Los fraudes continúan aumentando a partir del uso de las nuevas tecnologías, generando pérdidas tanto para los usuarios como para las empresas. En busca de evitar este tipo de afectaciones negativas, nuevos controles o tecnologías de seguridad se desarrollan, incluso modificando paradigmas para comprender la topología actual del cibercrimen.
Uno de los enfoques más interesantes es la combinación de la tecnología de tarjetas con chip EMV y el estándar PCI, que define los requerimientos mínimos de seguridad de los datos que debe cumplir cualquier organización que transmita, procese o almacene información de tarjetas de pago. Así, se tiene en cuenta el cumplimiento con estándares al tiempo que se adopta tecnología.
El punto de partida para combatir los fraudes relacionados con las nuevas tecnologías es comprender que, en la actualidad, el cibercrimen tiene como propósito la obtención de réditos económicos, principal razón por la cual se mantiene en constante crecimiento. A partir de grupos organizados y especializados, los cibercriminales han comenzado a operar empresas, incluso con modelos y planes de negocio propios.
En este contexto, distintos sectores pueden verse afectados, pero sin duda el financiero ha resultado el de mayor rédito para los atacantes. Cuando se trata de afectar a las organizaciones y el patrimonio de los usuarios, los fraudes han resultado ser una vía muy recurrida por atacantes, especialmente los relacionados con el sistema bancario de tarjetas de crédito y débito.
Fraude con tarjetas bancarias, un negocio muy redituable para ciberdelincuentes
El fraude relacionado con tarjetas considera las actividades no autorizadas con sus tres tipos principales: débito, crédito o prepago. Lamentablemente existe un conjunto de amenazas y distintas vías por las cuales los atacantes pueden llevar a cabo sus acciones de manera efectiva. Por ejemplo, brechas de seguridad en las organizaciones, robo o pérdida de tarjetas, skimming, Ingeniería Social, ataques de phishing o el desarrollo y propagación de códigos maliciosos, por ejemplo PoS (Point of Sale).
Este abanico de posibilidades ha puesto como objetivo primordial la obtención de información financiera de los usuarios con el propósito de defraudarlos. En un estudio de reciente publicación se pone de manifiesto la problemática del fraude, con más de 2 mil de brechas de datos confirmadas durante 2015, y alrededor de cuatro mil millones de registros de datos robados desde 2013. Esto hace suponer que credenciales e información de tarjetas de usuarios alrededor del mundo han sido comprometidas.
De manera paralela, el mercado negro de información de los consumidores ha madurado a tal nivel que difícilmente puede distinguirse de una economía legítima. Por ello, desde hace años se vienen impulsando iniciativas para aumentar y mejorar los niveles de protección dentro de las organizaciones que emplean información financiera, desde estándares que definen buenas prácticas hasta la migración hacia nuevas tecnologías diseñadas de forma segura. En el mismo sentido, resulta relevante la aplicación de prácticas de seguridad por parte de los usuarios, en busca de mitigar los fraudes.
En este contexto, la seguridad juega un papel muy importante a la hora de mitigar las amenazas de la actualidad, ya que la exposición de la información de los usuarios los pone en riesgo, al tiempo que las organizaciones pueden ver dañada su imagen o reputación.
Ahora sí, veamos por qué combinar tecnología con estándares podría combatir el fraude.
PCI+EMV: Protección basada en autenticación y control de datos
Entonces, ¿cómo contribuye la combinación de un estándar con una tecnología a combatir el fraude?
Las transacciones a través de tarjetas bancarias son ampliamente utilizadas alrededor del mundo y, aunque nuevas modalidades para las transacciones comienzan a vislumbrarse, pasarán algunos años antes de poder comenzar a utilizar otras formas de pago de forma masiva, como las billeteras móviles o incluso las criptomonedas. Por lo tanto, resulta indispensable el uso de tecnología de seguridad asociada a las tarjetas bancarias.
En este sentido, hay dos elementos que, combinados, ayudan a aumentar la seguridad de los datos de la tarjeta y en consecuencia reducir los fraudes: por un lado, la seguridad aplicada a la tecnología de chip EMV (Europay MasterCard VISA), que emplea claves criptográficas secretas para dificultar la falsificación de las tarjetas y las operaciones fraudulentas en puntos de venta.
Se trata de una forma de autenticación para la terminal de punto de venta, que funciona cuando la tarjeta está físicamente presente. Dado que los plásticos tienen un chip integrado, los datos se alojan allí y esto garantiza que la tarjeta es real y no una falsificación.
Por otro lado, los estándares de seguridad como PCI ponen a disposición de las empresas los controles de seguridad adecuados para que los datos de las tarjetas de los clientes sean protegidas durante todo el proceso de las transacciones. Fue diseñado contemplando la posibilidad de que cuando se introduce la tarjeta en el sistema del comerciante, la información confidencial de su titular puede ser transmitida o almacenada en su red sin ningún tipo de protección, lo que significaría que es vulnerable.
En este punto es donde las normas PCI definen elementos de protección para el dispositivo de punto de venta y controles de seguridad adicionales, como las actualizaciones y parches de seguridad en los sistemas, identificación de intrusiones, gestión de accesos, desarrollo de software seguro, educación y concientización a los empleados, entre otro tipo de medidas.
Por lo tanto, la combinación de herramientas de seguridad, las buenas prácticas de usuarios, la educación en temas de seguridad, así como contar con una estrategia de protección, nos permite emplear la tecnología de una forma más segura, y en este caso específicamente, reducir las probabilidades de fraude.
