Las instituciones financieras se han basado en métodos de autenticación estática para verificar a sus usuarios durante años. Los clientes usan contraseñas o biometría para identificarse cuando inician sesión en su cuenta, y después de eso pueden acceder completamente a ella. Pero con el aumento de los ataques de adquisición de la cuenta, es hora de considerar estas agencias considerar un método de autenticación continua que monitorea signos de fraude durante todo el proceso.
En el nuevo informe Adquisición de la cuenta: se puede acceder a la autenticación estática sin confirmaciónJennifer Pitt, analista senior de Javelin Strategy and Research, analiza las deficiencias de los métodos de autenticación tradicionales y por qué los bancos recurren cada vez más a la autenticación continua.
Contraataque actual
Los costos de fraude de adquisición de la cuenta los consumidores fueron de $ 15.6 mil millones en 2024, más alto de $ 12.7 mil millones el año anterior. Esto es más del doble de la pérdida de dólar causada por el fraude de la nueva cuenta. Obviamente, la autenticación estática es la forma principal de verificar la identidad, no hacer el trabajo.
Si un criminal de inicio de sesión en la cuenta con credenciales de inicio de sesión legítimas (pero robadas), la autenticación estática puede verificarla como un usuario verificado. ¿Puede un banco u organización determinar que otros son la única forma de verificar el comportamiento de la cuenta: el usuario generalmente ve su situación cuando no está en la información de la cuenta? ¿Están tratando de colocar transacciones que normalmente no tienen? La autenticación continua vea todos estos comportamientos del usuario en segundo plano y preste atención a cuán diferente es del usuario autenticado.
““Esto no le solicitará que inicie sesión nuevamente o le solicite credenciales. Con la autenticación continua, las herramientas con IA en realidad están recopilando información sobre lo que hace en su cuenta y asegurándose de que la información sea consistente con el usuario real verificado”, dijo Pete.
Si las instituciones financieras determinan que la actividad es sospechosa, como las transacciones intentadas en jurisdicciones que se consideran de alto riesgo, pueden usar la llamada verificación de identidad mejorada. Esto implica requerir que los usuarios verifiquen el uso de otros métodos, como huellas de pulgares o preguntas basadas en el conocimiento.
Superar el sistema heredado
Una de las razones por las que muchas empresas resisten la autenticación continua es que requiere tecnología avanzada. Los sistemas tradicionales a menudo no tienen la tecnología adecuada, y algunos bancos pueden preocuparse de que la verificación de identidad continua pueda conducir a la fricción del cliente.
“Los proveedores que ofrecen soluciones de autenticación continua necesitan educar mejor a los consumidores individuales y a las instituciones financieras”, dijo Pitt. “De hecho, reducirá la fricción para los consumidores porque no necesita estos inicios de sesión continuos y información continua, pero aún puede rastrear el comportamiento anormal de ese consumidor”.
Muchas instituciones financieras no conocen los indicadores de riesgo de adquirir cuentas, porque muchas de ellas constituyen un comportamiento normal. Las métricas incluyen personas que usan una VPN o fallan en los intentos de inicio de sesión, que cualquier usuario puede hacer.
Con la antigua solución, las instituciones financieras ofrecerán dos opciones básicas: bloquear el uso de una de las señales de riesgo, causar todas las cosas que causan problemas de prospectos o dejar que todo lo demás desaparezca porque la señal puede indicar algo más que adquirir una cuenta.
KYC permanente
Existen preocupaciones similares para el proceso del cliente de conocimiento tradicional (KYC) que solo se realiza en el proceso introductorio. A menudo, los clientes pueden obtener algunas preguntas de sus instituciones financieras, haciendo varias preguntas: si tiene un negocio, ¿qué negocio es ese? ¿Cuánto cuesta su ingreso? ¿Qué cuenta bancaria quieres usar? ¿Qué tipo de transacción vas a hacer y en qué monto en dólares?
Toda esta información es esencial para comprender y revisar a los clientes. La mayoría de las instituciones financieras solo pueden hacer esto una vez cuando están incorporando, de lo contrario pueden hacer esto todos los años cuando revisan sus cuentas.
“Si faltaba algo durante el período KYC inicial, o tal vez el cliente estaba mintiendo, no sabe quién era su cliente”, dijo Pete. “Tal vez el cliente pasó de ser un cliente legítimo a un estafador y usted no lo sabe porque no revisó a ese cliente durante la brecha de ese año”.
Por otro lado, Permanent KYC utiliza herramientas con IA para revisar a los clientes en tiempo real. Cada vez que un consumidor usa la cuenta, KYC permanente evalúa el riesgo. Si aumenta el nivel de riesgo, la cuenta o el cliente serán etiquetados y enviados para una revisión de manual o actualización.
El proceso tradicional de KYC perdió mucho fraude y lavado de dinero, lo que resultó en multas significativas. Por ejemplo, el año pasado, TD Bank fue el primer banco en ser acusado criminalmente por no encontrar el lavado de dinero. Esto se puede evitar implementando KYC permanente.
No solo el banco
Las personas consideran principalmente comprar cuentas en términos de cuentas bancarias. Sin embargo, una de las razones por las que dicho fraude es tan común es que cada tipo de cuenta tiene riesgos.
Si alguien se hace cargo de una cuenta de redes sociales, esencialmente puede engañar a los amigos y colegas de los usuarios. Alguien se hizo cargo de la cuenta de correo electrónico y puede hacerle mucho daño.
“Si solo conozco su nombre de usuario y contraseña, entonces cuando inicio sesión en su cuenta financiera, tal vez ahora pueda ver su dirección de correo electrónico y número de teléfono”, dijo Pete. “Puedo ver su número de seguro social. Puedo ver su cuenta vinculada a otra cuenta en otro banco, y ahora intentaré esa cuenta.
“Los bancos deben deshacerse de la idea de solo una cuenta financiera que se está apoderando de una cuenta. Persiguen tantas cuentas lo más rápido posible.
Los delincuentes finalmente quieren dinero, y pueden obtener la mayor cantidad de dinero adquiriendo sus cuentas. Estas cuentas han sido revisadas. Se han sometido a cheques de KYC, han verificado su identidad y sus cuentas generalmente están vinculadas a otras cuentas financieras y no financieras.
“Los bancos todavía están mirando el fraude de la forma en que estaban hace 20 años, donde no tenemos las soluciones generativas de IA que los estafadores están usando”, dijo Pitt. “No tenemos bots. No tenemos la universalidad de las adquisiciones de cuentas porque es mucho más difícil para ellos hacerse cargo de la cuenta. Necesitamos analizar los cambios de comportamiento sutiles en lugar de las cosas principales, necesitamos mantener el proceso en marcha”.
