El panorama financiero moderno crea una base fértil para el fraude de pago de promoción autorizado (APP) en el que las víctimas son engañadas para transferir fondos bajo pretextos falsos. La expectativa de la banca en tiempo real y el acuerdo de pago instantáneo generalmente se realiza en segundos, y hay poco espacio para la reversión. Incluso para las compras diarias del consumidor, los pagos transfronterizos se han convertido en rutina.
Al mismo tiempo, los avances en la inteligencia artificial han facilitado a los delincuentes crear estafas convincentes. El Centro de Quejas de Crimen de Internet del FBI dijo que las pérdidas de las estafas de inversión solo alcanzaron los $ 4.57 mil millones en 2023, un aumento del 38% respecto al año anterior. El análisis de la información de riesgo de LSEG muestra Para 2027, las pérdidas globales de fraude de la aplicación podrían alcanzar los US $ 331 mil millones.
Abordar el fraude de aplicaciones requiere un enfoque integral, desde la educación del consumidor hasta la biometría avanzada. En Aravind Narayan, Director Global de Propuestas de Identidad Digital y Fraude para Lseg Risk Intelligence y Jennifer Pitt, analista senior de gestión de fraude en Javelin Strategy & Research, Aravind Narayan discute las herramientas que las instituciones financieras pueden lidiar con esta creciente amenaza.
Por qué el problema está creciendo
Cuando alguien solicita el pago de inmediato, los consumidores ya no lo encuentran inusual. Debido al aumento de los pagos instantáneos, solía ser una bandera roja. En 2024, ACH superó los $ 1 mil millones en transacciones por primera vez ese día, un 45% más interanual. Pero una vez que el dinero se deja con una cuenta, la transacción suele ser irreversible, generalmente se completa en 10 segundos o menos.
Los consumidores expertos en digital pueden comprar y vender productos en la frontera, pero el alcance global hace que el fraude sea más difícil de detectar. Cada país tiene su propio marco regulatorio, y las transacciones transfronterizas involucran al menos dos jurisdicciones. Esta complejidad ralentiza las investigaciones y retrasa el reembolso potencial.
Con el surgimiento de la inteligencia artificial, la lucha contra el fraude se ha vuelto aún más desafiante. Hoy, la IA generada facilita que los delincuentes escriban correos electrónicos bien construidos que parecen provenir de ejecutivos o contactos de confianza.
En el lado del consumidor, las estafas de abuelos asistidas por AI también están aumentando. Unos pocos segundos de las redes sociales o los videoclips de la voz de alguien es suficiente para crear efectos profundos utilizando herramientas ampliamente disponibles.
“El director financiero de una empresa en Hong Kong pidió una reunión de emergencia con sus informes directos sobre la llamada de zoom”, dijo Narayan. “Ninguna de las seis personas en la llamada pudo descubrir que las personas que constituyeron el CFO (las personas que todos conocen) en realidad no eran personas reales. Era una videollamada en vivo profunda. Les dijo que la compañía enfrentó algunos desafíos financieros y necesitaba recurrir a otro tipo de negocio y les instó a enviar millones a su cuenta”.
Aunque este es un ejemplo extremo, este tipo de ataques en el negocio son amenazas reales. Enterprise Correo electrónico Compromiso (BEC) representa 21,489 quejas y $ 2.9 mil millones reportados en 2023.
Cada vez que un empleado recibe un mensaje de alguien que afirma ser otro empleado y pide pagar, la empresa debe tener procedimientos claros para alentar consultas. También se recomienda implementar una segunda capa de verificación, especialmente para transferencias grandes. Si la persona busca información confidencial, la violación puede conducir a mayores problemas de seguridad.
Reclamando la responsabilidad
En el Reino Unido, la responsabilidad de estas transacciones autorizadas se comparte entre las diversas instituciones financieras involucradas. En los Estados Unidos, si bien esto comienza a cambiar, generalmente reduce a los consumidores en un 100%.
Por ejemplo, NACHA, que supervisa la red ACH, está implementando nuevas reglas que requerirán que todos los participantes de ACH no consumen monitoreen el fraude y devuelvan los pagos sospechosos a mediados de 2026. Esto marca un cambio hacia la responsabilidad compartida, similar a los modelos ya establecidos en regiones como el Reino Unido.
“Cuando una estafa comienza con las redes sociales, las telecomunicaciones pueden detener el fraude antes de que el fraude llegue al consumidor”, dijo Pete. “En lugar de simplemente decir que el cliente es 100% responsable de todo lo relacionado con la estafa, tal vez deberíamos compartir algunas de estas responsabilidades con los bancos o las compañías de redes sociales. Esto ayudará a generar confianza del cliente y a que los consumidores sepan que está haciendo todo lo posible para ayudarlos”.
Los bancos británicos también ponen más énfasis en combatir el fraude de aplicaciones que los pares estadounidenses en la educación del consumidor.
“Recientemente tuve un chico que venía a hacer trabajos de construcción en mi casa”, dijo Nayan. “Cuando les envié dinero, tuve que hacer clic siete veces porque estoy seguro? ¿Estás seguro de que no es una estafa? ¿Realmente sabes esta cuenta? ¿Estás enviando dinero a las personas adecuadas? Es frustrante, pero al mismo tiempo, me da una buena garantía de que les importa mi dinero”.
Promover una autenticación más fuerte
Algunas empresas han comenzado a implementar algún tipo de verificación, como la edad. Pero la verdadera oportunidad radica en un mayor desarrollo, utilizando cosas como la autenticación y la verificación de la inteligencia de la cuenta, por lo que las empresas realmente saben con quién están operando. Esta verificación positiva puede ayudar a prevenir el fraude, no solo la reaccionar después.
“Desea tomar suficientes precauciones de fraude para asegurarse de saber quién estará en su plataforma”, dijo Narayan. “Ya sea Booking.com, Meta o Google, deben saber con quién hacer negocios porque de esta manera, pueden compartir cualquier tipo de relación y atributos de comportamiento con las instituciones financieras para evitar que ocurra el fraude antes de que suceda”.
Por ahora, muchos proveedores de servicios financieros ven la educación del consumidor como una especie de ejercicio de comprobación de la caja, solo publicando contenido en sus sitios web porque los reguladores la necesitan.
“Creo que es un enfoque realmente malo”, dijo Pete. “Muchas empresas están preocupadas por causar demasiada fricción y perder a los clientes. Pero los estafadores a menudo intentan desarrollar un sentido de urgencia: tomar medidas de inmediato o no podrá obtener beneficios del Seguro Social o algo así. Estos pocos segundos preguntan” ¿Están seguros? “, Nuestros cerebros esencialmente quitan la sensación de pánico y ayudarán a alguien a evitar ser una víctima”.
Autorizar, no voluntario
Cuando se habla de autorización para impulsar el fraude de pago, la palabra clave es AutorizaciónNo voluntario. La víctima autoriza a tratar con el destinatario legal con falsas creencias y autoriza el pago a la cuenta del criminal. El voluntario significa que alguien está haciendo su propio libre albedrío.
“Este término puede sonar como un juego de palabras, pero no lo es”, dijo Pete. “La razón de la autorización es porque completaron la transacción, pero no es voluntario. He sido testigo de primera mano cómo este término realmente afecta el resultado del caso durante el juicio del jurado. Si el término autorizado se usa, incluso en base a la engañada, el jurado puede ser inocente”.
El análisis de comportamiento puede proporcionar soluciones prometedoras a este problema. ¿Las víctimas muestran signos de vacilación? ¿Son su escritura de manera diferente de lo habitual? ¿Están accediendo a sus cuentas de manera inusual? Reconocer estos comportamientos anormales puede ayudar a los bancos a descubrir situaciones en las que los clientes pueden ser forzados.
“Imagínese poder bloquear las transacciones porque el banco ve a la persona por teléfono durante más tiempo”, dijo Narayan. “Podría significar que alguien está haciendo que la persona envíe dinero. Puede evitar que ocurra el pago porque está monitoreando que la persona realmente está llamando a un posible estafador por teléfono”.
En el futuro, es posible predecir estos ataques y determinar quién puede ser el próximo límite. El punto es que ningún banco puede hacer esto solo. Necesitan visibilidad del fraude en otros lugares para predecir lo que podría suceder dentro de su organización.
Método de capas
La prevención del fraude requiere estratificar múltiples métodos de autenticación, incluida la biometría y la triangulación para identificar individuos y receptores de pagos.
“La prevención del fraude no es un fraude, ni ya es descubrimiento”, dijo Nayan. “No es que un punto de datos realmente evite el fraude”.
Los programas potentes requieren monitoreo continuo y métodos de autenticación de múltiples capas. Por ejemplo, podría estar en el Departamento de Finanzas Corporativas, podría estar en el proveedor, y luego, tres meses después, podría haber un estafador que domine el campo. Si el tesorero envía un correo electrónico y solicita cambiar el número de cuenta de X a Y, simplemente puede hacerlo con ese correo electrónico y permitir que el pago vaya a la ubicación incorrecta.
“Debe verificar constantemente las cuentas, las cuentas y la propiedad de cuentas de beneficiarios”, dijo Narayan. “Es absolutamente crucial desde la perspectiva del tesoro de la compañía”.
El enfoque en capas significa que las entidades ya no luchan contra el fraude con hojas de cálculo. La automatización de soluciones y traer nuevos servicios basados en API o servicios basados en portal garantiza que la tecnología funcione para usted, lo que le permite concentrarse en construir su negocio. Los socios experimentados adecuados pueden ayudarlo a encontrar las últimas herramientas para combatir el fraude de aplicaciones.
“Ya no podemos confiar en un enfoque”, dijo Pete. “No podemos reaccionar más. No podemos solo monitorear las transacciones. No podemos solo mirar el comportamiento histórico. No podemos solo mirar algo de inteligencia. Tenemos que adoptar este enfoque en capas en ciberseguridad. Queremos poner tantos obstáculos como sea posible antes de ese estafador”.
