Visto: 53

El futuro de la seguridad de los pagos en linea

Inicio desactivadoInicio desactivadoInicio desactivadoInicio desactivadoInicio desactivado
 

Los delincuentes utilizan una amplia gama de métodos para cometer fraude.

La creciente tendencia de usar pagos móviles para compras en la tienda (especialmente durante la pandemia) está llevando a los delincuentes a centrar cada vez más sus esfuerzos en defraudar a las personas mediante el fraude y las estafas en línea.

 

El fraude y las estafas se trasladan a la web

El informe Verizon DBIR 2020 indica que los ataques por motivos financieros contra los minoristas se han alejado de los dispositivos y controladores de punto de venta (POS), hacia aplicaciones web. Esto sigue en gran medida la tendencia en la industria de trasladar transacciones principalmente a una infraestructura más centrada en la web. A medida que cambia la infraestructura, los adversarios también cambian para tomar el camino más fácil hacia los datos.

20210203 02

Figura 1: Violaciones de aplicaciones web en la industria minorista.
Fuente: Verizon DBIR 2020

 

El patrón de ataque de aplicaciones web se compone de tres variedades de acciones principales: el uso de credenciales robadas, el skimming en línea y la explotación de las vulnerabilidades de las aplicaciones. Incluso cuando las organizaciones bancarias están mejorando la postura de seguridad para proteger la información financiera confidencial, los hackers pueden robar los datos de forma inteligente al vincular las vulnerabilidades conocidas y hacer que se convierta en un ataque potencial.

 

Credenciales robadas

Como se informó en el reporte de finanzas del Reino Unido “Fraud: The Facts” del 2020, el robo de datos personales y financieros a través de violaciones de datos fue un factor importante en las pérdidas por fraude en 2019. Los datos robados se utilizan tanto para cometer fraude de forma directa como indirectamente. Por ejemplo, los datos de la tarjeta comprometida se utilizan para realizar compras no autorizadas en línea y los datos personales se utilizan para hacerse cargo de una cuenta o solicitar una tarjeta de crédito a nombre de otra persona. Los delincuentes utilizan datos personales y financieros para hacerse pasar por clientes y agregar autenticidad aparente a una estafa.

 

Skimming en línea

El skimming en línea es una actividad adversa de robar información de pago durante transacciones sin tarjeta al infectar sitios de comercio electrónico con rastreadores. Una vez que se inyecta el malware, es muy difícil detectar sus rastros en el sitio web. Después de obtener acceso a la página de pago del minorista, el atacante comienza a leer la información de pago, como la dirección de facturación, CVV2, PAN, fecha de vencimiento de la tarjeta, etc, durante el proceso de transacción sin el conocimiento tanto del cliente como del proveedor de servicios.

Los investigadores de seguridad suelen utilizar el término "magecart" para referirse a diferentes grupos de ciberdelincuentes que realizan varios tipos de ataques de skimming. Recientemente, PCI SSC ha publicado un boletín que advierte a los comerciantes de comercio electrónico y proveedores de servicios que estén al tanto del fraude emergente con tarjetas en línea, mencionando la amenaza potencial y los pasos a seguir para prevenirlo.

 

Explotación de vulnerabilidades

Cuando los delincuentes no están usando las claves y credenciales de otras personas en su infraestructura, están usando vulnerabilidades sin parchear en sus aplicaciones web para obtener acceso. A medida que más y más personas y empresas dependen de las aplicaciones de banca móvil, se vuelven vulnerables al fraude. De hecho, informes recientes destacan que “la mitad de todas las aplicaciones de banca móvil son vulnerables”. La afluencia de nuevos usuarios móviles debido a la crisis de COVID-19 ha provocado que los bancos agreguen rápidamente nuevas funciones a sus aplicaciones para satisfacer las crecientes demandas de sus clientes. Junto con el hecho de que solo aproximadamente la mitad de todas las vulnerabilidades en la industria minorista se reparan en el primer trimestre posterior al descubrimiento, es fácil comprender los riesgos de ser defraudados por delincuentes.

 

Asegurar transacciones digitales

La industria bancaria y financiera está tomando medidas proactivas para asegurar las transacciones en línea y sin contacto. A medida que la economía digital juega un papel cada vez más importante en nuestras vidas, es vital que los pagos electrónicos sean seguros, convenientes y accesibles para todos.

 

Autenticación sólida del cliente (SCA)

La Directiva de servicios de pago 2 (PSD2) tiene como objetivo asegurar las transacciones en línea para los proveedores de servicios de pago (PSP). Como tal, introduce medidas de seguridad mejoradas y requiere que se aplique la Autenticación sólida del cliente (SCA) a todos los pagos electrónicos - incluidos pagos de proximidad, remotos y móviles, dentro del Espacio Económico Europeo (EEA). El mandato de la SCA se complementa con algunas exenciones limitadas que tienen como objetivo respaldar una experiencia del cliente sin fricciones cuando el riesgo de transacción es bajo.

Con el respaldo del nuevo protocolo EMV 3DS, SCA requiere que el pagador esté autenticado por un PSP mediante al menos dos factores, cada uno de los cuales debe pertenecer a una categoría diferente, como se resume en la Tabla 1.

20210203 03

Tabla 1: Factores sólidos de autenticación del cliente. Mesa cortesía de Visa

 

Los factores deben ser independientes de modo que, si un factor se ve comprometido, la confiabilidad del otro factor no se vera comprometida.

Además, se requiere que los PSP cuenten con mecanismos efectivos de monitoreo de transacciones para detectar transacciones de pago no autorizadas o fraudulentas. Estos mecanismos deben permitir la captura de la siguiente información:

  1. Listas de elementos de autenticación comprometidos o robados
  2. El monto de cada transacción de pago
  3. Escenarios de fraude conocidos
  4. Signos de infección de malware en cualquier sesión del procedimiento de autenticación
  5. En el caso de que el dispositivo de acceso o el software sea proporcionado por el PSP, un registro del uso del dispositivo de acceso o del software y cualquier uso anormal

 

Big Data y EMV 3DS

La detección de fraudes es donde los macrodatos y el aprendizaje automático resultan útiles. El protocolo EMV 3DS ofrece 10 veces más datos, como el canal del dispositivo y el historial de pagos, que la versión anterior, para proporcionar autenticación adaptativa e intensificar métodos de autenticación más sólidos si una transacción se califica como de alto riesgo. Mediante el aprendizaje automático, los algoritmos pueden pasar por enormes conjuntos de datos transaccionales para detectar comportamientos inusuales.

El uso de análisis de big data por parte del sector bancario puede conducir a una mejor detección de fraudes y una evaluación de riesgos superior. Con el respaldo de un mayor poder computacional, los sistemas bancarios pueden analizar miles de millones de transacciones en tiempo real, junto con datos adicionales, incluida la entrada de inteligencia de dispositivo, geográfica, de comportamiento y de amenazas. Combinando esto con datos históricos, el banco puede crear un perfil del comportamiento de un cliente para que cualquier actividad inusual y potencialmente fraudulenta pueda ser identificada y marcada.

Los bancos también están buscando cada vez más herramientas de "biometría del comportamiento" para identificar posibles casos de fraude y prevenirlos siempre que sea posible. Algunos bancos han adoptado software que monitorea la forma en que los consumidores escriben y deslizan sus dispositivos o cómo sostienen su dispositivo en términos de agarre, cuando inician sesión en aplicaciones bancarias.

 

Proteja las transacciones de tarjetas registradas

Una transacción de tarjeta registrada es una transacción en la que un titular de la tarjeta autoriza a un minorista a almacenar los detalles de pago de la tarjeta del titular de la tarjeta (también conocido como PAN, Número de cuenta principal). Luego, el titular de la tarjeta autorizó a ese mismo minorista a facturar la cuenta de tarjeta almacenada del titular de la tarjeta. La información contenida en estas credenciales almacenadas es confidencial y si los atacantes se apoderan de ellas pueden hacerse pasar por clientes legítimos y realizar transacciones fraudulentas. Hay dos formas de proteger el PAN de los clientes, el cifrado y la tokenización.

Mediante el uso de módulos de seguridad de hardware (HSM) de pago, la industria minorista y bancaria puede cifrar la información de la tarjeta registrada y proteger el procesamiento posterior de las transacciones de pago. Los HSM de pago brindan soporte criptográfico nativo para todas las principales aplicaciones de pago con tarjeta y someterse a una rigurosa certificación de hardware independiente bajo esquemas globales como FIPS 140-2 y PCI HSM.

Además del cifrado, con la tokenización de la tarjeta registrada, el PAN del titular de la tarjeta se reemplaza con tokens de pago, que se envían a través del proceso de pago. Asignar un token para reemplazar un número de tarjeta garantiza que la información de pago se mantenga segura ya que esta información no tendría sentido para cualquiera que pudiera encontrarla, como piratas informáticos, estafadores, etc. Hay dos métodos de tokenización, a saber, tokenización PCI y tokenización EMV, nombrado por la organización respectiva que introdujo el estándar.

Los proveedores de servicios financieros deben tomar estrictas medidas de seguridad para proteger los datos de los clientes de los hackers y otras amenazas cibernéticas.

Fuente de información: https://cpl.thalesgroup.com/blog/encryption/payments-security-future