Fraude en la Banca Electrónica

La banca electrónica es un caramelo para los delincuentes, ya que existen métodos “sencillos” de engañar a los usuarios para hacerse con su dinero, donde la mayoría de las veces son delincuentes sentados en el sofá de sus casas que difícilmente serán atrapados o descubiertos por los cuerpos de seguridad del estado.

¿Alguna vez habéis pensado qué pasa cuando a un banco le roban dinero? Si le han robado ¿de dónde obtiene el dinero para devolvérselo a sus clientes? Muy sencillo, todos los bancos tienen un seguro que se hace cargo de las pérdidas monetarias ocasionadas por los robos, independientemente sean robos físicos o digitales. Aquí es donde viene la dificultad, elegir qué seguro contratar, ya que dependiendo de la cantidad de dinero que estimamos que va a perder el banco se contratará un seguro u otro. Y aquí es donde entra en funcionamiento el rol del CISO de la entidad bancaria, para realizar los análisis de riesgos, e intentar reducir los fraudes para finalmente poder contratar un seguro más asequible. En definitiva, el CISO debe intentar reducir las pérdidas introduciendo tecnología y asegurando las operaciones, sin embargo la inversión necesaria para ello no debe superar las pérdidas estimadas inicialmente, sino no hay tecnología que valga y todo se queda como está.

Por otro lado, si el objetivo de negocio del banco es mantener sus clientes, obtener nuevos clientes y conservar el dinero dentro del banco, no debemos dificultarle a los usuarios el acceso a la banca electrónica, estableciendo controles de seguridad complejos, porque de ser así los clientes se cambian de banco. Esta es otra de las tareas arduas del CISO de la entidad bancaria, ya que tiene que decidir qué mecanismos de control y autenticación aplicar a la banca electrónica para mantener la usabilidad de las aplicaciones, es decir, podríamos implantar OTPs y PKIs para el acceso a la banca electrónica, pero todos sabemos que si esto fuese así la mayoría de las personas no utilizarían este servicio.

Por último, la correlación de eventos, no de logs, realizadas por los sistemas SIEM en las entidades bancarias es de suma importancia, ya que deben controlar el comportamiento “normal” de cada usuario para comprobar si las operaciones realizadas en la cuenta bancaria de sus clientes se corresponde con la operativa habitual de estos. Es decir, si un usuario normalmente realiza una transferencia de 500 € a principios de mes y un día autoriza abonar 24000 € a una cuenta de Western Union deberían saltar las alarmas en la entidad bancaria, ya que posiblemente se trata de algún tipo de fraude.

Resumiendo, la banca electrónica es un servicio que ha llegado a las entidades bancarias para quedarse, cerrar este servicio supone un paso hacia atrás para el banco, por lo que todo el personal IT debe trabajar en sintonía para evitar el fraude y mantener la imagen, reputación y confianza de la entidad. Aunque aún estamos en fases tempranas, pienso que la banca online evolucionará significativamente en cuanto el Banco Central Europeo, supervisor de las entidades intervenidas por el FROB, y el Banco de España como regulador, obligue por ley a las entidades financieras a publicar todos los incidentes de seguridad.