Los equipos de riesgo y fraude digital parecen estar atrapados en un juego perpetuo de ponerse al día. Cada cinco a 10 años, aparece una nueva tecnología que nos da una ventaja, hasta que los piratas informáticos y los estafadores evolucionan, y así se repite el ciclo.
Ahora se encuentran en otra encrucijada. La mitad (46%) de las organizaciones globales dicen que han experimentado fraude en los últimos dos años. Y en el Reino Unido, las pérdidas en tarjetas superaron los 272 millones de libras esterlinas solo en la primera mitad de 2022.
Se necesita un nuevo enfoque para reemplazar las herramientas ineficientes y de alta fricción que se basan en datos de interacciones “punto en el tiempo”, con una orquestación continua de riesgos digitales. La clave para gestionar con éxito el riesgo en este nuevo panorama será la capacidad de analizar los recorridos completos de los usuarios en lugar de los eventos aislados.
La primera década de la era moderna de la prevención del fraude comenzó alrededor del año 2000. En ese entonces, los sistemas eran locales y estaban basados en hardware, tenían largos ciclos de actualización y dependían de la dirección IP y los registros del servidor web. El uso de la IA era limitado y rara vez se compartían los datos de riesgo y fraude, lo que perpetuaba una visión desconectada del cliente.
En 2010, el software como servicio (SaaS) y los servicios centrados en la interfaz de programación de aplicaciones comenzaron a aparecer en la inteligencia compartida apalancada en las redes globales. La identificación de dispositivos ayudó a los equipos a comprender mejor el comportamiento digital de los usuarios, mientras que la aparición de proveedores de autenticación y detección de bots reforzó aún más los esfuerzos para reducir el riesgo.
Las ofertas de fraude y seguridad fueron más allá de las simples decisiones basadas únicamente en reglas a actualizaciones de modelos más dinámicas y modelos de autoaprendizaje para tipologías de fraude específicas. La dirección del viaje fue hacia una mejor comprensión y modelado de los buenos comportamientos de los clientes, aunque los sistemas aún no podían detectar con precisión el fraude propio, las mulas de dinero y las víctimas de estafas.
Hoy, nos encontramos al comienzo de una nueva era de iluminación, con el potencial de cumplir la promesa de unificar los equipos de fraude y seguridad a través de un único motor de decisiones centralizado que puede ver todo el viaje del cliente y unir los puntos entre cada interacción en línea. Los sistemas deben presentar un alto grado de configurabilidad, actualizaciones de características rápidas y frecuentes, y decisiones de riesgo dinámicas y en tiempo real basadas en una mejor comprensión del comportamiento y la intención del usuario.
Por qué está fallando el ‘punto en el tiempo’
Sin embargo, la realidad para la mayoría de los equipos de riesgo es muy diferente a esta visión de la próxima década. De hecho, la mayoría trabaja con herramientas de primera o segunda generación que no hacen nada para eliminar las barreras para compartir información entre los equipos. Si bien los equipos de seguridad tienden a tener visibilidad de todo el tráfico, carecen del contexto de los servicios de fraude que ven lo que sucede en momentos específicos. El conocimiento profundo y el contexto a lo largo de los recorridos completos del cliente es el santo grial que a menudo es evadido por las ofertas heredadas de “punto en el tiempo”.
Además, estos sistemas son actualmente demasiado fáciles de eludir para los estafadores, equipados con herramientas para suplantar a los usuarios con una precisión cada vez mayor y software automatizado que puede escalar rápidamente los ataques y la prueba de identidades. Sobre todo, tienen un enorme volumen de datos robados a los que recurrir para secuestrar cuentas, abrir nuevas líneas de crédito y realizar pagos fraudulentos. También son expertos en engañar a los usuarios para que entreguen su información personal, o incluso para realizar pagos fraudulentos sin saberlo.
El resultado: las pérdidas por fraude y los volúmenes están aumentando. Los estafadores robaron más de 1.300 millones de libras esterlinas el año pasado en el Reino Unido, según la asociación comercial UK Finance. Es preocupante que más de 583 millones de libras esterlinas se debieron al fraude de pago automático autorizado (APP), que aumentó un 39 %. En estos casos, se engaña a la víctima para que realice un pago al estafador, que normalmente se hace pasar por un beneficiario legítimo.
La mayoría de las herramientas heredadas se esfuerzan por interrumpir este tipo de fraude que normalmente se ve facilitado por la ingeniería social compleja durante semanas o meses u ofrecen soluciones personalizadas que pueden interrumpir el proceso de pago de un cliente.
Centrándose en el viaje
El aumento en el fraude de aplicaciones ilustra perfectamente por qué necesitamos un enfoque más holístico para la prevención del fraude, centrado en todo el contexto de una transacción a lo largo de un viaje digital completo. Y aunque esto comienza con la persona que realiza el pago, también debe abarcar la inteligencia en torno al beneficiario y combinar esta inteligencia en un modelo de estafa que pueda ejecutarse en tiempo real durante los procesos de pago.
¿Cómo se ve esto en la práctica? Bueno, los bancos podrían ver si hubo interacciones inusuales o dudas durante el proceso de pago. La biometría del comportamiento podría detectar posibles signos de coerción. ¿Estaba la víctima hablando por teléfono mientras realizaba el pago? ¿El patrón de viaje y los detalles del beneficiario son típicos para esa víctima? ¿Es el viaje similar a los viajes de estafa anteriores?
El banco podría entonces evaluar la cuenta del beneficiario. ¿Cuánto tiempo ha estado abierto? ¿Es un tipo de cuenta de riesgo (es decir, criptomoneda)? ¿Ha recibido una gran cantidad de pagos de alto riesgo en el pasado reciente? Todo esto se puede hacer en milisegundos en segundo plano, sin impacto en la fricción del usuario. Las transacciones sospechosas podrían bloquearse por completo o los mensajes personalizados podrían insertarse dinámicamente durante el proceso de pago.
Otros ejemplos incluyen apropiación de cuenta o intentos de fraude de pago. Imagínese cuánto más fácil sería detectarlos si la organización pudiera realizar una verificación cruzada con un ataque de bot anterior que probó las credenciales de la víctima. Se trata de perfilar y recopilar datos de los viajes en línea de los usuarios, luego evaluar el riesgo contra la información sobre dispositivos, comportamiento, identidad, sesión y contenido.
Mejor comportamiento en general
Más datos de alta calidad de este tipo significan, en última instancia, una mejor toma de decisiones y una menor fricción para el cliente. De esta manera, el buen comportamiento del usuario puede establecerse como referencia a partir de recorridos históricos, de modo que incluso si un cliente realizó una compra “inusual”, tal vez por un artículo de alto valor, no se detendría si la IP, el dispositivo, la ubicación y el comportamiento todos los indicadores sugirieron bajo riesgo.
Los patrones de comportamiento confiables también podrían ser modelados por cohortes para que, incluso si un cliente es nuevo en un negocio, se reduzcan las posibilidades de que aumente su comportamiento inusual.
Las intervenciones, cuando son necesarias, pueden y deben realizarse en tiempo real, por usuario y potencialmente en cualquier punto del viaje del cliente. Esa es la manera de proteger la reputación y la lealtad del cliente mientras se minimizan las pérdidas por fraude.
Alisdair Faulkner es CEO y fundador de Darwinium, un proveedor de servicios de plataforma de protección al cliente de última generación. Antes de esto, cofundó y amplió el especialista en identidad digital ThreatMetrix antes de su adquisición multimillonaria por parte de LexisNexis Risk Solutions en 2018. Vive y trabaja en Sídney.