Utilizar la inteligencia de los dispositivos móviles para reducir el riesgo de delitos financieros

El coste del fraude en el Reino Unido supera los 190.000 millones de libras al año, según los últimos datos de la National Crime Agency. La ciberdelincuencia también ha alcanzado niveles récord al aumentar los servicios en línea durante los cierres por pandemia de los últimos años.

Los residentes británicos tienen más probabilidades de sufrir ciberdelincuencia que cualquier otra actividad delictiva. Se ha llegado a decir que el Reino Unido es la«capital mundial de la estafa bancaria«.

El fraude a través de dispositivos móviles es una forma fácil para los ciberdelincuentes de robar sus datos y evitar repercusiones, en comparación con los tipos tradicionales de actividad fraudulenta. El fraude móvil en particular ha aumentado un 83% desde 2020, según los informes de los consumidores.

Este artículo repasará parte de la información importante que necesita para ayudar a mitigar el riesgo de fraude y delitos financieros mediante la inteligencia de dispositivos móviles.

¿Qué es la inteligencia de dispositivos móviles?

La inteligencia de dispositivos móviles es un sofisticado método de identificación y verificación. Utiliza software y puntos de datos API para detectar fraudes a través de números de teléfono móvil con fines de prevención y detección activas.

La mayoría de los métodos de seguridad estándar son pasivos, como:

• Contraseñas
• Autenticación multifactor
• Biometría
• Cifrado
• CAPTCHAs
• Verificaciones por correo electrónico o SMS

 

A diferencia de los métodos de seguridad pasivos, la inteligencia móvil analiza activamente la identidad de su dispositivo para encontrar patrones de análisis en los datos y comportamientos móviles, similares a una huella digital. En otras palabras, la inteligencia móvil «aprende» el comportamiento esperado de un dispositivo. Esto le permite detectar rápidamente el fraude digital que utiliza comportamientos anómalos.

¿Qué es la huella digital?

Cada usuario de tecnología tiene una huella digital única. Esto incluye tanto su información personal como sus pautas de comportamiento en línea.

Dejas un rastro de huella digital cada vez que utilizas un dispositivo conectado para realizar actividades en línea. Las huellas digitales pueden ser las acciones que realizas o los datos pasivos que produces.

Una huella digital activa es cualquier información que envías conscientemente en línea. Esto puede incluir:

• Envío de correos electrónicos
• Publicación en redes sociales
• Compartir vídeos y fotos
• Uso de funciones y aplicaciones de chat en línea
• Rellenar formularios en línea
• Crear cuentas en línea
• Instalación de cookies en su navegador
• Geolocalización

 

Una huella digital pasiva son los datos que recogen las empresas, con o sin su conocimiento. Aunque en el pasado se ha descubierto que muchas empresas tienen un enfoque algo relajado de la normativa, el Reglamento General de Protección de Datos (RGPD ) de la UE pretende limitar los datos recopilados sin su consentimiento, aumentando la transparencia en línea.

Los datos de la huella digital pasiva incluyen:

• Datos de uso de las redes sociales
• Historial de navegación
• Historial de acciones en línea (clics, desplazamiento, etc.)
• Direcciones IP
• Identidad(es) del dispositivo
• Cookies instaladas sin su conocimiento
• Funciones de geolocalización

 

Los datos de su identidad personal también forman parte de su huella digital, y son la parte más importante para los ciberdelincuentes. Sus datos personales incluyen:

• Nombre completo y dirección
• Cumpleaños
• Información bancaria
• Números de tarjetas de crédito y débito
• Nombres de usuario y contraseñas
• Información sensible, como historiales médicos

 

Estos datos son una mina de oro potencial para los ciberdelincuentes y están en el centro de los procesos de incorporación digital a una serie de servicios financieros. Desde el acceso a cuentas bancarias en línea hasta la solicitud de préstamos e incluso transacciones de mayor envergadura, como hipotecas.

¿Cómo funciona la inteligencia de dispositivos móviles?

Los ciberdelincuentes recurren a métodos cada vez más sofisticados e intrusivos para robar los datos de los usuarios. Esto puede incluir el uso de puntos de acceso irregulares o la realización de conductas irregulares en sus cuentas para acceder a información financiera u otra información privada.

La inteligencia de dispositivos móviles es un conjunto de señales sólidas de números y dispositivos móviles. Existen numerosas señales que pueden apostar por recopilar inteligencia telefónica, siempre utilizando conjuntos de datos de confianza, como reguladores, proveedores de datos de terceros de confianza y proveedores de red. Estas señales pueden incluir el tiempo que un usuario ha tenido su número de teléfono móvil, si está activo, si se utiliza en el dispositivo esperado y si coincide con el nombre y la dirección que ha proporcionado.

El uso sistemático del dispositivo móvil por parte del usuario se compara con cualquier comportamiento irregular. Gracias a este análisis comparativo, el fraude digital se identifica rápida y fácilmente.

Ventajas de la inteligencia de dispositivos móviles

El número de teléfono móvil de una persona es una de las fuentes de datos más duraderas y coherentes asociadas a ella, lo que significa que se puede confiar más en él que en la información de verificación tradicional, como la dirección de correo electrónico o la ubicación física.

Esto también es útil cuando se trata de las obligaciones de una institución financiera para detectar el fraude de cuentas, dado que un punto de datos coherente reduce la fricción y puede supervisarse de forma proactiva. Por ejemplo, si un dispositivo móvil cambia de país o de red, esto puede identificarse mediante la verificación del número de móvil.

Validación en tiempo real

La verificación de dispositivos móviles funciona con datos de red en tiempo real. No existe un conjunto de datos global que cubra los números de teléfono móvil, por lo que nuestra API de búsqueda de móviles valida rápidamente el número consultado en las distintas bases de datos de redes móviles. Este proceso también puede integrarse directamente y sin problemas en su proceso de incorporación digital existente.

Reducir la fricción

Incluso pequeños cambios en su proceso de incorporación pueden tener un impacto negativo en sus tasas de conversión de inscripciones o solicitudes. Si tomamos el ejemplo de enviar una fotografía para compararla con un documento de identidad, esto requiere que el usuario haga una foto y también escanee/cargue una imagen de un documento físico.

En comparación, la inteligencia de dispositivos móviles integrada en el proceso existente es una comprobación de datos totalmente pasiva, que se realiza en milisegundos cuando el usuario envía su información. Nuestro tiempo medio de respuesta para la búsqueda de datos es de sólo 5 ms.

Protección contra la apropiación de cuentas

Cada una de las cuentas de sus clientes corre el riesgo potencial de ser pirateada y utilizada con fines malintencionados. Mobile Device Intelligence le permite seguir controlando la actividad de la cuenta, de nuevo en tiempo real. La ventaja de esta supervisión proactiva es que puede aumentar la fricción de forma variable, sólo en los momentos en los que espera actividad fraudulenta en la cuenta, sin que ello afecte a la experiencia general del cliente.

Riesgo de fraude para las entidades financieras

La tecnología financiera ha aumentado los riesgos de fraude. Esto se debe a varios factores:

• Acceso a distancia
• Soluciones tecnológicas emergentes/en evolución
• Interconexión internacional
• Vulnerabilidades de los clientes
• Almacenamiento digital de datos

 

El coste del fraude es sin duda elevado para los consumidores. Pero resulta más costoso para las instituciones financieras que pagan el precio del fraude y la gestión proactiva mediante sistemas de prevención del fraude. La prevención del fraude entra dentro de los requisitos contra el blanqueo de capitales (AML) para las instituciones financieras. En el Reino Unido, los costes de cumplimiento de la normativa en materia de lucha contra el blanqueo de capitales ascienden a una media de 28.700 millones de libras esterlinas al año.

Fintech, fraude digital y cumplimiento de la normativa contra el blanqueo de capitales

La lucha contra el blanqueo de capitales se refiere tanto a la normativa como a los procesos utilizados para combatir las actividades fraudulentas y los fondos asociados o dinero «sucio». Dinero sucio es cualquier dinero generado a partir de actividades delictivas, incluyendo:

• Tráfico de drogas
• Trata de seres humanos
• Terrorismo
• Robo
• Malversación
• Fraude
• Soborno y extorsión

 

Los delincuentes suelen intentar blanquear grandes sumas de dinero negro para convertirlas en dinero «limpio» o legítimo. El objetivo es realizar ingresos y transferencias sin que se detecten actividades sospechosas.

Los delincuentes encuentran formas creativas de eludir los sistemas de detección y prevención del fraude para blanquear dinero. El fraude digital ha abierto nuevas vías que los delincuentes pueden explotar. Esto incluye estructurar depósitos, reclamar ingresos procedentes de delitos como ingresos falsos y realizar complejas transferencias de dinero.

Fraude y CSC

Los requisitos de Conozca a su Cliente (CSC) son un componente importante de la lucha contra el blanqueo de capitales. El CSC exige a las instituciones financieras y empresas relacionadas que verifiquen la identidad de los clientes para garantizar su legitimidad. El CSC es necesario para dar de alta a los clientes y establecer una relación comercial. Utiliza técnicas de identificación y verificación para:

1. Verificar la identidad de un cliente
2. Aceptar/rechazar las solicitudes de los clientes
3. Controlar el comportamiento continuo de los clientes
4. Evaluar los riesgos de posibles conductas delictivas

La tecnología KYC ayuda a mitigar el fraude y el blanqueo de dinero a través de estos métodos. Los tipos de fraude incluyen el fraude de devolución de cargos, el fraude en la solicitud de préstamos y el fraude de identidad.

¿Qué es el fraude por devolución de cargo?

El fraude por devolución de cargo se produce cuando los clientes impugnan cargos legítimos a su entidad financiera. Solicitan el reembolso a través de su banco en lugar del proveedor del servicio/producto.

Para iniciar el fraude de devolución de cargo, los clientes pueden alegar falsamente:

• En realidad, nunca compraron los servicios o productos.
• Nunca recibieron servicios ni productos.
• Los productos y servicios que recibieron eran defectuosos o incompletos.

 

El fraude por devolución de cargo tiene éxito cuando las entidades financieras y los comerciantes no se comunican. Deben verificar las reclamaciones entre sí.

Si la entidad financiera no investiga y el comerciante no impugna la reclamación, los clientes reciben básicamente productos y servicios gratis.

¿Qué es el fraude en las solicitudes de préstamo?

El fraude en la solicitud de préstamos puede adoptar muchas formas. Esto incluye el uso de información robada o el fraude de identidad para presentar la solicitud. Los préstamos de día de pago son vulnerables al fraude en la solicitud de préstamos, ya que tienen normas de cualificación más laxas.

El fraude en la solicitud de préstamos es especialmente costoso para las entidades financieras. Los préstamos hipotecarios y los préstamos iniciales falsos pueden generar pérdidas de seis cifras por incidente. El Reino Unido perdió casi 5.000 millones de libras en fraudes relacionados con préstamos COVID después de que los bancos suavizaran sus requisitos KYC. Esto incluía prestar dinero a conocidos delincuentes previamente condenados por blanqueo de capitales.

¿Qué es el fraude de identidad?

El fraude y el robo de identidad están interrelacionados. El robo de identidad se refiere al robo de información personal identificable. El fraude de identidad es el proceso de utilizar esa información para asumir su identidad o crear una identidad falsa a partir de sus datos.

La usurpación de identidad es el mayor coste del fraude para las víctimas individuales. Actualmente supone 5.400 millones de libras de los 9.700 millones anuales.

Existen varios tipos de fraude de identidad, que ya se han adaptado a los dispositivos móviles. Los datos de usurpación de identidad utilizados para perpetrar el fraude de identidad se producen a través de estafas habituales con dispositivos móviles, como el phishing por SMS.

Tipos de fraude de identidad

Los ciberdelincuentes tienen muchas formas creativas de cometer fraudes digitales. Los dispositivos móviles ofrecen una gran oportunidad para el fraude y el robo de identidad.

Los consumidores utilizan los dispositivos móviles más que cualquier otro método en línea y esto es cada vez más cierto para las transacciones financieras de todos los tamaños. A su vez, esto significa que todos sus datos personales, financieros y otra información sensible están ahí mismo, en su dispositivo móvil.

¿Qué es el fraude por apropiación de cuentas?

El fraude por apropiación de cuentas (ATO) se produce cuando los ciberdelincuentes obtienen sus credenciales de acceso, como nombres de usuario y contraseñas. A continuación, utilizan estas credenciales robadas para controlar su(s) cuenta(s).

Esto puede incluir:

• Cuentas de tarjeta de crédito
• Cuentas bancarias
• Cuentas de prestaciones públicas
• Cuentas de compras en línea
• Cuentas en redes sociales
• Cuentas de correo electrónico
• Cuentas de teléfono móvil

 

Cuando los delincuentes se apoderan de su número de teléfono móvil, pueden utilizarlo para enviar y recibir mensajes de texto, correos electrónicos o llamadas telefónicas haciéndose pasar por usted. Esto les permite potencialmente entrar en otras cuentas conectadas a su dispositivo móvil.

Por ejemplo, alguien que haya cometido con éxito un fraude a la ATO con su número de móvil puede utilizarlo para restablecer la contraseña de su cuenta bancaria. Pueden elegir que el código de verificación por SMS del banco se envíe al número vinculado a la cuenta -tu número- que ahora controlan.

Ahora pueden permitirse el lujo de crear una nueva contraseña y acceder a sus finanzas sin que su banco se entere. El fraude ATO utiliza estafas de phishing, malware o técnicas de fraude como el intercambio de SIM y la portabilidad de números de teléfono. Tanto los consumidores como las empresas son vulnerables al fraude de la ATO.

¿Qué es el fraude SIM?

Las tarjetas SIM (Módulo de Identificación de Abonado) almacenan tus datos móviles, como contactos y mensajes de texto. También tienen componentes importantes para la identidad de los dispositivos móviles:

• Identidad internacional de abonado móvil (IMSI)
• Identificador de tarjeta de circuito integrado (ICCID)
• Clave de autenticación (para el cifrado)

 

Las tarjetas SIM son, por tanto, muy lucrativas para los ciberdelincuentes. El fraude de SIM puede producirse mediante el intercambio o la clonación de SIM.

1. Intercambio de SIM

Los ciberdelincuentes que obtienen tu información personal pueden intentar un intercambio de SIM. El intercambio de tarjetas SIM se produce cuando un delincuente con tus datos personales convence a tu proveedor de red para que «cambie» tu número de teléfono a un nuevo dispositivo con una nueva tarjeta SIM.

Una vez realizado el intercambio, pueden acceder a la información personal de tu teléfono y controlarla. Esto abre vías al fraude ATO para cualquier cuenta bancaria y de compra en línea conectada a su dispositivo móvil.

El intercambio de tarjetas SIM es especialmente difícil de detectar, ya que utiliza información real y el proceso legítimo de cambiar los números de los clientes a una nueva tarjeta SIM. Los operadores de servicios deben vigilar especialmente el intercambio de SIM.

2. Clonación de SIM

La clonación de SIM es similar al intercambio de SIM. Sin embargo, en lugar de portar tu número de teléfono, el intercambio de SIM hace una copia completamente nueva de tu tarjeta SIM.

Esto puede lograrse utilizando herramientas de clonación en la tarjeta SIM física. Los ciberdelincuentes también pueden piratear a distancia la señal cifrada de tu tarjeta SIM o desviar información de la misma mediante malware y kits de herramientas.

Al igual que ocurre con el intercambio de SIM, el delincuente se hace con el control de la identidad de tu dispositivo. Todos los datos de tu dispositivo de confianza pasan de tu control al control de ellos.

¿Qué es el fraude de la portabilidad?

El fraude de la portabilidad telefónica es similar al intercambio de SIM. Sin embargo, en lugar de cambiar su número de teléfono a un nuevo dispositivo, los ciberdelincuentes convencen a su proveedor de red actual para que cambie su número a un nuevo proveedor de red.

¿Qué es el fraude de abonados?

El fraude de abonado utiliza su información personal para abrir una cuenta fraudulenta en un dispositivo móvil. Cualquier deuda contraída utilizando el dispositivo se conecta entonces a su identidad personal. El fraude de abonados también puede utilizarse para llevar a cabo actividades ilegales, como el tráfico de drogas y el robo. Las fuerzas de seguridad pueden rastrear la identidad del dispositivo hasta usted. Esto significa que las víctimas de deudas fraudulentas también pueden tener acciones legales potenciales contra ellas por delitos que no cometieron.

¿Qué es el fraude de identidad sintético?

El fraude de identidad sintética es una forma de usurpación de identidad. Sin embargo, en lugar de robar toda su identidad, los ciberdelincuentes combinan información real y falsa para crear una nueva pseudoidentidad.

Por ejemplo, un estafador puede emparejar su número nacional de seguro real (NINO) con un nombre, dirección y fecha de nacimiento falsos. Se crea así una nueva identidad falsa que parece legítima a primera vista para cualquier entidad que requiera información NINO.

Esta identidad falsa puede entonces solicitar préstamos, créditos y cuentas financieras con su número de identificación fiscal. Desaparecerán cuando venzan las facturas, dejándote a ti y a las entidades financieras lidiar en su lugar con tu destrozado historial financiero.

El fraude de identidad sintética es costoso tanto para las víctimas como para las entidades financieras. Los ciberdelincuentes que cometen esta forma de fraude digital también son difíciles de localizar.

¿Qué es el fraude wangiri?

Una forma diferente de fraude, el Wanigiri puede costarle dinero directamente sin necesitar más información que su número de teléfono. Esta estafa tiene su origen en Japón, ya que Wanigiri significa «un anillo y un corte» en japonés.

El fraude de una sola llamada se produce cuando los ciberdelincuentes llaman a números internacionales de teléfono móvil y cuelgan después de una llamada. Muchas personas devolverán la llamada para averiguar por qué se han puesto en contacto con ellos.

La devolución de llamada se cobra a una tarifa elevada. Cuanto más tiempo permanezca la víctima en la línea, más lucrativo será el fraude. Los estafadores emplean múltiples técnicas para evitar que las víctimas cuelguen, como decirles que esperen a recibir más información o a hablar con un interlocutor.

Otras técnicas habituales de fraude a través del teléfono móvil

Antes de que los ciberdelincuentes puedan utilizar su dispositivo móvil para el fraude de identidad, necesitan su información personal. Además de la piratería y el malware, los delincuentes disponen de muchas formas probadas de obtener datos personales de su dispositivo móvil.

1. Suplantación de identidad en teléfonos móviles

La suplantación de identidad utiliza varias técnicas para eludir el identificador de llamadas en los dispositivos móviles. Los suplantadores de identidad camuflarán su número como un número local o incluso de una empresa o gobierno para que parezca que alguien legítimo se pone en contacto con usted.

Una vez que conteste al teléfono, se harán pasar por un agente legítimo e intentarán obtener información personal como números de cuenta, números de identificación fiscal o datos de acceso.

2. Bluesnarfing

Los dispositivos móviles con capacidades Bluetooth son vulnerables a la técnica bluesnarfing. Los ciberdelincuentes pueden utilizar el Bluetooth público para secuestrar tu conexión y desviar todos e incluso todos los datos almacenados en tu dispositivo.

3. Phishing por SMS

El phishing por SMS es la versión para teléfonos móviles de las estafas de phishing tradicionales. Los ciberdelincuentes envían mensajes de spam a su teléfono con la esperanza de obtener información personal a través de sus respuestas.

Según los expertos en marketing, es más probable que la gente abra los mensajes de texto (98%) que los correos electrónicos (20%), lo que hace que el phishing por SMS sea especialmente lucrativo.

¿Cómo reduce el fraude la inteligencia de dispositivos móviles?

Todos los diferentes tipos de fraude enumerados anteriormente se basan en el número de teléfono móvil de un cliente como columna vertebral de los medios de acceso para cometer el fraude. Por lo tanto, realizar la verificación de datos a través de un número de móvil en comparación con una dirección de correo electrónico u otro método más tradicional proporciona una garantía adicional.

Esto se debe a que se llevan a cabo muchas más comprobaciones a través de este proceso, incluso contra bases de datos de terceros de reguladores, proveedores de datos de terceros de confianza y redes móviles.

Por lo general, el fraude digital se produce fuera de la vista tanto de los consumidores como de las empresas. Cuando se percatan de una actividad fraudulenta, es porque los ciberdelincuentes ya han obtenido sus beneficios.

La inteligencia de los dispositivos móviles combina el aprendizaje dinámico con el tiempo de respuesta computacional. El resultado es un sistema de prevención del fraude más rápido, escalable y productivo que se añade a las protecciones de seguridad existentes en su proceso de incorporación digital.

Protección contra la apropiación de cuentas

La inteligencia de dispositivos móviles añade otra capa a la protección contra la apropiación de cuentas. La protección de la ATO utiliza sistemas de inteligencia para supervisar las cuentas y analizar las transacciones sospechosas y otros comportamientos de alto riesgo.

Cuando se produce una actividad sospechosa, la inteligencia móvil puede ayudar a notificárselo antes de que los ciberdelincuentes puedan acceder a la información de las cuentas de sus usuarios. También puede ayudar a identificar los puntos utilizados por los delincuentes para intentar acceder.

Prevención del fraude SIM-Swap

La inteligencia de dispositivos móviles reduce el fraude manteniendo las huellas digitales seguras y actualizadas. La inteligencia de los dispositivos móviles puede aumentar la prevención del fraude de sim-swap, por ejemplo, verificando el historial de localización de un usuario con la nueva localización del dispositivo solicitada.

Si la ubicación coincide con patrones de huellas anteriores, se reducen las posibilidades de falsos positivos. Sin embargo, si hay un comportamiento anómalo detrás de la solicitud, la inteligencia móvil puede hacer sonar la alarma antes de que los ciberdelincuentes tengan tiempo de realizar el fraude ATO a través de la verificación por SMS.

Detección del fraude en las solicitudes de préstamo

La inteligencia de los dispositivos móviles combinada con las solicitudes de préstamos puede detectar patrones tanto en el historial del solicitante como en la actividad fraudulenta conocida. También puede verificar si se han intentado varias solicitudes fraudulentas utilizando la misma información junto con otros marcadores clave dejados por la actividad irregular de la cuenta.

Esto también reduce el tiempo y el esfuerzo necesarios para las investigaciones en curso, al tiempo que añade más precisión a sus procesos de validación inicial. También reduce la fricción con el cliente en el caso de las solicitudes legítimas que coinciden con patrones anteriores y tienen umbrales de bajo riesgo.

Análisis de TMT para sus soluciones de inteligencia móvil

El fraude es un problema caro y que consume mucho tiempo, tanto para los consumidores como para las empresas. La identidad de su dispositivo móvil depende de soluciones dinámicas de inteligencia móvil para mantenerlo seguro.

Hable con nuestro experimentado equipo de inteligencia de dispositivos móviles para obtener más información sobre cómo se puede integrar perfectamente la autenticación adicional en su proceso de incorporación existente.