Prevención del Fraude y Ciberseguridad en las FinTech

  2. Artículos de Interés
  3. Prevención del Fraude y Ciberseguridad en las FinTech
Prevención del Fraude y Ciberseguridad en las FinTech

La irrupción de las FinTech (finance + technology), empresas creativas que actúan en el ámbito de las finanzas y que se caracterizan por su fuerte componente tecnológico, están introduciendo innovaciones disruptivas debido a la utilización -cada vez más frecuente por los usuarios- de dispositivos móviles, la internet y las redes sociales, impactando en consecuencia los tradicionales servicios bancarios.

Emergieron en el año 2008, al materializarse el riesgo reputacional tras la pérdida de imagen y confianza hacia la banca norteamericana principalmente, que desencadenó la crisis hipotecaria global en los mercados financieros por las “hipotecas basura” (2008-2015).

Las FinTech, al tratarse de empresas de nueva creación, nacen con estructuras esbeltas y modelos de negocio adaptados a las nuevas circunstancias que está demandando el mercado: agilidad, flexibilidad, comodidad, privacidad, seguridad, precios bajos, pero, sobre todo, el aprovechamiento de los cuatro pilares fundamentales de las tecnologías de la información y la comunicación en la actualidad: la Nube, el BigData y la Analítica, las Redes Sociales y la Movilidad.

La tecnología de estas nuevas empresas podría en un futuro sustituir la existencia misma de los bancos en alguno de los clásicos servicios bancarios, como el otorgamiento de crédito, la recepción y dispersión de dinero o el acceso a la financiación.

Las FinTech no son empresas que tengan como propósito acabar con los bancos. Son compañías con accionistas y objetivos de negocio que pueden sobrevivir y escalar su actividad si consiguen asociarse con las entidades bancarias. Lo que se está observando en varias partes del mundo es una creciente colaboración entre el sector bancario y el sector FinTech para aportarse valor complementario mutuamente.

Las FinTech son consideradas como una modalidad de -startups- orientadas a las finanzas. Una startup es una empresa pequeña o mediana, de creación reciente, normalmente vinculada con el mundo tecnológico. Al apoyarse en la internet y las redes sociales consiguen más fácilmente acercarse a prospectos y obtener su confianza. Contrario a lo que ha pasado con el sector bancario, que se le percibe como el principal generador de las crisis financieras y que suelen recibir mucha ayuda pública para su rescate.

En realidad, la verdadera amenaza para los bancos no son las FinTech, sino los nuevos hábitos de los usuarios que desean mejores experiencias de atención, servicio, seguridad y precio ante las expectativas frustradas por los modelos del negocio bancario basados en prácticas tradicionales, lentas y caras.

Por el lado de los consumidores de las FinTech (prospectos y clientes), en su mayoría provienen de la generación de los millennials: personas nacidas entre los años 1985 y 1995. Jóvenes de entre 30 y 35 años que se hicieron adultos tras el primer lustro del milenio, en plena prosperidad económica, pero antes de la crisis del 2008.

Los millennials son nativos digitales, han crecido en la era de la internet, los teléfonos inteligentes y las redes sociales. Usan dispositivos móviles para cualquier aspecto de su vida y no entienden el ambiente laboral, de ocio o de relación si éstos no se canalizan por estas vías tecnológicas. Son críticos y exigentes, particularmente en cuanto a su experiencia como usuarios del medio digital que les es habitual. Valoran más compartir que poseer. Este es, al momento, el perfil del principal prospecto y/o cliente de las FinTech. Sin embargo, los llamados inmigrantes digitales que pertenecen a la denominada generación X y también la reciente generación Z, cada vez más incursionan en el ambiente de las FinTech con orientación financiera.

México, aspira a generar una cultura FinTech y a convertirse en la capital de este sector en la región latinoamericana al emitir una ley que promete ser de las más completas que existen en el mundo.

Esta norma legal, además de promover una competencia justa en el sector FinTech, preservar la estabilidad financiera y brindar confianza y seguridad a los clientes, tiene como una consideración importante, proteger las operaciones contra el lavado de dinero y el financiamiento al terrorismo, contemplando la implementación de un “enfoque basado en riesgo”, como lo sugieren las mejores prácticas de prevención y control.

Desde el punto de vista de riesgos operacionales y amenazas significativas para las FinTech, es el lavado de dinero y el financiamiento al terrorismo los que despiertan una importante preocupación en virtud de que no existe la obligación de cumplir con el principio básico de conocimiento del cliente, como lo marca el Grupo de Acción Financiera (GAFI) en una de sus 40 recomendaciones (40R). Por fortuna, en la exitosa propuesta de ley que ha encabezado la organización FinTech México, este aspecto es una de las grandes aportaciones para mitigar dicho riesgo y otros relacionados con comportamientos fraudulentos y los incidentes que afectan la seguridad de la información, referidos en las 40R del GAFI, sobre todo, tomando en cuenta que en las FinTech de orientación financiera, se transita del clásico enfoque de “Know your Customer” al de “Know your Data”.

Las FinTech han creado nuevas soluciones financieras, pero también requieren cubrir aspectos como la prevención del fraude, la protección de activos de información y la ciberseguridad. Las señas de identidad de estas startups con enfoque financiero son claras: planteamientos tecnológicos innovadores y eficiencia para proporcionar al consumidor mejores experiencias a crecientes exigencias, de entre ellas, la de tener eficaces mecanismos de prevención del fraude interno y externo, así como una apropiada selección y evaluación del personal que las integra, toda vez que se tiene acceso a datos sensibles personales y de cuentas bancarias.

En México, el 5 de diciembre de 2017 el Senado de la República aprobó la Ley para Regular las Instituciones de Tecnología Financiera (Ley FinTech), a fin de normar la prestación de servicios financieros ofrecidos o realizados por innovaciones tecnológicas. El uso de medios electrónicos o de cualquier otra tecnología se puede pactar con el cliente a través de contratos, cuya firma puede ser autógrafa o electrónica. Faltan afinar algunos detalles para resolver posibles controversias legales con el tema de la firma digital, situación que seguramente se resolverá en los siguientes meses.

Cinco medidas de fortalecimiento de la ciberseguridad para las FinTech

El 23 de octubre del 2017 la Secretaría de Hacienda y Crédito Público (SHCP) y la Comisión Nacional Bancaria y de Valores (CNBV) anunciaron que el sistema financiero mexicano impulsará cinco principios básicos para fortalecer la ciberseguridad y dar mayor protección a los usuarios del sistema y sus integrantes:

  1. Adoptar y mantener políticas, métodos y controles para identificar, evaluar, prevenir y mitigar los riesgos de ciberseguridad.
  2. Establecer mecanismos seguros para el intercambio de información entre los integrantes del sistema financiero y las autoridades. Esta información debe contener detalles sobre ataques ocurridos en tiempo real, estrategias de respuesta y nuevas amenazas, así como resultado de investigaciones y estudios que permitan a las entidades anticipar acciones para aminorar los riesgos de ciberataques.
  3. Impulsar iniciativas para actualizar los marcos regulatorios y legales que den soporte y hagan converger acciones y esfuerzos de las partes, considerando las mejores prácticas y acuerdos internacionales.
  4. Colaborar en proyectos para fortalecer los controles de seguridad de los distintos componentes de la infraestructura y plataformas operativas que soportan los servicios financieros del país, promoviendo el aprovechamiento de las tecnologías de la información y hacer un frente común ante las amenazas presentes y futuras.
  5. Fomentar la educación y cultura de prevención y ciberseguridad entre los usuarios financieros y el personal de las propias entidades.

En el sector FinTech una acción estratégica es evitar el riesgo de fraude interno y externo. Se necesita involucrar a todo el equipo de la organización para realizar ejercicios de identificación, mitigación y control de riesgos operacionales como el fraude interno y externo.

El desarrollo de entrevistas focalizadas a las personas que mejor dominan los procesos operativos, visitas de revisión e inspección a las instalaciones, sesiones de sensibilización sobre la problemática del fraude que describa los principales modelos y prácticas que favorecen la prevención, son aspectos que deben también formar parte de las iniciativas y compromisos de los directivos y socios.

Un tema medular es la evaluación de honestidad de los integrantes. La implementación de una política de control de confianza debiera ser parte del primer esfuerzo para fortalecer la prevención y la seguridad interna.

En materia de ciberseguridad para las FinTech, además de la conveniencia de realizar pruebas de penetración a la red y a la plataforma tecnológica donde operen, es imperativa la concientización de todos sus colaboradores para complementar la prevención temprana de fraudes por robo de identidad y de ataques con malware como el phishing y el ransomware, así como aplicar una detección proactiva y en tiempo real de planes sofisticados de fraude entre los canales móviles y el entorno web, antes de que se operen transacciones de aprobación de contratos de cuenta y de dispersión de recursos.

Un conocimiento adecuado de modalidades de “ingeniería social” cometidas a través de cuentas de correo electrónico, conversaciones telefónicas en los Contact Center, e incluso, visitas personales de supuestos prospectos o clientes a las propias oficinas donde opera un FinTech es una medida preventiva eficaz que complementa acciones de autenticación sobre la identidad de personas.

Asimismo, para fortalecer la prevención temprana y la detección proactiva que mitigue fraudes internos por vulnerabilidades existentes en cuanto a la fuga de información o divulgación inadvertida de datos de clientes, o cualquier información propietaria y sensible, es conveniente se implementen soluciones tecnológicas que permitan detectar oportunamente cambios, modificaciones, alteraciones o extracciones no autorizadas en los activos de información.

Las tecnologías avanzadas para la detección de fraudes en tiempo real entre canales se orientan esencialmente a cubrir cuatro aspectos:

  • Detección de malware sin clientes. Esto es, verificar si una maquina está infectada con malware sin que exista la necesidad de software adicional del lado del usuario.
  • Análisis del comportamiento. Se refiere a observar la actividad de un usuario en el inicio de sesión analizando los patrones de navegación para establecer un perfil de comportamiento normal, contra la detección de cualquier actividad sospechosa.
  • Biometría del comportamiento. Analiza las interacciones únicas de un usuario con su dispositivo, como los movimientos del mouse, clics, toques, velocidad de deslizamiento para detectar si un dispositivo está siendo utilizado o no por su legítimo usuario.
  • Análisis de dispositivos y ambientes. Algunas soluciones tecnológicas permiten potenciar la detección de fraudes cuando el propósito es la autenticación de un usuario con base en el ID global del dispositivo, la dirección IP, la reputación de ubicación y cualquier tipología o atributo marcado como actividad fraudulenta.

Finalmente, se ha demostrado en los últimos 10 años que contar con un código de ética y una línea de denuncia en las organizaciones, fortalece la detección proactiva y la prevención temprana de fraudes.

Las FinTech son una industria naciente pero en un proceso evolutivo constante donde las empresas usan las tecnologías de información y comunicación con la meta de brindar servicios financieros de manera eficiente, ágil, cómoda, accesible, confiable y segura, de tal forma que para mitigar y evitar riesgos y amenazas de naturaleza criminal, lo imperativo es la gestión y tratamiento de dichos riesgos y amenazas poniéndolos en el radar de especialistas que contribuyan con sus conocimientos, experiencia y buenas prácticas en la aplicación de las triadas “prevenir-detectar-responder” y “proteger-defender- anticipar”, esto es parte también de la asignatura que conforma la ciberseguridad, pero desde la perspectiva de tareas analíticas en el campo de la ciberinteligencia.

La exitosa asociación FinTech México podría conformar un grupo de trabajo interno que incluya entre sus actividades por desarrollar y a la vez especializarse, en los siguientes temas:

  • Prevención del fraude
  • Ciber Seguridad y Ciber Inteligencia
  • PLD/FT
  • Protección de Información
  • Control de Confianza, filtros de probidad y ética.

Al final del día, el sector FinTech, además de innovar y mantener una buena madurez tecnológica, debe también innovar y desarrollar una madurez organizacional para la prevención del fraude y la ciberseguridad. No sólo es importante tener una apropiada infraestructura inmobiliaria y una apropiada infraestructura tecnológica, sino mantener como imperativo, una efectiva infraestructura ética.

Carlos Ramírez, CPP
ASIS International
Investigations Council
CEO PRISMA LATAM

Las posiciones expresadas en este documento no necesariamente son un reflejo de la posición de la institución en la que trabaja el autor.

Las opiniones reflejadas en este artículo son de exclusiva responsabilidad del autor y no reflejan necesariamente la posición oficial de SmartSoft S.A.

11/10/2018
Artículos de Interés