Alrededor del 65 % de los profesionales que luchan contra el fraude y el blanqueo de capitales cree que las identidades sintéticas plantean un problema mayor que el robo de identidades convencional, según Aite Group.

Según el FTC, el fraude de cuenta de tarjeta de crédito nueva creció un 24 % anual en 2018 en EEUU. El fraude de cuenta bancaria nueva creció un 12 %.

01

0203

04

Crecieron las pérdidas relacionadas con cuentas no convencionales, como hipotecas, préstamos estudiantiles y préstamos para la

compra de vehículos. Asimismo, los fraudsters intensificaron los ataques a cuentas financieras periféricas, como programas de

fidelización/recompensa y cuentas de jubilación. Estos tipos de cuentas, que los fraudsters consideran de «segundo nivel», han sido

objetivos menos evidentes porque resultan difíciles de monetizar“06

Teniendo en cuenta los retos que acabamos de describir, no debe sorprendernos la proliferación del NAF. Aunque resulta difícil conseguir estadísticas mundiales, una encuesta realizada por Aite Group en 2018, reveló que más de la mitad (52%) de las instituciones financieras estadounidenses cree que este tipo de fraude aumentó en los dos años anteriores. Los encuestados señalaron que, de todos los tipos de fraude, el NAF es el más dañino para el sector.

Otro estudio estadounidense, realizado por Javelin Strategy & Research, reveló que las pérdidas provocadas por el NAF en EEUU pasaron de 3.000 millones a 3.400 millones USD de 2017 a 2018:

UN PROBLEMA MULTIMILLONARIO

En el Reino Unido, uno de los mayores mercados bancarios de Europa, el NAF creció un alarmante 159% anual para situarse en 29,4 millones GBP (38 millones USD) en 2018, según UK Finance.

07

Por tanto, las entidades financieras se enfrentan a un reto complicado al tratar de equilibrar la abrumadora necesidad de ofrecer a los clientes nuevos un proceso de onboarding rápido y sencillo, y la protección frente a los principales riesgos financieros y reputacionales relacionados con el NAF.

Cuando los estafadores logran abrir cuentas nuevas y vaciar las líneas de crédito/descubierto, los bancos pierden cientos o incluso miles de dólares por cuenta.

PERDIDAS DIRECTAS POR FRAUDE

Yet legacy fraud solutions can sometimes make the problem even worse. Here are just some of the potential implications:

LOS BANCOS Y SUS CLIENTES SE LLEVAN LA PEOR PARTE

COSTES ADMINISTRATIVOS

Otro efecto negativo que conllevan las herramientas contra el fraude inadecuadas es que pueden obligar a la revisión manual de muchas sesiones de onboarding. Esto, además de añadir fricción a la experiencia (lo que podría ocasionar abandonos, como se explicó anteriormente), supone gastos para el banco, ya que congestiona el funcionamiento de los equipos internos contra el fraude, incluso requiriendo a veces de personal dedicado.

PÉRDIDA DE INFRESOS

REPUTACIÓN DE MARCA

Si muchos clientes sufren una mala experiencia durante el proceso de onboarding y publican en Internet sus comentarios y reseñas sobre la entidad financiera, esto podría menoscabar en gran medida su reputación. Una mala reputación persistente en relación con el fraude y la seguridad de las cuentas podría producir un efecto llamada con los clientes actuales. Con la llegada a Europa de la Segunda Directiva sobre Servicios de Pago (PSD2) nunca había resultado tan sencillo abrir cuentas bancarias en entidades financieras rivales.

Por el contrario, si los controles frente al fraude son demasiado estrictos, los clientes legítimos pueden desistir del proceso de onboarding. Esto podría hacer perder a los bancos más ingresos potenciales por cliente de los que los fraudsters podrían robar.

El NAF es difícil de detectar ya que los fraudsters utilizan información legítima robada de forma secreta a clientes reales, o crean identidades sintéticas utilizando información real y falsa. En muchos casos, los filtros convencionales que utilizan información de inteligencia sobre amenazas y datos estáticos no detectan este tipo de fraude. Por otro lado, las alternativas existentes en el mercado que utilizan controles de documentación de identificación (Pasaporte, ID, etc.) o biometría física pueden resultar más precisas para la detección de fraudsters pero agregan fricción a los clientes, y no siempre son escalables a diferentes países. Buguroo dispone de un enfoque holístico distinto para prevenir el NAF que incorpora biometría del comportamiento avanzada combinando:

Threat intelligence: Control de dispositivos de fraudsters, reputación y anomalías del software conocidas.

Control de comportamiento no humano: Detección de signos de actividad de automatización, bots, emuladores y malware.

Control de comportamiento fraudster: Detección de acciones y patrones ilícitos conocidos de los fraudsters

Identificación de entorno anómalo: Detección de anomalías en el contexto del usuario y presencia de malware en el entorno

Biometría del comportamiento del usuario: El elemento secreto de nuestra solución de prevención del NAF. Recoge miles de parámetros clave sobre la forma en que los usuarios navegan por su portal bancario y rellenan un formulario de creación de una cuenta nueva. Esto proporciona información esencial sobre si el usuario cuenta con una fluidez y una familiaridad anormales que, en caso de tratarse de un fraudster, desvelan sospechas de que el cliente que está abriendo una cuenta no es legítimo.

ES HORA DE ACTUAR: los bancos pueden protegerse frente al naf

Patrón de fluidez: Modo de navegación por la interfaz dentro de la aplicación del banco.

Conocimiento del contexto: Nivel de familiaridad con el formulario de onboarding.

Respuesta mental: Monitorización de la respuesta de memoria a corto y largo plazo cuando se suministran datos concretos. P. ej., los clientes legítimos utilizan la memoria a largo plazo para cumplimentar datos como nombres y dirección, y la memoria a corto plazo para información más compleja, como números de documentos de identificación.

Comparación de patrones de cliente: Comparación del comportamiento del nuevo usuario con el del resto de solicitantes legítimos y también con el tipo de fraudsters conocidos en el banco.

08SIGN UP

ID Number

Name

Surname

Postal Address

Postal Code

Social Security No.

t 2” t 5”

Combinando dichas inteligencias de análisis, nuestro proceso de perfilado continuo mide y evalúa a la perfección el comportamiento del usuario y su respuesta físico-mental durante el proceso apertura de nueva cuenta en varias dimensiones de forma invisible sin afectar la UX:

Esta es solo una parte del enfoque multidimensional de Buguroo en relación con la prevención del fraude, que se extiende a toda la experiencia del usuario: desde el proceso de onboarding al proceso de inicio de sesión, las operaciones y el cierre de sesión.

Nos enorgullecemos de ser el único especialista en fraude que ofrece una protección holística continua antes, durante y después de que el fraude se haya cometido. Se basa en tres pilares tecnológicos (evaluación de dispositivos, detección avanzada de malware y análisis del comportamiento) y cuenta con características diferenciadas únicas en el mercado, como Fraudster Hunter.

Es esta visión de 360º del cliente la que permite a nuestros clientes malograr las intenciones de los fraudsters, cualesquiera que estas sean.

La solución de buguroo puede implantarse sola o junto con productos de terceros ya existentes para mejorar la capacidad de respuesta de las entidades financieras frente al fraude sin menoscabar la experiencia del cliente.

Con 15 años de experiencia y más de 50 millones de clientes finales en todo el mundo, Buguroo concede a las entidades financieras la tranquilidad que necesitan para promover la innovación digital y el éxito, reforzar la fidelidad de sus clientes y reducir al mínimo las pérdidas por fraude.

una solución holística

09

www.buguroo.com

© 2020 buguroo. All product names, brand names and registered trademarks are the property of their respective owners.

Europe Offices

MADRIDCALLE ANABEL SEGURA, 16

EDIFICIO 3 PLANTA 4ªALCOBENDAS, 28108

(+34) 91 229 43 49SPAIN

LONDON6 HAYS LANE

LONDON · GREATER LONDONLONDON BRIDGE · SE1 2HB

(+44) 20 3300 1606UNITED KINGDOM

KATOWICEUL. UNIWERSYTECKA 20

4TH FLOOR · 40-007POLAND

LatAm Offices

MEXICO CITYAV. RÍO MISISIPI, 49 06500

(+52) 41600149MEXICO

BOGOTA DCCARRERA 12A #78-40110221

COLOMBIA

SAO PAULOAV. PAULISTA, 37 - 4º ANDAR01310-100

BRAZIL

North America Offices

MIAMI7950 NW 53RD STREET

FLORIDA, 33166US