¿Qué está detrás de un swipe?

Por: Zohar Elnekave, Senior Director LATAM at BioCatch

Los patrones de comportamiento digital, combinados con modelos de riesgo basados en la inteligencia artificial, están cambiando la forma en que las instituciones financieras detectan el fraude en los canales móviles.

En una época en la que la inclusión financiera y el uso de dispositivos inteligentes se ha disparado y los consumidores exigen mas simplicidad en los servicios digitales, no es de extrañar que la banca móvil se esté convirtiendo en el método preferido por los clientes para relacionarse con sus bancos. Un informe de la Banca de las Oportunidades, publicado en junio de 2020, señala que 31 millones de adultos utilizan al menos una aplicación de financiación móvil, lo que supone el 85,9% de la población mayor de 18 años, alcanzando el objetivo del Plan Nacional de Desarrollo dos años antes de lo previsto.

Si bien este cambio ha brindado a las instituciones financieras la oportunidad de adquirir nuevos clientes y captar ingresos adicionales, también ha creado nuevos riesgos en un canal digital que generalmente se ha considerado más vulnerable al canal en línea, su contraparte. Actualmente, los datos que maneja BioCatch muestran que casi la mitad de los casos de fraude confirmados se originan en el canal móvil. De acuerdo a Asobancaria, en Colombia, la mayoría de los fraudes digitales se registran a través de la banca móvil, donde el 53% de las reclamaciones pertenecían a esta categoría.

La biometría conductual ofrece un nuevo enfoque para la protección contra el fraude en la banca móvil. Aprovechando los algoritmos de machine learning que tienen en cuenta distintas interacciones móviles, como los patrones de deslizamiento y desplazamiento, los movimientos en el celular,  eventos táctiles y del giroscopio, la biometría conductual aprende sobre los comportamientos únicos de los usuarios y los compara a nivel de usuario y de población. Cuando se detectan variaciones significativas, aumenta la probabilidad de riesgo de fraude.

El tipo de apropiación de cuentas móviles más común, es un acto manual en el que un ciberdelincuente intenta iniciar sesión en una cuenta bancaria a través de un navegador o aplicación móvil utilizando credenciales robadas.

El robo de credenciales se ha incrementado significativamente en Colombia, como lo afirma un balance del Centro Cibernético Policíal CECIP, entre 2019 y 2020 hubo un incremento del 185% de casos de violación de datos personales. La biometría conductual detecta los casos en los que el comportamiento actual de un usuario muestra variaciones significativas con respecto a su perfil de usuario único. Por ejemplo, un usuario legítimo que utiliza sistemáticamente ambos pulgares por igual cuando se desplaza, pero que de repente solo utiliza su pulgar izquierdo, es un ejemplo de un evento de comportamiento incoherente que podría indicar riesgo.

Los ciberdelincuentes también intentan robar cuentas utilizando tecnología como emuladores móviles o herramientas de acceso remoto (RAT). La biometría conductual detecta las sesiones fraudulentas que se ejecutan a través de emuladores móviles mediante la correlación cruzada de los datos del acelerómetro y los eventos táctiles en los que no hay ningún movimiento físico del dispositivo o del tacto. En el caso de las RAT, suelen observarse comportamientos como la demora o la falta de movimiento del dispositivo.

La biometría conductual también ha tenido éxito a la hora de descubrir estafas avanzadas de ingeniería social por voz, buscando diferencias en el comportamiento humano real que sean lo suficientemente significativas desde el punto de vista estadístico para determinar la intención o el estado emocional. Casi el 90% de los ciberataques que sufren las empresas en Colombia se deben a la ingeniería social (Informe de Tendencias 2019- 2020 del Centro Cibernético Policial CECIP), Por ejemplo, el movimiento continuo de un teléfono o los cambios en la orientación del dispositivo suelen sugerir que un usuario está actuando bajo coacción, como levantar el teléfono para recibir instrucciones y volver a bajarlo para realizar acciones instruidas por un ciberdelincuente.

Los dispositivos móviles son el futuro de la banca digital, pero el aumento de  desplazamiento y los frecuentes cambios de dispositivos dificultan la validación de la actividad de los usuarios basándose únicamente en la ubicación, el dispositivo y los atributos de la red. Sin embargo, algo que no puede ser robado, suplantado o replicado es el comportamiento digital. Cada swipe, toque y scroll cuenta una historia: la de una actividad fraudulenta o la de un comportamiento genuino del usuario.