4 consejos para adoptar la innovación digital sin riesgo de fraude por robo de cuentas ni fricción con el cliente
Muchos comerciantes y organizaciones de servicios en línea se enfrentan a una paradoja: Los clientes exigen servicios digitales más convenientes al mismo tiempo que los ciberataques dirigidos al comercio electrónico y los servicios en línea se disparan tanto en número como en impacto. Esto coloca a las empresas en línea en la infeliz posición de intentar aprovechar las preferencias de los clientes por la innovación digital y, al mismo tiempo, exponerse a un mayor riesgo de fraude y otras formas de ciberdelito.
En el centro de este enigma hay tres factores principales. En primer lugar, cada nuevo servicio digital o sitio de comercio electrónico que las organizaciones lanzan amplía la superficie de ataque existente, lo que proporciona a los delincuentes un objetivo más grande y hace que la detección y la mitigación sean más complejas. A continuación, en la mayoría de las organizaciones, los grupos más centrados en la defensa contra los delitos cibernéticos son los equipos de seguridad y fraude, que a menudo existen en sus propios silos y rara vez colaboran en la estrategia cibernética o las tácticas de defensa. Esto dificulta un enfoque coordinado de la ciberseguridad que podría limitar o prevenir ataques y acabar más rápidamente con las infracciones y el fraude.
Por último, y de manera un tanto irónica, ciertos hábitos y comportamientos de los clientes aumentan inconscientemente la exposición de los vendedores y proveedores de servicios en línea. Según una investigación de Google , alrededor de dos tercios de los consumidores reutilizan las mismas credenciales (nombres de usuario y contraseñas) en varios sitios web. ¿Y quién puede culparlos? Hay casi 33 millones de sitios de comercio electrónico en Internet, según un informe de distribución del uso de comercio electrónico de BuiltWith , y casi todos requerirán algún tipo de nombre de usuario y contraseña para realizar una compra.
Sin embargo, la reutilización repetida de credenciales crea vulnerabilidades que los ciberdelincuentes y sus ejércitos de bots automatizados aprovechan fácilmente. Las credenciales robadas o comprometidas representan el 54% de todas las violaciones de seguridad, según Hacker News , lo que allana el camino para uno de los vectores de ciberamenazas de mayor impacto de todos: la apropiación de cuentas, o ATO. Utilizando ejércitos de bots, el atacante realiza intentos de inicio de sesión automatizados a gran escala, una práctica llamada credential stuffing, para descubrir qué pares de credenciales son válidos en múltiples formularios de inicio de sesión. Dado que una fracción significativa de las credenciales vulneradas también servirán para obtener acceso a cuentas en otros sitios, los atacantes pueden tomar control de las cuentas, cambiar las credenciales para bloquear al propietario legítimo de la cuenta, drenar los activos y usar las cuentas para cometer actos de fraude adicionales.
Las ATO aumentaron en el primer semestre de 2022, aumentando un 131% respecto al mismo período del año anterior, según un informe de VentureBeat . Los impactos son reales: Según el estudio de fraude de identidad Javelin 2022 , el 22 % de los adultos estadounidenses han sido víctimas de ATO, y se anticipa que las pérdidas por fraude digital superarán los $343 mil millones a nivel mundial entre 2023 y 2027, según informes de American Banker .
Parece claro que, para muchos servicios de comercio electrónico y en línea, adoptar la innovación digital también aumenta el riesgo de sufrir ciberataques y posibles pérdidas por fraude. Pero eso no significa que las organizaciones deban restringir la innovación y la inversión en nuevos servicios y experiencias digitales para los clientes. Esto significa que las organizaciones deben adoptar la innovación técnica para proteger sus canales digitales de amenazas de seguridad y fraude.
Cuatro pasos para proteger la innovación digital
A continuación se presentan cuatro medidas proactivas que las empresas pueden adoptar para ayudarlas a mitigar el riesgo dentro de sus canales digitales:
- Mitigar bots maliciosos. Más de la mitad de todo el tráfico en Internet proviene de bots, y aunque algunos de esos bots son útiles (chatbots, rastreadores de motores de búsqueda), la mayoría son maliciosos. Los bots maliciosos escalan ataques automatizados que roban bienes, acaparan inventario, crean cuentas falsas para cometer fraudes, reducen el rendimiento de la web y las aplicaciones y llevan a cabo ATO a través del credential stuffing. Tome el control de la actividad de bots en sus redes y propiedades web con soluciones avanzadas de mitigación de bots que utilizan una rica recopilación de señales del lado del cliente, recopilación de datos agregados y aprendizaje automático para prevenir ataques de bots en tiempo real al automatizar la prevención de ATO.
- Detener el fraude manual. Cuando el ROI es suficientemente alto, los atacantes eludirán los controles antiautomatización con fraudes manuales más difíciles de monitorear. Para identificar el fraude manual de ATO en canales digitales es necesario evaluar la veracidad de la identidad de los usuarios y establecer su intención, pero esto debe lograrse sin afectar la experiencia de usuario de los clientes legítimos. Las sofisticadas soluciones contra el fraude actuales emplean sistemas basados en IA entrenados con datos humanos verificados para evaluar la verdad y la intención y ayudar a detener el fraude manual en tiempo real sin interrumpir la experiencia del cliente para los clientes reales.
- Romper los silos organizacionales entre los equipos de seguridad y fraude. Si bien los equipos de fraude y seguridad abordan las complejidades de los ciberataques, a menudo abordan el problema desde diferentes ángulos y con diferentes herramientas. Los equipos de seguridad protegen las redes informáticas y las aplicações externas contra infiltraciones y vulnerabilidades, mientras que los departamentos de fraude se centran en proteger las transacciones digitales en línea y la respuesta a incidentes. Ambos equipos pueden estar lidiando con los impactos del mismo incidente o exploit, pero si los equipos no se comunican, se puede perder información sobre amenazas y no se revela la escala del ataque, una situación que solo beneficia a los atacantes. La colaboración entre los equipos de seguridad y de lucha contra el fraude proporciona una mejor visibilidad de los ataques, mejora el seguimiento y la detección y permite respuestas más específicas.
- Reducir el fraude sin interrumpir la experiencia del cliente. Si las organizaciones toman medidas para mitigar el tráfico de bots automatizados, establecen protecciones contra el fraude manual y convergen los equipos de fraude y seguridad para lograr una mayor colaboración y una respuesta más efectiva a las vulnerabilidades, están en condiciones de reducir las defensas antifraude convencionales que agregan fricción a los procesos de recorrido del cliente. En otras palabras, cuando se controla el riesgo de fraude, las empresas pueden eliminar en gran medida los irritantes rompecabezas CAPTCHA y otras pruebas de desafío-respuesta molestas, brindando una experiencia de usuario enormemente mejorada para los clientes legítimos, sin introducir riesgo de fraude en sus canales digitales.
Ampliar sus sitios de comercio electrónico y otros servicios digitales no necesariamente implica aumentar también el riesgo de sufrir ciberataques. Las soluciones avanzadas de mitigación de bots y fraudes como F5 Distributed Cloud Bot Defense lo ayudan a mantenerse a la vanguardia de los atacantes y, al mismo tiempo, eliminar fricciones de seguridad frustrantes para mejorar la seguridad y la experiencia en línea de sus clientes. Al utilizar tecnologías sofisticadas como modelado de inteligencia de amenazas y aprendizaje automático para detectar técnicas de atacantes, Distributed Cloud Bot Defense implementa contramedidas apropiadas en tiempo real para contrarrestar el fraude y ATO con máxima efectividad, lo que permite a su organización adoptar la innovación digital sin correr el riesgo de fraude y fricción con el cliente.
Para descubrir el impacto económico de los bots en su organización, programe una sesión gratuita de consultoría sobre el ROI empresarial en la gestión de bots. Para obtener más información sobre los ataques de credential stuffing que conducen a la apropiación de cuentas, lea el libro electrónico de F5 " Credential stuffing 2022": Las últimas tendencias y herramientas de ataque . O lea esta descripción general de la solución para saber cómo F5 Distributed Cloud Bot Defense puede ayudar a proteger sus canales en línea contra ataques y fraudes.