2 dic. 2020

NAF (Fraude de Cuenta Nueva). Nuevo tipo de fraude y estafa

La empresa Buguroo ha publicado un informe [PDF] sobre el crecimiento de fraudes y estafas relacionados a NAF (New Account Fraud). A principios del 2000, la principal amenaza para los bancos era la falsificación de tarjetas y el fraude relacionado con los cheques.

Era relativamente rápido, sencillo y barato realizar este tipo de estafas, por lo que siguieron siendo la opción más factible dentro del mundo del fraude. Por otro lado, el NAF y la apropiación fraudulenta de cuentas (en inglés, Account Takeover - ATO) exigían cierto estudio y planificación detallados. os fraudsters tenían que dedicar grandes recursos para conseguir los datosL de los clientes. En aquel momento también resultaba más difícil que hoy en día configurar "cuentas mula" para blanquear los fondos robados. En definitiva, por lo general, el NAF no merecía la pena.

Por supuesto, existen muchos tipos de actividades fraudulentas susceptibles de perjudicar a los bancos y sus clientes. Pero el fraude de cuenta nueva o NAF (New Account Fraud), también conocido con otros nombres como fraude de apertura de cuenta/fraude de creación de cuenta/fraude en originación de cuenta online (en inglés, Account Opening fraud/Account creation fraud/Online Account Origination fraud), es uno de los que más crecen. En él, los estafadores utilizan identidades robadas o «sintéticas» para abrir varias cuentas bancarias, de crédito o similares, solicitando la mayor cantidad de dinero posible antes de desaparecer o utilizándose para blanquear fondos robados.

El NAF se sirve de brechas de seguridad de datos de identificación, una economía de ciberdelincuencia muy profesionalizada, los avances tecnológicos y las continuas iniciativas de transformación que acometen las entidades financieras internacionales. De hecho, según un informe, en 2018 se violó la seguridad de más de 5.000 millones de registros de información. La mejor forma de abordar este problema es adoptando nuevos enfoques holísticos de prevención del fraude basados en el poder de la biometría del comportamiento, en inglés, Behavioral Biometrics.

El paso de una década y la aparición de técnicas combinadas han convertido el NAF y ATO en opciones mucho más viables para los fraudsters. En primer lugar, el desarrollo de estándar mundial EMV (Europay, Mastercard, Visa) alteró notablemente el modelo de negocio del fraude de tarjetas tradicional, animando a muchos ciberdelincuentes a mirar en otras direcciones. Esto ocurrió justo cuando los datos de identificación de los consumidores empezaron a proliferar online, en el momento en que las empresas comenzaron a ofrecer servicios digitales. Surgió una economía del ciberdelito impulsada por mercados de la deep web que negociaban con esta información robada y herramientas de hacking.

Según algunas estimaciones, esta economía sumergida está valorada hoy en día en 1,5 billones USD, de los cuales 160 millones proceden del comercio de información personalmente identificable (IPI, en inglés, Personaly Identificable Information) robada. Algunas fuentes afirman que esta cifra es incluso mayor. Según un informe, solo en EEUU se robó IPI valorada en alrededor de 16.000 millones USD en 2017.

En medio de esta tormenta perfecta, surgieron 3 tipos de fraude bancario:

  • Fraude relacionado con operaciones/pagos: Uso de información de pago robada para realizar compras fraudulentas. El paso a operaciones transfronterizas y en tiempo real está dificultando la detección y detención de este tipo de fraude por parte de las entidades financieras.
  • Apropiación de cuenta (ATO): Uso de credenciales robadas, obtenidas mediante phishing/ingeniería social o compradas en línea, para apropiarse de cuentas bancarias/de tarjeta. Los fraudsters pueden vaciar las cuentas o utilizarlas para efectuar operaciones fraudulentas. Este fraude se ha disparado debido a que los consumidores comparten sus contraseñas en varias cuentas y a la vez que han aparecido herramientas automáticas destinadas a rellenar y abrir cuentas de forma rápida usando grandes volúmenes de credenciales robadas. La apropiación de cuentas es difícil de detectar, porque los fraudsters utilizan credenciales legítimas y fingen ser clientes reales.
  • Fraude de cuenta nueva (NAF): Los fraudsters utilizan datos de identificación robados, normalmente combinados con datos falsos, para abrir cuentas a nombre de las víctimas, y agotar las líneas de préstamo y de descubierto antes de desaparecer. También resulta difícil de detectar, porque los estafadores utilizan datos de identificación legítimos, o identidades «sintéticas», que no se han usado nunca antes

Según RSA Security, es 15 veces más probable que el fraude se origine en una cuenta nueva que en una cuenta que tenga más de treinta días. Después de 10 días, las probabilidades de fraude ya solo se multiplican por tres. Alrededor del 65 % de los profesionales que luchan contra el
fraude y el blanqueo de capitales cree que las identidades sintéticas plantean un problema mayor que el robo de identidades convencional.

Cómo funciona

La secuencia típica de un fraude de cuenta nueva o NAF consta de varias etapas:

Recogida de datos en bruto

En esta etapa, los ciberdelincuentes roban grandes cantidades de información personal identificatable (IPI) centrándose en organizaciones como entidades financieras, proveedores de tecnología, minoristas y otros que almacenan grandes volúmenes de información. Seguidamente, la ponen a la venta en los mercados clandestinos.

Distribución de los datos

En esta etapa la recogida de datos de identificación se refuerza a través de la investigación en las redes sociales y otros sitios. Las colecciones resultantes de IPI se venden a los fraudsters en sitios y foros del mercado.

Fraude de cuenta

Los estafadores utilizan la información robada para solicitar de forma fraudulenta la apertura de cuentas nuevas a nombre de estas víctimas. También pueden combinar datos de identificación reales con información falsa para crear identidades sintéticas, con el mismo objetivo en mente. Agotan las líneas de préstamo/de descubierto y después "se esfuman", ocasionando grandes pérdidas a los bancos y entidades emisoras de tarjetas.

Retiro de fondos

Los fondos se transfieren a otras cuentas, quizá en otros países con controles bancarios menos rigurosos, o a cuentas mula, algunas de las cuales pueden haberse abierto con identidades fraudulentas.

El NAF es difícil de detectar ya que los fraudsters utilizan información legítima robada de forma secreta a clientes reales, o crean identidades sintéticas utilizando información real y falsa. En muchos casos, los filtros convencionales que utilizan información de inteligencia sobre amenazas y datos estáticos no detectan este tipo de fraude. Por otro lado, las alternativas existentes en el mercado que utilizan controles de documentación de identificación (Pasaporte, ID, etc.) o biometría física pueden resultar más precisas para la detección de fraudsters pero agregan fricción a los clientes, y no siempre son escalables a diferentes países.

Fuente:  Buguroo

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!