Juan Antonio Villegas, director general de TransUnion España, explica cómo influye la edad de los dispositivos móviles y el historial que acumulan en su interior, una información muy útil tanto para las entidades financieras como para los ciberdelincuentes.
La experiencia es clave para cualquier cosa en esta vida y la experiencia precisa de tiempo. Ya lo dice el refranero español: “Más sabe el diablo por viejo que por diablo”. También en el mundo de las finanzas y del fraude.
Cuando compramos un dispositivo electrónico, un PC, una tablet o un móvil, sabemos muy poco sobre él o sobre cómo responderá a nuestras necesidades pero, sobre todo –a pesar de que tal vez sea la última pregunta que nos hagamos- sobre qué riesgos puede suponer para nuestra vida cotidiana o profesional.
No descubrimos nada si decimos que un simple móvil representa uno de los riesgos más graves de nuestro entorno, al menos hasta que ‘aprende’ las transacciones que debe hacer. Precisamente por eso, muchas entidades financieras reducen las opciones para nuevos clientes y sólo les permiten realizar pequeños depósitos o transferencias de cantidades limitadas hasta que conocen al usuario. Pero, ¿y si no hiciera falta esperar?
Vivimos en un mundo ultraconectado. El acceso a la cuenta bancaria no es más que una de las miles de actividades que realizamos con el móvil. Mensajería instantánea, redes sociales, juegos online, correo… todas estas aplicaciones nos ponen en contexto con cientos –tal vez miles- de personas de nuestro entorno. ¿Por qué no aprovechar esas redes de contactos para generar confianza en las transacciones financieras? Es decir, aunque seamos un nuevo cliente para una entidad, esa entidad puede ser capaz de conocer nuestro perfil de riesgo al analizar las conexiones que mantenemos con otros clientes con el objetivo final –y beneficioso para todos- de reducir los riesgos y mejorar la experiencia de usuario.
Poder conocer los entresijos de un dispositivo, tales como últimas actividades, edad, reputación de uso…, puede mejorar enormemente el análisis de riesgos. La herramienta iovation, por ejemplo, en un análisis llevado a cabo durante tres meses observó que el 42% de las transacciones financieras se habían realizado desde móviles y ordenadores con menos de seis meses de antigüedad, lo que en una situación usual habría provocado miles de transacciones paralizadas –casi la mitad- por falta de información fidedigna sobre los historiales de esos dispositivos.
Conocer la antigüedad de un dispositivo y de una cuenta puede ofrecer información muy valiosa: por ejemplo, las cuentas nuevas abiertas desde dispositivos nuevos pueden ponerse en cuarentena hasta que se demuestre un historial de buenas transacciones. Pero combinar esta información con otras actividades de riesgo como patrones extraños de velocidad en la conexión o anacronismos espaciales puede ofrecernos datos útiles para conocer el riesgo en tiempo real, sin necesidad de esperar. De la misma manera, cuando desde un dispositivo nuevo se intenta acceder a una cuenta antigua se puede estar sufriendo un robo (account takeover). En este caso, sería necesaria una estrategia de autenticación multifactor para asegurarnos de que el dispositivo nuevo puede tener acceso a las cuentas de usuario ya establecidas.
Muchas entidades financieras siguen confiando en el historial de los dispositivos, por lo que en este mundo de obsolescencias es fundamental ir más allá y coordinar esa información con otras como las de la cuenta de usuario o las conexiones con otros usuarios. Al final solo se trata de unir capas y capas de seguridad que den contexto a la toma de decisiones en una estrategia de control de fraude mucho más amplia.
En definitiva, las cuentas nuevas y los dispositivos nuevos plantean más riesgos, pero no debemos obviar que los móviles o los ordenadores más antiguos también pueden suponer un importante riesgo de fraude. De hecho, los cibercriminales suelen utilizar equipos más antiguos para llevar a cabo sus delitos. Por eso es tan importante siempre conocer los historiales de fraude (de más de tres años incluso) para poder ayudar a tomar las decisiones correctas a la hora de rechazar o aceptar una transacción, ya que las máquinas antiguas vuelven a usarse cuando los ciberdelincuentes creen que ya se han borrado las trazas.