Los fraudes bancarios son normalmente una serie de actos destinados a obtener un beneficio económico, mediante diferentes tipos de ataques a las instituciones financieras. Por lo general, se piensa que el 100% de las víctimas de fraudes bancarios son los clientes, pero la realidad es que existen muchos casos donde los bancos son quienes sufren el golpe directo, con pérdidas millonarias, daño reputacional y una ola de efectos colaterales sobre sus operaciones.
Estos fraudes pueden originarse tanto por actores externos, como internos a las instituciones financieras y ambos tipos de actores tienden a seguir cierto patrón. Los actores externos suelen hacer reconocimiento, enumeración y explotación de vulnerabilidades tecnológicas o sociales. Los actores internos, que usualmente son empleados directos de la compañía o de algún proveedor, abusan de la posición y permisos que se le otorgaron para manipular procesos o acceder a sistemas críticos para poder llevar a cabo el fraude.
Un par de ejemplos de ataques provocados por los distintos actores maliciosos podría ser:
Desde el famoso caso de Rogue Trader en Barings Bank (1995), donde un solo empleado que ocupaba una cuenta para hacer transacciones no autorizadas provocó pérdidas por más de $600 millones de libras.
El sistema SWIFT que recibió múltiples ataques desde Bangladesh (2016), donde un malware entregado en correos electrónicos a través de una campaña de phishing permitió obtener credenciales necesarias para acceder al sistema y empezar a enviar solicitudes de transferencias, provocando pérdidas de $81 millones de dólares.
Ambos ataques provocaron pérdidas de millones de dólares, pero en lo que nos enfocaremos en este blog será en que ambos ataques presentaron patrones de comportamiento repetitivos. Y si algo sabemos es que cuando se conoce el patrón, se puede detectar… y prevenir. A continuación exploraremos una serie de patrones de comportamiento que nos ayudarán a mejorar la detección de fraudes.
Actualmente la detección de fraudes no sólo debe depender únicamente de reglas fijas o listas negras. En estos tiempos, el comportamiento del usuario es la nueva huella digital. Las siguientes son señales que, si se observan en conjunto y con suficiente contexto del usuario, pueden ayudar a la prevención de fraudes:
El siguiente patrón es muy común en diferentes tipos de ataques. Los atacantes difícilmente quieren exponer su ubicación, por lo que toman medidas para iniciar sesión desde una geolocalización nunca observada por los usuarios afectados una vez que se tienen cuentas comprometidas, especialmente si se encuentra fuera de su zona horaria habitual o en una región catalogada como de alto riesgo de cibercrimen, esto deberá generar una desviación que debe ser ponderada.
Para la detección de este comportamiento recomendamos tener las siguientes reglas:
Esta regla se enfoca en hacer una búsqueda, valorando los orígenes comunes de los usuarios y que alerte cuando se produce un intento de login o de alguna acción fuera de su área geográfica normal.
Esta alerta genera un espacio geográfico aceptable por usuario, haciendo que esta se adapte al comportamiento de cada usuario.
Esta alerta busca avisar cuando un usuario presente dos intentos de acceso en dos ubicaciones distintas en el mundo, cuando es imposible viajar del punto A hacia el punto B en la ventana de tiempo en la que se presentan ambas acciones. Esto es posible gracias a una serie de cálculos matemáticos, geolocalización de las IPs de acceso y el cálculo de la ventana de tiempo entre ambas acciones.
Con las reglas anteriores, se puede mejorar la detección de accesos desde ubicaciones geográficas inusuales, gracias al conocimiento del comportamiento del usuario final y/o usuarios responsables de las plataformas, retomando el hecho de que los fraudes pueden ser tanto externos como internos.
Cada cuenta, tarjeta o usuario tiende a tener un patrón de uso: tipo de transacciones, montos promedio, frecuencia de uso, etc. Cuando este comportamiento cambia de forma abrupta, por ejemplo, que una cuenta que normalmente transfiera cantidades de entre $2,000 a $8,000 empiece a generar transacciones de más de $100,000, la acción ya parece sospechosa. Sin embargo, existen patrones que necesitan ser vistos bajo un análisis de datos para poder detectarlos.
Para la detección de este tipo de comportamiento recomendamos tener las siguientes reglas:
Sin importar la cantidad de dinero que se está moviendo, está alerta se basa en la discrepancia del número de interacciones entre una cuenta y otra a través del tiempo. Por ejemplo un actor malicioso que se esté haciendo transacciones que van de $50 en $50 podría no ser visto como un ataque de fraude, pero si desde una misma cuenta o varias se generan miles de transacciones por debajo del umbral de alertamiento normal del banco, este actor malicioso podría hacerse de una gran cantidad de dinero. Este tipo de alertamiento funciona para monitorizar tanto el comportamiento de la fuente de las transacciones como el de la cuenta destino.
Todo esto se puede detectar usando el reconocimiento de patrones normales de uso por usuario con la ayuda de herramientas de probabilidad llamadas percentiles y usando como marco de referencia una ventana de tiempo. Una breve explicación de cómo funciona este conjunto de herramientas para la detección de anomalías se puede leer en el blog llamado “Math for Hacks: Teletransportación de usuarios y anomalías calculables” .
Esta regla se basa en el comportamiento de las transacciones fuera de un horario “habitual” de uso. Al igual que en la anterior regla, usando las mismas herramientas de probabilidad, se busca conocer el comportamiento del número de transacciones por diferentes horarios. El horario habitual no es necesariamente de 9 a.m a 6 p.m, sino que se adapta al patrón de uso de cada usuario para definir sus horarios habituales. A partir de ese conocimiento, se puede tener una alerta general pero personalizada por usuario, donde el mismo comportamiento en sus horarios definidos te dé el umbral de picos de transacciones.
Como se puede observar, aunque ambas reglas de alertamiento pueden ser una sola para todos los usuarios, gracias a las herramientas matemáticas y a la lógica de construcción, cada detección es personalizada por usuario o cuenta. Esto se debe al cálculo y conocimiento del patrón de uso de cada usuario, llevando cada alertamiento de lo general a lo particular.
El uso simultáneo de múltiples dispositivos desconocidos, especialmente en ventanas de tiempo muy reducidas, puede ser un indicador de que las credenciales han sido comprometidas y están siendo explotadas por un grupo de actores. Igualmente, una señal de fraude es la fase de preparación de las cuentas, que incluye el cambio de datos sensibles como correo electrónico, número de teléfono o preguntas de seguridad, todo esto justo antes de una transacción significativa o un alto número de transacciones. Con esto último los atacantes intentan evitar que las notificaciones lleguen al usuario legítimo, o que los mecanismos de verificación por canales alternos funcionen.
Se pueden tener las siguientes reglas de correlación para la detección de estos patrones que anuncian el inicio o continuación de un fraude:
Esta regla se basa en tener el conocimiento del patrón de cambio de dispositivos por usuario y del aumento de nuevos dispositivos que se asocian a las acciones de su cuenta. Este tipo de detección es importante porque el patrón de múltiples dispositivos nuevos y el conocimiento de estas nuevas interacciones suelen ser precedentes del inicio de un ataque. Aunque un nuevo dispositivo no sea la razón de un bloqueo de cuenta o de algún otro tipo de respuesta a un incidente, puede ser la acción determinante si le sigue un suceso de transacciones fraudulentas sobre la misma cuenta de origen.
Al igual que la regla anterior, esta alerta sirve como información preventiva de un posible fraude, en la que se debe buscar cambios en información sensible, especialmente en campos de verificación como son:
Correo electrónico
Número de teléfono
Pregunta de seguridad
Este tipo de modificaciones se efectúan para que no se tenga una validación legítima del usuario final y se tenga el control de los procesos de verificación de las acciones tomadas. Por lo que, al igual que en la regla anterior, este tipo de comportamiento no valida que la cuenta haya sido comprometida, pero es la antesala y bandera de seguridad que se puede tener para la definición de un fraude, dependiendo de las acciones que le siguen a dichos cambios.
Para finalizar esta historia de prevención de fraudes, podemos observar que este tipo de ataques pueden ser avisados con “grandes gritos informáticos” como una transacción inusualmente muy grande, o ir en “susurros” que van dejando un eco sutil en nuestros registros. Ese eco, si sabemos escucharlo, puede guiarnos paso a paso hacia la raíz del fraude antes de que ocurra.
Estos comportamientos se pueden visualizar con las reglas de detección de las cuales hablamos anteriormente, que además, pueden ser el complemento a una gran variedad de reglas dinámicas de comportamiento
También es fundamental entender que ya no es solo determinar horarios, o tener un límite de revisión automática en el umbral de transacciones, lo más eficiente es tener detecciones generales que se vuelvan particulares gracias a la personalización que nos ofrecen las alertas dinámicas basadas en patrones.
Y que estas reglas que se mencionaron funcionan la mayoría tanto para actores internos con accesos a las plataformas de transacciones como para los usuarios finales. Si entendemos estos comportamientos no como excepciones, sino como señales, podremos dejar de reaccionar ante el fraude para empezar a anticiparlo.