Llegamos a ustedes gracias a:



Reportajes y análisis

¿Se ha encontrado el fraude con la horma de su zapato?

[10/03/2017] Muchos pronosticadores hablan de la privacidad como un sueño inalcanzable. Con las montañas de información personal en las redes sociales y la falta de conciencia de seguridad de muchos usuarios, los criminales cibernéticos tienes más oportunidades de robar identidades.

Sin embargo, hay nuevas ideas para contrarrestar el robo de la identidad, que tomará en cuenta los atributos físicos de una persona para agregar un nivel de seguridad. La idea de usar un lector de huella digital para iniciar sesión en un smartphone no es nueva, pero lo último es incorporar la presión con la que el dedo escribe en el celular.

Más de 41 millones de americanos han sido víctimas de robo de identidad y millones más han tenido su información de identificación personal (PII, por sus siglas en inglés) en riesgo por una violación de datos, de acuerdo a una encuesta de Bankrate.com conducida el mes pasado.

Keir Breitenfeld, consultor de negocios senior en Experian, dijo que el uso continuo de "secretos compartidos" o puntos de datos estáticos -como los números de Seguridad Social, los usuarios y contraseñas- para verificar las identidades y autenticar a los consumidores crean un claro problema, tanto para los usuarios como para las empresas -la perpetuación del fraude. "Estas partes de PII son muy valoradas y el blanco elegido de los criminales cibernéticos. Una solución para este problema es el uso de datos dinámicos, ya sea solos o combinados con factores estáticos", anota.

Actualmente, 1.9 millones de archivos que contienen PII son comprometidos todos los días, haciendo que millones de personas sean vulnerables al fraude. Adicionalmente, según el Estudio de Fraude de Identidad del 2017 de Javelin, el fraude de identidad impactó a 15,4 millones de víctimas en los Estados Unidos en el 2016, con un incremento de 16% en la tasa de incidencia desde el 2015.

Breitenfeld señala que muchas empresas usan una forma de autenticación llamada verificación y validación de elementos de identidad. Este enfoque tradicional para la autenticación de individuos, usa elementos de la identidad (por ejemplo, el número de Seguridad Social, la fecha de nacimiento, el nombre, la dirección) proporcionados por un solicitante, y luego compara estos puntos de datos de fuentes confiables, como agencias de crédito. "Problemáticamente, la mayoría de estos datos ya han sido robados, haciendo que esta forma de autenticación sea poco confiable", indica.

Ryan Zlockie, vicepresidente global de autenticación en Entrust Datacard, notó que un ejemplo de autenticación continua es la cantidad de presión aplicada cuando se tipea, se desplaza y se desliza, que podría ser igualada con el comportamiento típico del usuario. Otro patrón de autenticación podría ser el tiempo invertido en una sesión o transacción. Por ejemplo, el tiempo de la sesión, contrastado con las acciones completadas, puede indicar si es que las respuestas están siendo cortadas y pegadas de manera rápida, o tipeadas. Asimismo, la cadencia del tipeo puede ser usada como una herramienta de autenticación del comportamiento, que recolecta información sobre el tiempo describiendo exactamente cuándo es que cada tecla fue presionada y liberada a medida que una persona tipea en el teclado de una computadora. Esta cadencia puede ser capturada de manera continua, no solo cuando un usuario inicia sesión por primera vez en un sistema o servicio.

Al acumular datos dinámicos, que tienen poco o ningún valor monetario para los criminales cibernéticos, a diferencia de basarse únicamente en información estática, las empresas tienen el potencial de parar el fraude, añadió Breitenfeld. Algunos de los nuevos factores dinámicos incluyen:

1. Biométricos: Factores de autenticación tales como huellas digitales y escáneres de retina pueden ser usados para verificar de manera segura las identidades de los consumidores, ya que es más difícil para los que comenten fraude robar o replicar estos factores.

2. Direcciones IP: Detectar si se está accediendo a una cuenta desde direcciones IP nuevas o no reconocidas puede ayudar a parar el fraude, desafiando al usuario con factores de autenticación adicionales. Adicionalmente, los usuarios pueden ser notificados si alguien intenta acceder a su cuenta desde un nuevo dispositivo.

3. Ubicación: La ubicación es otra manera de verificar a los usuarios, y muchas empresas ya la usan como un factor de autenticación para las compras. Por ejemplo, si vive en Kentucky, pero se compra un ítem usando sus credenciales en China, la transacción será bloqueada completamente o notificada a las personas adecuadas.

4. Selfies: El software de reconocimiento facial puede ser usado para autenticar a alguien que hace transacciones en su dispositivo móvil.

5. Chequeos de velocidad: Chequear los patrones de compra históricos de un individuo, e igualar el registro con sus compras actuales para encontrar irregularidades.

6. Perfiles de las redes sociales: Analizar las cuentas de las redes sociales y las cuentas en línea de una persona, ayudan a identificar si es que son reales o no. Por ejemplo, es más probable que una persona cuyo perfil de Facebook ha estado establecido por años, con un gran número de amigos e información consistente, sea auténtica que alguien con un perfil vacío, que puede significar una identidad falsa o recién creada.

7. Actividad del usuario autorizada: Monitorear identidades que están siendo añadidas como "usuarios autorizados" a cuentas es, a menudo, predictivo de fraude, específicamente la toma de cuentas y la creación de identidades sintéticas. Si el mismo "usuario autorizado" se agrega como un nuevo usuario autorizado a cuentas de diferentes personas, probablemente sea una identidad fraudulenta.

Zlockie añade otro factor para analizar: la coincidencia de patrones de ataque, que muestra los intentos de toma de una cuenta mediante el monitoreo, para ver si un usuario se está apurando en el proceso, e igualando la velocidad del intento de hackeo con ataques similares. Además, añade que la firma móvil de push y transacciones no es una nueva táctica de autenticación, pero es más segura que la mayoría de métodos anticuados que se basan en contraseñas o los códigos estáticos CVV de las tarjetas de crédito. Es más que solo una manera de autenticarse en una aplicación, ya que se puede posicionar y aplicar a una gran variedad de casos de uso de automatización de flujo de trabajo.

Además de la biometría facial, también hay configuraciones de voz e iris que puede autenticar individuos con base en sus rasgos físicos inherentes. "La autenticación biométrica se ha ampliado más allá de la huella digital por una buena razón, gracias al hecho de que los rasgos biológicos son no transferibles y proporcionan un alto nivel de protección contra fraudes. La biometría facial y de voz son flexibles en el hecho de que pueden autenticar a los usuarios continuamente a lo largo de una sesión, sin notificarles que están siendo monitoreados", anota Zlockie.

Él llevó el aspecto físico un poco más allá, citando el uso de un electrocardiograma (ECG), latido del corazón o BioStamp, que puede convertir el latido del corazón de un usuario en un diferenciador único que autentica su identidad digital. Cualquiera que sea el sistema o servicio que una persona utilice, podría obtener acceso en tiempo real a sus signos vitales para verificar al usuario durante toda la sesión o transacción.

Zlockie dijo que la autenticación cognitiva está todavía es etapas de investigación, pero recoge múltiples parámetros para crear un único perfil del usuario. Cuando una persona es presentada con un estímulo novedoso, como una fotografía o canción familiar, mide su respuesta usando una variedad de técnicas como EEG, ECG, el volumen de la presión sanguínea, la respuesta electrodérmica, rastreadores de ojos y pupilometría. La autenticación cognitiva validaría al usuario haciendo coincidir su respuesta con métricas pre-grabadas.

¿Qué sigue?

Mirando al futuro, para realmente devaluar los datos, la industria necesita considerar un enfoque más comprensivo para la autenticación de la identidad -un centro de identidades, indica Breitenfeld. Esta centralización de la información combinaría factores dinámicos con PII para crear una "identidad del consumidor" centralizada. Las empresas luego solicitarían la autenticación de esa identidad específica, en vez de solicitar, compartir y, en última instancia, almacenar el PII del consumidor. "Esto elimina la carga de recolección de una empresa y de ser responsable del PII del consumidor que es innecesario para la transacción, y tener que arriesgar el potencial de ser hackeado y enfrentarse a las consecuencias", agrega.

Sin embargo ¿no se supone que las empresas de tarjetas de crédito ya bloquean compras irregulares?

Breitenfeld admite que ese es el caso, pero lo que defiende es la consistencia de elementos de identidad que se utilizan para abrir una cuenta. "En Experian analizamos más de tres millones de transacciones de identidad (no solamente financieras) por día, y con el tiempo podemos comenzar a ver si los elementos como los nombres, direcciones, SSNs y fechas de nacimiento están siendo usados de manera consistente o no", anota. "Por ejemplo, si vemos que la información de una persona en particular está siendo usada a una velocidad y a una consistencia relativamente normal, podemos verificar su identidad es un bajo riesgo de actividad fraudulenta. Si, por el contrario, comenzamos a ver el nombre de esa persona con cinco direcciones y SSNs diferentes, o vemos altas velocidades de cualquiera de estos elementos, es una mala señal. En general, estamos buscando el uso consistente de identidades. Reconstruirlas hasta el nivel más elemental nos permite ver si están siendo utilizadas para perpetrar fraude".

Experian también utiliza evaluaciones de riesgo de dispositivos, una combinación de atributos específicos del dispositivo, hábitos y elementos de la identidad asociados, para verificar la identidad de la persona que realiza la compra o inicia sesión en una cuenta. Por ejemplo, la geolocalización (un atributo del dispositivo) ayuda a asegurar que la persona está conduciendo una transacción (haciendo una compra o iniciando sesión) desde una ubicación regular y/o esperada.

Otro ejemplo de información que podría ser parte de un centro de identidad son los atributos de los sistemas operativos. ¿Qué pasaría si el lenguaje de sistema operativo del dispositivo no va con lo esperado para esa identidad específica? Si un solo dispositivo está asociado con diferentes ubicaciones e idiomas, además de diferente información personal identificable, hay un claro problema, añade.

"Por lo tanto, esta información, combinada con sus hábitos regulares, crea una línea de base del propósito con el que la gente usa su dispositivo, y luego compara esos datos para identificar las desviaciones. Todo, desde la resolución de la pantalla hasta la versión exacta de un sistema operativo con atributos del dispositivo que pueden ayudar a identificar si es que una cuenta está siendo utilizada de manera fraudulenta", señala Breitenfeld.

La autenticación de múltiples factores es un método común de verificación que utiliza tratamientos de autenticación escalonados. Estos incluyen preguntas de autenticación basadas en el conocimiento (tales como preguntas de seguridad), contraseñas únicas y verificación de documentos como selfies, firmas electrónicas o formularios de solicitud para certificar que un usuario está autorizado para realizar una transacción.

Aunque este método ha sido usado por años, la autenticación tradicional de múltiples factores no es tan segura como muchos suelen pensar, añade Breitenfeld. Por ejemplo, cuando un código es enviado vía mensaje de texto, no hay manera de saber si el usuario correcto es el que está viendo el mensaje. El teléfono puede haber sido robado, o un criminal podría estar usando una técnica llamada reflejo, para recibir los mensajes de texto enviados a un celular. Este método de autenticación podría ser mejorado añadiéndole datos más dinámicos al proceso, como los selfies.

El ejemplo del selfie trabajaría de tal manera que cuando alguien llene una solicitud para un producto o servicio, él o ella presente una foto de su licencia de conducir, mostrando el nombre del conductor, la fecha de nacimiento y la dirección. Esta información es sacada de la foto y utilizada en el formulario de la solicitud, y es verificada mediante la captura de la información de identificación estática. Luego, si alguien tiene problemas iniciando sesión y falla al responder las preguntas de seguridad, el sistema le podría pedir un selfie para compararla con la foto del usuario que ya está en el archivo.

Experian también utiliza modelos de fraude que permiten que los procesos de verificación lleven al usuario a través de una variedad de patrones de fraude conocidos, y determinen si es que debería llevarse a cabo una verificación extra antes de confirmar la identidad de la persona. Por ejemplo, el modelo toma en cuenta múltiples factores comunes entre los criminales cibernéticos para crear perfiles que ayudan a identificar a los posibles estafadores. Los elementos de identidad de un consumidor se comparan con este modelo para determinar el riesgo que corren las compañías. Un modelo de fraude también se puede ajustar para cumplir con el umbral de riesgo deseado de una empresa; esto ocurre con frecuencia durante las fiestas y feriados, cuando los consumidores hacen más compras y las empresas no quieren ser una barrera para las transacciones -a pesar de que el comportamiento de compra es anormal para el individuo.

Experian también usa archivos de consorcio que son registros compartidos con listas de fraude actualizadas y verificadas. Estas son recolectadas por varias entidades, incluyendo bancos, compañías de tarjetas de crédito, proveedores de telecomunicaciones y otras entidades, y se utilizan para apoyar a las organizaciones participantes en la detención de los delincuentes de fraude regulares. La información compartida podría incluir SSNs de alta velocidad, direcciones establecidas como correo fraudulento o ubicaciones arriesgadas, números de teléfono reciclado, direcciones físicas repetidas y, direcciones de correo electrónico asociadas o conectadas a registros de fraude existentes.

Generalmente, estos archivos serán administrados o alojados por un tercero de confianza, como una agencia de informes de crédito. Los datos serán recolectados desde múltiples fuentes, como bancos, y la agencia de crédito permitirá el acceso a estos archivos en tiempo real.