Para utilizar las funcionalidades completas de este sitio, es necesario tener JavaScript habilitado. Aquí están las instrucciones para habilitar JavaScript en tu navegador web .

AI vs. AI: Pueden los modelos predictivos detener ciberataques reforzados con Inteligencia Artificial?

25 Junio, 2018 | La tecnología de machine learning y la inteligencia artificial (IA) son ahora componentes esenciales de cualquier estrategia efectiva de defensa  antifraude. Como ya sabemos, toda acción defensiva trae consigo una reacción criminal equivalente debido a que los hackers siempre intentarán evadir los controles. Entonces, si la IA está siendo utilizada para prevenir el fraude, ¿qué evita que los hackers empleen la misma tecnología, no solo para vencer los sistemas de defensa tradicionales sino también los basados en IA? Como punto de partida de este experimento, analizamos los posibles casos en que los criminales sacarían ventaja de IA: Creación de malware más poderoso e inteligente Debilitación de controles de autenticación Engaño al monitoreo transaccional basado en reglas Mejoras en los ataques de phishing Primera estapa de la investigación: El ataque y la evolución de estrategias de detección. Para llevar a cabo esta prueba, decidimos escoger las “mejoras en los ataques de phishing” como nuestro enfoque; entonces, el interrogante sería ¿qué tal si los estafadores emplean inteligencia artificial para crear URL más efectivas que puedan evadir el software de detección? Con la pregunta clave ya planteada, empezamos la búsqueda de cuál inteligencia artificial sería la vencedora. Para poder hacer la comparación de efectividad de IA, necesitamos conocer cómo se llevan a cabo los ataques de phishing tradicionales. El phishing tradicional sigue un mismo proceso en el cual los criminales buscan los blancos más vulnerables, crean sitios fraudulentos y despliegan su ataque. Un sistema tradicional de detección de phishing emplea reglas estáticas para identificar patrones conocidos de fraude y desactiva las URL que encienden las alertas basadas en dichas reglas. Este método resulta en un alto número de falsos positivos y negativos, concediéndole así la ventaja a los cibercriminales. Cuando nosotros utilizamos algoritmos inteligentes, en vez de un sistema basado en reglas para encontrar patrones nuevos y conocidos, el método ataque de los estafadores sigue siendo el mismo, pero la tasa de detección de las URL de phishing se eleva hasta un 98.7%. Tenemos nuevamente la ventaja. Pero ¿podríamos continuar con nuestra racha ganadora si los criminales deciden emplear tecnología de IA para su beneficio? Para saber esto con certeza, creamos un grupo hipotético de atacantes. Después de explorar los datos existentes de phishing, logramos determinar grupos o “bandas” de estafadores. Identificamos estos grupos al buscar URL que seguían un patrón similar que provenían de un mismo dominio. De ese modo encontramos a la banda Purple Rain, hábil grupo de estafadores. Este grupo logró una tasa de éxito de 0.69% haciendo uso de varias estrategias tradicionales. Esto significa que el 0.69% de sus ataques no fueron detectados por los sistemas anti-phishing. Este porcentaje de éxito puede parecer muy pequeño, pero es tres veces más alto que el de otros atacantes. Segunda etapa de la investigación: Mejorando la creación de URL usando IA Para la siguiente etapa del experimento, creamos un generador de URL basado en IA. Con esto fue posible modelar lo que la banda Purple Rain probablemente haría con IA: crear rápidamente una gran cantidad de URL específicamente diseñadas para minimizar la detección de los sistemas antifraude y maximizar el éxito de los ataques de phishing. Con la automatización de la generación de URL (en la cual se utilizaron los ataques previos de Purple Rain incluyendo URL, institución afectada, dominio comprometido, etc.) la eficiencia operacional mejoró dramáticamente. Entonces ¿qué sucedió cuando la banda empezó a emplear IA maliciosa? ¡Su tasa de éxito se incrementó en 3000%, de 0.69% a 20.9%! Tercera y última etapa de la investigación: ¿Estamos Perdidos? Afortunadamente ¡No! Nuestro experimento nos enseñó que la IA puede llegar a ser extremadamente útil para los estafadores. ¡Pero eso no significa que no hay esperanza! En la última fase del experimento, decidimos volver a nuestra posición de buenos, solo que esta vez mejoramos nuestro sistema de IA y entrenamos a nuestro algoritmo para que anticipara el uso de IA maliciosa. De esta forma, fuimos capaces de reducir la eficiencia de tal tecnología, derrotando así el sistema malicioso que creamos cuando actuamos como la banda Purple Rain. Es cierto que fuimos capaces de vencer la IA maliciosa en nuestro propio experimento, pero ¿podríamos llevar estos resultados al mundo real contra atacantes armados con la tecnología de IA? La respuesta es sí. No solo ya contamos con IA integrada en nuestras soluciones de seguridad, sino que gracias a nuestro experimento también sabemos cómo actuarían los estafadores haciendo uso de IA. Además, el enorme banco de datos de phishing que hemos construido gracias a nuestras aplicaciones nos da la ventaja. De forma similar a cuando encontramos la banda Purple Rain, detectamos y analizamos la estrategia de otros grupos capaces de aprovechar la IA. Entendiendo sus tácticas, podemos mejorar más rápidamente nuestros propios sistemas para derrotarlos. Incluso si los cibercriminales emplean la IA para lanzar ataques más nefastos, nosotros estamos preparados con tecnología más fuerte y eficaz. En la batalla de IA contra IA, siempre estaremos un paso adelante.

NIST declara insegura a la autenticación con doble factor basada en SMS

19 Abril, 2018 | Durante los últimos 20 años, hemos pasado de conducir negocios  y  entablar  charlas  en persona o vía telefónica a construir interacciones exclusivamente digitales. En particular, los usuarios de hoy quieren comunicarse con las organizaciones e instituciones financieras desde sus smartphones y tabletas, y asimismo esperan que las compañías cuenten con una fuerte presencia digital. El comercio electrónico, el cual involucra desde subastas en eBay y compras en Amazon hasta transacciones financieras en portales online y aplicaciones móviles, está creando la necesidad de fuertes procesos de autenticación que prevengan ciberataques y fraudes electrónicos. En los albores del nuevo milenio, los cibercriminales lanzaron los primeros esquemas de secuestro de cuentas online utilizando credenciales robadas. Como contramedida, las instituciones financieras implementaron el envío de un factor de autenticación adicional a través de mensajes SMS. Con este sistema, los usuarios recibían una contraseña de un solo uso (OTP) a través de un mensaje SMS con el fin de que verificaran una transacción online. Signal System 7 o SS7 era el lenguaje estándar empleado para enviar mensajes de texto alrededor del mundo. Sin embargo, las redes de telefonía móvil estaban diseñadas para ser convenientes, no seguras, y SS7 no era la  excepción. Esta red fue concebida con el propósito de brindar una cómoda experiencia a usuarios en movimiento, permitiéndoles establecer llamadas ininterrumpidas sin importar que estuvieran en una autopista o en un tren de camino a su trabajo. La adopción de mensajes SMS para transmitir información sensitiva es el perfecto ejemplo de un patrón muy común en la protección de datos cuando nuevos métodos de autentificación o productos digitales son lanzados al mercado, la experiencia de usuario y el afán de llegar a los consumidores se convierten en una prioridad por encima de la seguridad, la cual es muy a menudo vista como un obstáculo para la competitividad. No fue sino hasta 2008 que las vulnerabilidades de seguridad en SS7 fueron dadas a conocer. Resultó que las contraseñas OTP enviadas a través de mensajes SMS podían ser interceptadas, y lo peor era que en la mayoría de los casos dichas contraseñas eran enviadas sin ser cifradas. Normalmente, la contraseña de un solo uso debía ser ingresada en la misma página transaccional donde el usuario suministraba su nombre y contraseña tradicional. Pero si el dispositivo o la página ya habían sido comprometidos por el malware, los criminales obtenían la capacidad de recolectar todas las credenciales de acceso, incluyendo la contraseña OTP. De esta forma, las cuentas de un usuario quedaban a merced de los estafadores. A inicios de ese año, una de las vulnerabilidades de SS7 fue explotada con el fin de burlar el sistema de autenticación con doble factor de varios bancos alemanes. Estos bancos utilizaban mensajes SMS para enviar contraseñas OTP y verificar la  legalidad de transacciones online. Los atacantes tomaron ventaja de las brechas de seguridad existentes en SS7 para retrasmitir mensajes SMS genuinos a números telefónicos de su propiedad y evitar que llegaran a sus destinos originales, los teléfonos de los titulares de las cuentas. Finalmente, los criminales emplearon las contraseñas OTP incluidas en los mensajes para acceder a las cuentas online y robar los fondos.  Desafortunadamente, esto no fue un incidente aislado. El sistema de envío de contraseñas OTP a través de la plataforma SMS ya ha sido comprometido en diversas ocasiones gracias a las más variadas técnicas criminales. Esto ha hecho que este tipo de autenticación haya perdido la confianza de las instituciones y los usuarios. En agosto del año pasado, el  Instituto  Nacional  de Estándares y Tecnología de EE.UU. (NIST) recomendó la discontinuación  de los mensajes SMS para la transmisión de contraseñas OTP debido a que las debilidades propias del canal permitían la consumación de ciberfraudes. Incluso antes de esto, la industria ya mostraba una clara tendencia hacia el abandono de la autenticación de usuarios basada en SMS, inclinándose por la adopción de factores más amigables y seguros. Con mejores alternativas para autenticación con doble factor, los mensajes SMS ya no deberían ser considerados como una opción segura. La falta de alternativas adecuadas ha sido la excusa preferida para continuar con el uso de la tecnología SMS, aunque éste ya no es el caso. Los factores de autenticación han avanzado mucho desde los días de las contraseñas generadas aleatoriamente y enviadas vía SMS. Los teléfonos y tabletas de la actualidad cuentan con avanzada tecnología y alto poder de cómputo, lo cual les permite tomar ventaja de mecanismos de autenticación y verificación transaccional más seguros, incluyendo notificaciones push, reconocimiento biométrico (huellas, voz y rostro) y software de seguridad integrable con la aplicación de la institución. Analicemos con más detalle algunos de estos mecanismos de autenticación de “próxima generación” y sus mejores prácticas: Autenticación push: las notificaciones push permiten establecer un canal de comunicaciones de doble vía y en tiempo real, a través del cual los usuarios pueden responder inmediatamente si desean aprobar o declinar una transacción. Los mensajes cifrados son enviados fuera de banda por medio de una aplicación. No hay números PIN o contraseñas, y las notificaciones quedan fuera del alcance de las manos criminales. Su fuerte seguridad se suma a una alta conveniencia, convirtiéndose así en una opción ideal para ofrecer una experiencia de uso sin fricción. Al incrementar las comunicaciones con sus clientes y fortalecer la confianza, la tecnología push va más allá de simplemente autenticar actividad  financiera y ayuda a las organizaciones a obtener mayores ingresos. Si bien los clientes hoy son más cautelosos en cuanto a campañas de marketing, muchas veces ignorándolas del todo, los mensajes push aseguran que la información llegue al destino deseado. Mensajes sobre nuevos productos, ofertas o tasas especiales pueden ser dirigidos a los clientes adecuados para incrementar las oportunidades de ventas. Reconocimiento biométrico: esta tecnología ofrece conveniencia sin paralelo a los usuarios finales, permitiéndoles aprovechar sus propios rasgos físicos como factor de autenticación. Los lectores de huellas digitales, rostro y voz constantemente mejoran a la par de los dispositivos móviles en los que son integrados. Como parte de un sistema de autenticación adaptable que combina confirmación de identidad con otras variables basadas en riesgo, la biometría asegura que solo los usuarios legítimos puedan acceder a las cuentas y datos sensitivos sin tener que superar una serie de elaborados obstáculos. Tokens digitales/móviles: a diferencia de las contraseñas OTP vía SMS, los códigos de un solo uso basados en software para validar inicios de sesión y actividad transaccional se encuentran protegidos por sistemas de cifrado y otros mecanismos, los cuales hacen que sean inservibles en caso de que un criminal logre interceptarlos. Estos códigos son enviados al smartphone o tableta del cliente a través de una aplicación móvil. Una vez son recibidos, la aplicación los despliega automáticamente en la pantalla del dispositivo sin necesidad de que el usuario navegue entre diferentes aplicaciones con el fin de ingresarlo. Como podemos ver, la autenticación multifactorial fuera de banda y exclusiva para smartphones (o tabletas) provee un nivel de seguridad muy superior al ya antiguo enfoque basado en mensajes SMS. Este tipo de autenticación es también más conveniente, brindando una experiencia de usuario sin fricción. Puede que la autenticación a través de SMS haya sido la mejor opción hace una década, pero la actual revolución de los smartphones ha estimulado la creación de alternativas más eficientes y seguras para mantener a salvo la banca y el comercio electrónico.  

Noticias falsas y confianza digital

21 Junio, 2017 | El año pasado fue una época sin precedentes en la industria de la ciberseguridad con un número récord de vulnerabilidades explotadas y brechas de alto perfil. Una de estas vulnerabilidades se conoce como noticias falsas. En ella, los cibercriminales realizan grandes esfuerzos para que historias falsas aparenten ser verídicas. El objetivo real de estas historias es engañar a los lectores y generar ganancias a través de la generación de clics y “shares”. Ejemplos recientes de estas noticias incluyen aquella en la que se declara que el Papa Francisco apoyó a Donald Trump, u otra en la que se menciona que Hillary vendió armas al grupo extremista ISIS. Una página de noticias falsas fue diseñada para asemejarse a la página real de Forbes. Su contenido fraudulento fue tuiteado, publicado en Facebook y promovido en motores de búsqueda, entre otros. Otro ejemplo de noticia falsa convoca a los usuarios a dar clic en determinados enlaces. Así, los usuarios son redirigidos a sitios donde inadvertidamente revelan información sensitiva. ¿Desea una muestra gratis? Primero llene este formulario con sus datos personales, la muestra gratis obviamente nunca llega, y en cambio el usuario final sí compartió una cantidad significativa de información personal con cibercriminales en algún lugar del mundo. Un problema mucho más complejo Lo que observamos hoy se asemeja en gran medida a los ataques de phishing de 2002. En ese momento, nadie pudo predecir qué tan dañinos esos ataques realmente iban a ser. Actualmente, los criminales se han lanzado a la caza de información relevante, como los titulares amarillistas, los cuales les permiten lanzar y monetizar ataques exitosamente. Los cibercriminales de hoy están en capacidad de controlar los anuncios publicitarios, perfiles sociales, contenidos y noticias que vemos. Ellos sacan provecho de la forma en que consumimos información, lo cual define lo que vemos y a dónde nos dirigimos en el cibermundo. La tecnología permite construir sobre la marcha los contenidos que el público desea ver, la información que capturará su atención y los llamados a la acción que generarán clics. ¿Es usted un católico practicante que sigue contenido relacionado en sitios web y redes sociales? Entonces si ve un titular sobre el Papa brindando su apoyo a Donald Trump, es muy probable que usted de clic en él para conocer más. En la mayoría de casos, los criminales ya están en nuestros dispositivos, conociendo y prediciendo dónde vamos a hacer el siguiente clic. Cada vez es mayor la dificultad para que los usuarios finales sepan si lo que están viendo en su smartphone, tableta o computador realmente proviene de una fuente fidedigna. Asimismo, la popularidad de las redes sociales solo empeora la diseminación de noticias falsas. No obstante, este problema no solo afecta a las agencias de noticias. Virtualmente, cualquier compañía puede ser impactada negativamente por ataques online que suplanten su identidad, logos, imagen, sitios web, perfiles sociales, empleados y demás. De esta forma, el concepto de confianza digital ganará más relevancia este año. ¿Cómo pueden las organizaciones establecer confianza? A medida que nos adentramos en este nuevo mundo, el monitoreo proactivo de marcas y activos digitales es más importante que nunca. Los clientes esperan que organizaciones públicas y privadas tomen medidas adecuadas en contra del cibercrimen, especialmente si dichas organizaciones facilitan interacciones y transacciones digitales. El billonario Warren Buffett conoce la importancia de la imagen de una compañía, y cómo esta puede verse manchada fácilmente. “Toma 20 años construir una reputación y 5 minutos arruinarla. Si considera esto, hará las cosas de forma diferente,” expresó Buffet. El objetivo de los criminales es contaminar diversos canales digitales e interactuar con los usuarios. Un enfoque proactivo evitará: invertir altas sumas de dinero en la recuperación después de un ataque y redirigir recursos adicionales para sofocar una crisis y reparar la reputación de la organización. Así que ¿cómo pueden las organizaciones garantizar la protección contra amenazas digitales? Y ¿cómo pueden hacer las cosas de forma diferente? Todo comienza con la implementación de una estrategia proactiva para combatir diversas amenazas. Por consiguiente, las organizaciones deben: Establecer monitoreo y análisis constante de su canal de email, redes sociales y plataformas web mediante integración personalizada de conjuntos de datos. Trabajar con un proveedor de protección contra amenazas que clasifique y analice datos masivos a través de técnicas de machine learning con el fin de identificar y desactivar amenazas tan rápido como sea posible.  Instalar mecanismos de desactivación que minimicen el impacto de un ataque sobre empleados o usuarios. Implementar un enfoque multinivel que cubra todo el ciclo de vida del fraude, previniendo y detectando ataques. Claramente,    las    agencias    de    noticias no    deberían    ser    las    únicas    interesadas en    la    propagación    indiscriminada    de desinformación. No es ningún secreto que una empresa con una débil reputación puede llegar a sufrir grandes pérdidas financieras. Las compañías deben enfocarse en el futuro, no en el miedo al fraude.

Plataforma bancaria digital

22 Marzo, 2017 | Plataforma bancaria digital A medida que más personas se inclinan por la banca móvil para administrar su dinero, las organizaciones financieras están brindando mejores opciones para aquellos usuarios que realizan sus transacciones sobre la marcha. Uno de los bancos más grandes de Colombia, Bancolombia, creó una plataforma digital que les permite a los usuarios administrar su dinero, transferir fondos, retirar efectivo, organizar sus finanzas y fijarse metas de ahorro con solo tocar un botón en sus dispositivos móviles. La aplicación móvil Nequi elimina la necesidad de usar oficinas físicas y demás canales bancarios tradicionales. El desarrollo es particularmente atractivo para los Millennials, un creciente y poderoso grupo demográfico que confía más en las plataformas digitales que en las instituciones financieras tradicionales. Los retos de administrar dinero en plataformas digitales Sin poder verificar el documento de identidad de los clientes como en una oficina bancaria, Nequi necesitaba una forma de garantizar que las transacciones digitales fueran seguras. Tenían que lograr verificar rápidamente que los usuarios eran quienes decían ser, sin imponerles demasiadas inconveniencias. Los líderes de la compañía sabían que los usuarios de Nequi elegirían intencionalmente la banca online por una experiencia más rápida y conveniente, por lo que una estrategia de autenticación que creara fricción no sería satisfactoria. Los líderes necesitaban un sistema que proactivamente cubriera cualquier vacío de vulnerabilidad e hiciera extremadamente difícil que los cibercriminales penetraran su aplicación.  DetectID: seguridad móvil y experiencia de usuario mejorada Nequi eligióla plataforma de autenticación de Easy Solutions, DetectID, porque les permitía incorporar un componente crucial de seguridad que enlazara el teléfono del usuario a cada transacción. DetectID es una solución de autenticación fuerte multifactorial que protege una variedad de canales transaccionales, incluyendo cajeros electrónicos, terminales de punto de venta y plataformas online. En lugar de necesitar una tarjeta de débito para hacer retiros en un cajero electrónico, los usuarios solo deben ingresar la contraseña de un solo uso generada por DetectID. Tal contraseña es enviada al teléfono del usuario y expira tan pronto la transacción es completada. DetectID envía una contraseña de un solo uso al dispositivo móvil del usuario para validar su identidad. “Encontramos a Easy Solutions con su solución de DetectID, lo cual nos permitió incorporar un componente importantísimo de la seguridad para amarrar el teléfono a las transacciones.”   Andrés Vásquez, Director Nequi Además de usar DetectID para validar la identidad, Nequi utiliza la tecnología para enviar rápida y seguramente notificaciones push con información relevante para los usuarios. Estos mensajes no pueden ser interceptados debido a los algoritmos de seguridad usados por DetectID. La identidad del usuario también puede autenticarse mediante notificaciones push, las cuales mejoran la experiencia general del usuario mientras fortalecen la seguridad.   Perfecta integración a través del SDK móvil de DetectID Cuando un usuario se inscribe en Nequi, DetectID envía un mensaje de texto o genera una llamada telefónica automática con una contraseña de un solo uso para verificar la autenticidad del dispositivo. DetectID también genera una de estas contraseñas para validar la identidad del usuario cuando inicia sesión, transferencias y retiros. Este proceso es rápido y transparente gracias al SDK móvil de DetectID integrado en la aplicación de Nequi. Un usuario de Nequi puede ir a uno de los 4.000 cajeros electrónicos de Bancolombia, ingresar su número de teléfono y recibir un código en la aplicación Nequi de su dispositivo. DetectID se comunica con la red del cajero para garantizar que el usuario legítimo está realizando la transacción. Nequi también les permite a los usuarios pagar en miles de establecimientos usando códigos QR para validar su identidad. Los usuarios de Nequi pueden pagar en miles de establecimientos usando el código QR generado por la aplicación. Un paso hacía el futuro A medida que más clientes adoptan una experiencia bancaria exclusivamente online, las organizaciones necesitarán verificar la identidad de sus usuarios a través de canales online. De esta forma, las compañías necesitan optar por estrategias que se integren con sus sistemas existentes y que no resulten agobiantes para el usuario. Ejecutada correctamente, la autenticación es un medio para satisfacer las necesidades de los usuarios y brindar una experiencia segura. Aprenda más sobre la autenticación segura hecha simple.

Seguridad con menor fricción: La clave para proteger a los Millennials y crecer los canales digitales

01 Junio, 2016 | Los bancos tienen una gran oportunidad para capturar millennials, la generación que será la base de usuarios más importante del futuro  Son vistos enviando mensajes en las calles, tomándose fotos en bares y cafés, fotografiando su comida en restaurantes y tocando y barriendo sus pantallas en el transporte público; sus rostros son iluminados por las pantallas de sus teléfonos mucho después de que se oculta el sol. La generación de los Millennials fue introducida a la Internet y a los teléfonos móviles a temprana edad y es la primera generación en crecer casi constantemente conectada. Esto ha afectado la forma en que ven el mundo, y las compañías que por uno u otro motivo estén levemente conectadas, tengan una débil presencia online, o cuyo contenido web no se visualice bien en un smartphone, podrían dejar de existir. Por esta razón, las grandes marcas han aceptado el hecho de que necesitan replantear la forma en que abordan este creciente segmento de la población. Todo esto aplica especialmente al sector bancario, el cual ha reconocido que los Millennials son “nativos digitales” que interactúan con productos y marcas de manera diferente a generaciones anteriores. Como afirma la revista Forbes, los Millennials demuestran una mayor fidelidad a una marca cuando tienen una experiencia positiva con dicha marca. Por el otro lado, cuando un Millennial tiene una experiencia negativa con una compañía, tienden a desahogar su frustración en redes sociales en lugar de contactar a la línea de servicio al ciente de la compañía1. También son más propensos a confiar en blogs y demás contenido web para tomar decisiones antes de hacer compras y esto lo hacen diariamente a través de una gran cantidad de dispositivos electrónicos. Milennials, sus futuros clientes   La generación Millennial, definida como aquellos entre los 18 y 34 años de edad, representa cerca de un tercio de la población de Latinoamérica y son un poderoso motor que impulsa la economía de sus países dado que el 63 por ciento de ellos son económicamente activos. Este mercado no solo es atractivo, sino también esencial para grandes  pequeños negocios si se tiene en cuenta que estos jóvenes consumidores son responsables de generar actividades económicas por más de US$31 mil millones al año2. Mientras la generación  Millennial  cumple la mayoría de edad en los próximos siete u ocho años, representarán una incomparable potencia económica. Para 2025, los Millennials representarán un sorprendente 75% de la fuerza de trabajo global, y controlarán alrededor de 8 billones de dólares del ingreso neto anual3. Qué tanto del mercado puedan capturar los bancos del mundo y particularmente en Latinoamérica dependerá de qué tan bien lograrán manejar su relación con los Millennials, un segmento de su base de clientes que es más fiel a experiencias positivas que a nombres de marcas. Cada vez más bancos se están volviendo más digitales y menos físicos. Esto tiene sentido dado que no solo se hace más atractivo para los Millennials, sino que también reduce costos operativos. Es más rentable tener clientes de banca móvil que tener aquellos que frecuentan oficinas porque cuestan menos y generalmente están más contentos con el servicio. Un estudio realizado por la firma de servicios financieros Fiserv descubrió que los usuarios de banca móvil generaron ingresos por 72% más que los clientes de oficina. Incluso, los clientes de oficina son dos veces más propensos a dejar el banco por un rival que los usuarios de banca móvil. El costo promedio por transacción móvil es de 10 centavos, comparado con los 4.25 dólares para una transacción en persona en una oficina física4, así que los clientes que hacen sus transacciones desde smartphones solo cuestan “centavos” por así decirlo desde un punto de vista rentable. Este alto retorno de inversión por “hacerse móvil” es otra razón por la que continuaremos viendo una tendencia de oficinas bancarias desapareciendo. Los Millennials son la generación que quiere hacer todo desde su Smartphone, no solo transacciones financieras. Aproximadamente el 90% de los jóvenes de Latinoamérica están constantemente conectados e interactuando en redes sociales, así que este es el principal lugar donde hallarlos al momento de transmitir el mensaje sobre los productos o servicios de su compañía. Hay que tener en cuenta que esta es la generación que no solo invierte tiempo en sus teléfonos sino también dinero; el 67% de todos los Millennials de Latinoamérica realiza compras online regularmente. Mayor número de transacciones digitales igual a mayor fraude digital Como consecuencia de crecer con sus rostros frente a las pantallas, los Millennials están acostumbrados a la comodidad y facilidad de la experiencia del usuario. Se frustran rápidamente si no logran ejecutar simples funciones online o si un sitio web es demasiado complicado, incluso si el paso extra para completar una transacción está ahí para su propia protección. Con el fin de permanecer relevantes para los Millennials, la generación que sobrepasará a los Baby Boomers en términos de fuerza de trabajo y poder adquisitivo, los bancos necesitan garantizar continuamente que sus estrategias de seguridad no comprometen la facilidad y la experiencia positiva de usuario. “Los Millennials son muy proclives a elegir conveniencia sobre seguridad”, aseguró Silvia López, CMO de Easy Solutions, en una entrevista a la revista CIO América Latina en marzo de este año. “Uno de los principales retos que enfrentarán los bancos es cómo brindar lo que los Millennials más valoran: conveniencia y productividad sin comprometer la seguridad de las transacciones al mismo tiempo6.” Los Millennials son una población esencial para las instituciones financieras, pero son un grupo voluble. Si desea atraer su atención, todos los aspectos de la banca deben poder accederse vía Smartphone o tableta, incluso aquellos que hace tan solo unos años requerían interacción personal. A diferencia de las anteriores generaciones (quienes no conciben su vida sin una cuenta bancaria), los Millennials son a menudo conocidos como ‘La Generación Sin Bancos’ por buenas razones. Una parte importante de esta población se siente perfectamente feliz con tarjetas débito prepagadas, monedas virtuales o servicios financieros ofrecidos por Apple o Google, y son perfectamente funcionales sin una cuenta de ahorros convencional7. Esta generación realmente antepone la conveniencia sobre todo lo demás. Pero debido a que hay más transacciones financieras digitales que nunca antes, existe un gran riesgo de que estas transacciones sean interceptadas o secuestradas por cibercriminales, corriendo el riesgo de que el dinero pueda ser robado de las cuentas de los clientes. Proteger a los Millennials y demás clientes mientras realizan sus transacciones online no significa que se deba sacrificar la conveniencia. Todo es cuestión de encontrar el balance perfecto entre fricción del usuario y seguridad.   Seguridad de transacciones con menor fricción   Actualmente, existen muchas maneras innovadoras y con baja fricción de asegurar a lo usuarios finales como autenticación Push o incluso seguridad biométrica. Los Millennials aman la comodidad, pero también desean tener opciones. Así que por qué no darles lo que desean y convertirlo en algo que están haciendo de todas formas: la infaltable ‘selfie’. La autenticación biométrica móvil se presenta de tres formas: reconocimiento facial, vocal y de huellas dactilares. El paso extra para verificar la identidad de alguien mientras realiza una transacción puede ser divertido para los Millennials si esto significa que pueden tomarse otra foto de sus propios rostros. En caso de que esa no sea una opción viable (por ejemplo, debido a poca luz), entra en juego la elección de una de las otras opciones de autenticación biométrica. Si bien estas formas de seguridad para transacciones móviles no son totalmente transparentes, son unas de las más amigables del mercado y las que menos fricción presentan, y su innovación las convierte en un éxito entre los jóvenes de la generación Millennial. Los bancos deben tener en cuenta, que los Millenials no estan especialmente preocupados por seguir buenas prácticas de seguridad en Internet: 44% de los Millennials ha sido víctimas de cibercrimen alguna vez en 2015. 31% de los Millennials recicla sus contraseñas y credenciales bancarias. 84% de los Millennials regularmente pone en riesgo sus cuentas online al realizar transacciones en redes públicas inseguras.   En esencia, lo que los Millennials quieren, y lo que los bancos necesitan ofrecer si desean conservar sus actuales titulares de cuentas y atraer más, es el perfecto balance entre seguridad y conveniencia. Pero, ¿cómo se ve una plataforma de banca online conveniente, amigable con el dispositivo móvil y altamente segura? Existen algunas reglas generales; por ejemplo, autenticación fuerte que vaya más allá del nombre de usuario y contraseña, con métodos de baja fricción como “notificaciones Push” o a través del uso de seguridad biométrica, la cual puede integrarse en su actual aplicación de banca móvil. El resultado es la combinación precisa de seguridad y la facilidad de las transacciones online que los clientes Millennial están buscando.   Pero, ¿qué hay de la indiferencia de esta generación frente a la seguridad online cuando no está realizando transacciones online? ¿Qué ocurre cuando están navegando en la web, viendo videos, conversando con amigos y dando clic en enlaces potencialmente inseguros? Muchos dispositivos móviles están infectados con malware, pero la mayoría de los usuarios no lo sabe. Esto no tiene que complicar o restringir el comportamiento de las transacciones online de sus clientes. Otro punto esencial para asegurar y hacer más cómodas las transacciones es a través del uso de tecnologías de navegación segura. Estos enfoques aseguran la transacción en progreso, es decir, sus clientes pueden realizar compras, pagar facturas o realizar otro tipo de transacciones financieras de forma segura, incluso en dispositivos comprometidos. Algunos otros métodos para asegurar a los Millennias, y a sus demás usuarios, que son amigables y hasta transparentes son:   Desactivación proactiva de amenazas: Servicios de monitoreo de amenazas en Internet, incluyendo páginas web, redes sociales, blogs, etc., que pueden detectar y desactivar proactivamente ataques de malware o phishing, antes de que lleguen a ser una amenaza para su población de usuarios. Navegación segura: No se preocupe o congestione el departamento de IT de su institución al pedirles que traten de “limpiar” los dispositivos infectados de malware de sus usuarios antes de que puedan iniciar sesión en sus cuentas. Proteger la transacción y no el dispositivo es esencial y existen soluciones antifraude que se encargan de esto. Monitoreo de login y transacciones para detectar acciones sospechosas: Conocer a sus usurios es muy importante y la implementación de soluciones que vayan más allá del uso de reglas y que utilicen motores estadísticos y de “machine learning” le permitirán identificar comportamientos y transacciones que se salgan de los patrones normales de sus usuarios.