«Fusión de Ciberseguridad, CTI y Prevención de Fraude: El Futuro de la Lucha Contra el Fraude en Línea»

Inició un nuevo año y esperando que todos lo estén recibiéndo de la mejor manera, he escrito este articulo para hablar sobre algo emergente que es el Cyber-Fraud Intelligence, que considero que esto ira en crecimiento durante los próximos años.

Para el desarrollo del mismo me he basado en algunos informes que son el de Gartner sobre este tema puntual, el anual de inteligencia sobre fraudes de Recorded Future y el informe de esquemas de fraudes en línea de Europol complementado con mi experiencia profesional en materia de cibercrimen y ciberinteligencia.

Introducción:

En un mundo donde el fraude en línea es cada vez más sofisticado y que a su vez crece de manera acelerada, las organizaciones están comenzando a fusionar sus equipos de ciberseguridad y prevención de fraude para crear un enfoque más integral y efectivo.

Estos informes concluyen que se debe adoptar un enfoque holístico con el objetivo de combinar recursos, herramientas y procesos para abordar de manera más efectiva el fraude en línea.

Análisis:

El informe de Gartner nos menciona que probablemente para el 2028, el 20% de las empresas del mundo cambiaran a equipos de CyberFraud o tomaran dicha estrategia colaborativa para combatir a los adversarios que amenacen a la organización, frente a menos del 5% que ya lo están realizando a la fecha.

Ahora veamos un poco de que se trata esta tendencia, al hablar de la fusión de equipos de ciberseguridad con Fraudes debemos entender la siguiente combinación:

• Inteligencia de amenazas cibernéticas (CTI)
• Gestión de identidades y accesos
• Control y monitoreo activo
• Seguridad de la información
• Operaciones de Fraude y análisis de TTP
• Análisis de datos y ML

Si lo vemos desde el foco actual, esas funciones están separadas entre 3 a 4 equipos diferentes, sin embargo, las grandes organizaciones sobre todo financieras, como pueden ser bancos, han empezado a entender los beneficios de crear un área que fusione los recursos y presupuestos con una estrategia unificada que aproveche las sinergias de esos conocimientos para una mayor efectividad.

Debemos entender que hoy la realidad es muy diferente a la de hace unos años y la cantidad de amenazas existentes en línea, especialmente contra entidades financieras es muy alta, al punto que, si no se madura a un cambio de estrategia, no podrán tener una visión holística de los ataques.  El panorama de lo que se conoce como superficie de ataque se ha ampliado y muchos fraudes en línea pueden terminar en incidentes informáticos críticos (como la apropiación de cuentas, infostealers, botnets, fuga de información, entre otros).

Un gran ejemplo de estos cambios es observar cómo el mercado ha empezado a converger mediante sus productos, como pueden ser los servicios de DRP (Digital Risk Protection) donde los casos de uso son compartidos para ambas áreas.

Por otro lado, Gartner ha notado un aumento en los productos tradicionalmente enfocados en la prevención de fraude en línea, tales como la biometría para análisis de comportamiento y motores de riesgo transaccional, que ahora están encontrando interés entre los compradores de seguridad para aplicaciones en entornos laborales tradicionales. Adicionalmente, diversas plataformas de detección de fraude en línea (OFD por sus siglas en inglés) están expandiendo sus capacidades con integraciones que permiten el envío de alertas sobre actividades sospechosas a herramientas utilizadas por equipos de seguridad, incluyendo sistemas de gestión de eventos e información de seguridad (SIEM), correo electrónico, SMS, plataformas de gestión de casos, sistemas de tickets y aplicaciones de chat en tiempo real.

Eficiencia y Automatización:

En esta convergencia que estamos planteando, veo muy importante hablar del papel crucial que juega la eficiencia y la automatización para estas áreas. La implementación de soluciones tecnológicas avanzadas, como el análisis automatizado de datos y el uso de inteligencia artificial, puede aumentar significativamente la eficacia en la detección y prevención de fraudes. Esto permite a las organizaciones responder de manera más rápida y precisa a las amenazas emergentes, mejorando la eficiencia operativa y reduciendo la carga de trabajo manual sumado a la posibilidad de una mejora continua a través de una retroalimentación constante con casos de éxito propias o externas.

Y si de Eficiencia hablamos no puedo dejar de mencionar el amplio uso del análisis de datos, ya que lo considero una herramienta poderosa en materia de prevención de fraudes en línea. Si se logra generar una buena madurez en este campo y analizar grandes volúmenes podremos revelar patrones y tendencias que de otra manera pasarían desapercibidos. Por ejemplo, el análisis de datos puede revelar tendencias en los métodos de ataque de phishing o identificar anomalías en transacciones financieras que podrían indicar fraude.

En este punto entra evaluar cómo se podrían reutilizar herramientas que hoy son utilizadas por equipos de SOC para aplicarlas en este campo aprovechando sus bondades y grandes capacidades en automatización como ser la integración de Sistemas de Gestión de Eventos e Información de Seguridad (SIEM) y de la tecnología de Orquestación, Automatización y Respuesta de Seguridad (SOAR).

Equipos de CyberFraud Intelligence:

Los equipos dedicados a la inteligencia del ciberfraude, deben están profundamente integrados en la estructura organizacional de ciberseguridad, formando parte de un equipo multidisciplinario que busca eliminar barreras para fomentar la colaboración y el intercambio de datos. Debe estar compuesto por especialistas y analistas que trabajen conjuntamente, compartiendo recursos, conocimientos y estrategias para crear enfoques completos y unificados en la prevención del fraude, considerando una amplia gama de riesgos de ciberseguridad que podrían enfrentar las organizaciones.

Actualmente, se observa una falta de colaboración entre varios equipos, a menudo, sus tácticas, técnicas y procedimientos (TTP), protocolos y políticas no están sincronizados bajo una estrategia o plan común. Por ejemplo:

• Los equipos de ciberseguridad se dedican principalmente a la gestión de identidades y accesos, así como a la seguridad de la infraestructura digital, prestando más atención a las vulnerabilidades a nivel de código y configuración.
• Los equipos de Ciberinteligencia se enfocan en identificar y contrarrestar a los adversarios que atacan a las organizaciones mediante phishing, malware, bots o amenazas internas.
• Los equipos encargados de prevención de fraudes se concentran en reforzar las debilidades en la lógica empresarial y clientes.

Este enfoque fragmentado impide que las organizaciones anticipen y se adelanten al fraude eficazmente. A menudo, los incidentes sospechosos identificados por un equipo no se comunican a los otros, lo que conduce a esfuerzos duplicados y a la posibilidad de que los defraudadores evadan la detección. Muchas empresas están en una lucha constante por tapar brechas en su lógica de negocios o en los controles técnicos, intentando contener la situación el tiempo suficiente antes de que surjan nuevas tácticas. Aunque este método pudo haber sido adecuado para las primeras generaciones de lucha contra el fraude, es esencial que el mercado evolucione y adopte una metodología más detallada y eficaz para enfrentarlo.

Si algo me ha enseñado la experiencia en materia de cibercrimen, es que los actores no tienen límites al momento de atacar y buscaran todas las herramientas posibles como tácticas existentes, mientras que en el aspecto del fraude el modus operandi está en constante cambio con la implementación de las tecnologías de forma transversal.

Algo que no me canso de decir es que debemos migrar de la clásica estrategia reactiva a una proactiva, en estas cuestiones la ciberseguridad va adelantada a las de prevención de fraude, gracias a la implementación de la inteligencia de amenazas. La reactividad conlleva que muchas veces se llegue tarde por no conocer las nuevas tendencias o técnicas utilizadas, pero si apuntamos no solo a la fusión de equipos sino también a la proactividad podremos tener respuestas más rápidas a las amenazas emergentes lo que nos lleva a una defensa en profundidad efectiva.

Integración de las partes:

Es muy importante que cambiemos la percepción del fraude en línea, debemos entender que no es un problema aislado y tolerable para el negocio. Es crucial que lo reconozcamos por lo que es, muchos casos de fraude en línea son el resultado directo de problemas de seguridad (apropiación de cuentas, relleno de credenciales en sitios falsos, etc.), por lo que debemos comenzar a aplicar los mismos enfoques metodológicos en los que los equipos de seguridad.

La integración del Cyber Threat Intelligence con los equipos y procesos enfocados en la cibserseguridad y la prevención del fraude es fundamental para desarrollar una visión completa que permita combatir de manera efectiva las amenazas modernas. Las organizaciones más innovadoras están examinando todas sus infraestructuras tecnológicas para establecer un marco de defensa en capas que combine diversos enfoques. El objetivo es que la información, las herramientas y los análisis de casos superen las barreras de los equipos individuales, fomentando una colaboración que reduzca la redundancia de tareas y el uso ineficiente de recursos.

Como dato informativo, Gartner señala que esta tendencia está siendo liderada principalmente por un puñado de grandes entidades financieras con visión de futuro. Estas instituciones han sido tradicionalmente pioneras en la prevención del fraude en línea y suelen ser más proactivas en la inversión de soluciones a medida y listas para usar. En América del Norte, ejemplos de estas organizaciones incluyen a Capital One, Citibank y Mastercard, mientras que en Europa, Barclays se destaca como un caso representativo, también se ha visto de manera reciente en Sudamérica a Banco Galicia en Argentina, adoptar estas estrategias. Sin embargo, esta tendencia no se limita a las instituciones financieras, ya que grandes empresas de retail también han adoptado estrategias parecidas. Gartner también observa que, en algunas regiones, la adopción de esta tendencia está siendo impulsada por nuevas regulaciones. Un caso de ello es el Marco de Lucha contra el Fraude v1.0 del Banco Central de Arabia Saudita, que impone la colaboración entre los equipos de ciberseguridad y prevención del fraude, así como el uso compartido de herramientas y gestión de casos.

Uso de Frameworks y el Cyber-Fraud Kill Chain

Dentro del campo de la inteligencia de amenazas se trabaja mucho con el uso de los diferentes frameworks como pueden ser “Kill Chain”, “Mitre Att&ck”, o “diamont” entre otros para realizar el modelado de diversas amenazas, software o malware.

Dentro del informe de Gartner surge una adaptación orientada a la lucha contra el fraude cibernético llamada “Cyber-Fraud Kill Chain”. Esto representa una metodología y un marco emergentes que se aplican a la prevención del fraude en línea y que combina muchas de las mejores prácticas y TTP bien definidas que normalmente se aprovechan en la ciberseguridad para la prevención del fraude en línea

Según el informe, este framework de trabajo ya se empezó a observar y aplicar en las soluciones de diferentes proveedores como Group-IB, Netacea y ThreatFabric. También es posible, con el entendimiento adecuado, transpolar el marco de Mitre pero con las TTP relacionadas al fraude cibernético.

Fases del Cyber-Fraud Kill Chain

Si bien en los informes analizados no existe un ejemplo, desde mi experiencia creo que podría llegar a orientarse de la siguiente manera:

• Reconocimiento: Identificación de objetivos potenciales y sus vulnerabilidades.
• Militarización: Creación de herramientas o métodos para cometer fraude.
• Entrega: Implementación de estas herramientas o métodos contra el objetivo.
• Explotación: Uso de vulnerabilidades para realizar actividades fraudulentas.
• Instalación: Establecimiento de una presencia en el sistema del objetivo para continuar con el fraude.
• Comando y Control: Mantener el control sobre el proceso de fraude.
• Acciones sobre Objetivos: Realización del fraude y/o estafa, como robo de identidad, transacciones no autorizadas, prestamos, etc.

Aplicación Práctica: Estos modelos mencionados ayudan a las organizaciones a entender cómo los estafadores planifican y ejecutan ataques de fraude, permitiendo desarrollar estrategias más efectivas para detectar y prevenir tales actividades en cada etapa.

Integración con Herramientas y Estrategias de Ciberseguridad: Al aplicar estos modelos, las organizaciones pueden integrar herramientas de ciberseguridad como los SIEM o SOAR para anticipar y responder a incidentes de fraude.

Impacto en la Prevención del Fraude: La adopción del Cyber-Fraud Kill Chain permite una respuesta más proactiva y estratégica al fraude, alineando los esfuerzos de ciberseguridad con los de prevención de fraude, lo que resulta en una defensa más robusta contra el fraude en línea.

Desafíos y concientización:

Otro punto muy relevante es hablar de los desafíos venideros para el desarrollo de este tipo de estrategias ya que significa un cambio en la estructura interna y cultura organizacional. Este cambio implica algunas cuestiones como la creación de nuevos roles de liderazgo, el respaldo para la comunicación efectiva de ambas áreas para compartir información, redefinición de tareas, funciones y procesos.

De estos voy a resaltar dos en particular:

1. Integración de perfiles especializados: Como toda nueva área emergente va a requerir de perfiles profesionales que en este caso cuenten con habilidades tanto en ciberseguridad, especialmente en inteligencia de amenazas como también en prevención de fraudes y que muy probablemente deban contar con una formación complementaria en análisis de datos para reforzar. La formación continua y el desarrollo de habilidades son esenciales para preparar a los equipos para abordar estas amenazas combinadas de manera efectiva, esto se puede lograr gracias a cursos específicos y en el mejor de los casos con certificaciones de ambas aristas.
2. Inversión en tecnología y herramientas: La adopción de un enfoque integrado requiere una inversión significativa en tecnologías avanzadas como plataformas DRP, SOAR, análisis de comportamiento biométricos, motores de riesgos con IA, entre otros. Estas herramientas no solo son costosas, sino que también requieren mantenimiento y actualizaciones constantes para seguir siendo efectivas frente a las amenazas en evolución.

Concientización: En este tema nos encontramos que estarán trabajando casuísticas de fraudes tradicionales con problemas de ciberseguridad, lo que implica una evolución de las amenazas, por lo tanto, se debería apuntar a una estrategia de concientización bidireccional (interna y externa) con el fin de formar al personal interno para que empiecen a dimensionar las implicaciones de estos delitos y con esto promover una cultura de seguridad organizacional.

En lo que tiene que ver con lo externo se debe apuntar a proveer a los clientes y usuarios información regular sobre cómo protegerse de fraudes en línea, incluyendo consejos sobre seguridad en transacciones digitales, reconocimiento de intentos de phishing y buenas prácticas de cuidado digital.

También se puede hacer uso de los medios de comunicación y lanzar campañas de concientización pública a través de redes sociales, sitios web y otros canales para educar al público en general sobre los riesgos de fraude en línea y cómo prevenirlos.

Por ultimo y tomando una buena practica de la ciberseguridad es la de iniciar comunidades para colaboración entre profesionales y así trabajar conjuntamente con otras empresas, organizaciones gubernamentales y grupos de la industria para compartir conocimientos y estrategias en la prevención de fraudes y ciberataques.

Para ir cerrando este artículo es importante que conozcamos las tendencias de fraudes en línea, para ello nos basamos en el reciente informe de Europol donde aporta luz sobre esto y porque es importante todo lo mencionado previamente:

🔍 Tendencias de Fraude en Línea:

✅ Fraude de Inversión: Promesas de altos retornos con riesgos bajos a través de plataformas fraudulentas.

✅ Compromiso de Correo Empresarial (BEC): Ataques dirigidos a empleados para manipular transferencias financieras o robar información confidencial.

✅ Phishing y Ataques de Ingeniería Social: Engaños para obtener datos personales y financieros a través de correos electrónicos o mensajes que parecen legítimos.

✅ Ataques a Sistemas de Pago: Incluyendo skimming digital y ataques lógicos a cajeros automáticos.

✅ Uso de Malware y Herramientas de Cracking: Programas maliciosos para infiltrarse en sistemas y robar datos.

✅ Shimming: Similar al skimming, el shimming es una interceptación y/o manipulación de información que fluye entre una tarjeta y la interfaz del chip de un lector de tarjetas.

✅ ATO (Account Takeover): Secuestro de cuentas mediante robo de credenciales.

✅ SIM Swapping: Transferencia no autorizada del número de teléfono de una víctima a una SIM controlada por el atacante.

Principales Conclusiones:

• Organizaciones con visión de futuro están iniciando la integración de sus equipos, herramientas y procedimientos de ciberseguridad y prevención de fraude, buscando eliminar barreras operativas y establecer un método más completo para enfrentar el fraude en línea.
• Los proveedores de soluciones tanto para la prevención de fraude en línea como para ciberseguridad están fusionando gradualmente sus mercados mediante los casos de uso y tecnologías compartidas.
• El Cyber-Fraud Kill Chain se está transformando en una especie de «inteligencia de fraude», mezclando técnicas comunes de ciberseguridad para analizar las herramientas, tácticas y procedimientos de los atacantes, creando así un marco integrado que permite incorporar políticas y normativas a las plataformas de prevención del fraude.
• Los lideres deberán crear hojas de rutas que involucre equipos especializados en ambas áreas, desarrollo de formación constante sobre todo en temas de análisis de datos y contratación de servicios de DRP que tengan una visión holística de amenazas.
• Entender que al estar ante delitos emergentes y nuevos desafíos es muy importante invertir en la concientización de las diferentes partes para generar una cultura de seguridad que afronte estas amenazas.

Referencias:

• Informe Europol: Online fraud schemes: a web of deceit (IOCTA 2023) | Europol (europa.eu)
• Informe Gartner: Gartner® Report: Emerging Tech: Security — Cyber-Fraud Fusion Is the Future of Online Fraud Detection | Group-IB
• Informe Recorded Future: Annual Payment Fraud Intelligence Report: 2023 | Recorded Future
• Ejemplo Boozallen: a-better-way-to-fight-financial-fraud-fusion-centers.pdf (boozallen.com)
• Articulo relacionado: Cyber Fraud Fusion Centres, Leveraging Network Effect Is Essential… (enterpriseitworld.com)
• Framework Banco Saudi: Counter_Fraud_Framework.pdf (sama.gov.sa)