Para utilizar las funcionalidades completas de este sitio, es necesario tener JavaScript habilitado. Aquí están las instrucciones para habilitar JavaScript en tu navegador web .

Los bancos tienen una gran oportunidad para capturar millennials, la generación que será la base de usuarios más importante del futuro 

Son vistos enviando mensajes en las calles, tomándose fotos en bares y cafés, fotografiando su comida en restaurantes y tocando y barriendo sus pantallas en el transporte público; sus rostros son iluminados por las pantallas de sus teléfonos mucho después de que se oculta el sol. La generación de los Millennials fue introducida a la Internet y a los teléfonos móviles a temprana edad y es la primera generación en crecer casi constantemente conectada. Esto ha afectado la forma en que ven el mundo, y las compañías que por uno u otro motivo estén levemente conectadas, tengan una débil presencia online, o cuyo contenido web no se visualice bien en un smartphone, podrían dejar de existir.

Por esta razón, las grandes marcas han aceptado el hecho de que necesitan replantear la forma en que abordan este creciente segmento de la población. Todo esto aplica especialmente al sector bancario, el cual ha reconocido que los Millennials son “nativos digitales” que interactúan con productos y marcas de manera diferente a generaciones anteriores.

Como afirma la revista Forbes, los Millennials demuestran una mayor fidelidad a una marca cuando tienen una experiencia positiva con dicha marca. Por el otro lado, cuando un Millennial tiene una experiencia negativa con una compañía, tienden a desahogar su frustración en redes sociales en lugar de contactar a la línea de servicio al ciente de la compañía1. También son más propensos a confiar en blogs y demás contenido web para tomar decisiones antes de hacer compras y esto lo hacen diariamente a través de una gran cantidad de dispositivos electrónicos.

Milennials, sus futuros clientes

 

La generación Millennial, definida como aquellos entre los 18 y 34 años de edad, representa cerca de un tercio de la población de Latinoamérica y son un poderoso motor que impulsa la economía de sus países dado que el 63 por ciento de ellos son económicamente activos. Este mercado no solo es atractivo, sino también esencial para grandes  pequeños negocios si se tiene en cuenta que estos jóvenes consumidores son responsables de generar actividades económicas por más de US$31 mil millones al año2.

Mientras la generación  Millennial  cumple la mayoría de edad en los próximos siete u ocho años, representarán una incomparable potencia económica. Para 2025, los Millennials representarán un sorprendente 75% de la fuerza de trabajo global, y controlarán alrededor de 8 billones de dólares del ingreso neto anual3. Qué tanto del mercado puedan capturar los bancos del mundo y particularmente en Latinoamérica dependerá de qué tan bien lograrán manejar su relación con los Millennials, un segmento de su base de clientes que es más fiel a experiencias positivas que a nombres de marcas.

Cada vez más bancos se están volviendo más digitales y menos físicos. Esto tiene sentido dado que no solo se hace más atractivo para los Millennials, sino que también reduce costos operativos. Es más rentable tener clientes de banca móvil que tener aquellos que frecuentan oficinas porque cuestan menos y generalmente están más contentos con el servicio. Un estudio realizado por la firma de servicios financieros Fiserv descubrió que los usuarios de banca móvil generaron ingresos por 72% más que los clientes de oficina. Incluso, los clientes de oficina son dos veces más propensos a dejar el banco por un rival que los usuarios de banca móvil. El costo promedio por transacción móvil es de 10 centavos, comparado con los 4.25 dólares para una transacción en persona en una oficina física4, así que los clientes que hacen sus transacciones desde smartphones solo cuestan “centavos” por así decirlo desde un punto de vista rentable. Este alto retorno de inversión por “hacerse móvil” es otra razón por la que continuaremos viendo una tendencia de oficinas bancarias desapareciendo.

Los Millennials son la generación que quiere hacer todo desde su Smartphone, no solo transacciones financieras. Aproximadamente el 90% de los jóvenes de Latinoamérica están constantemente conectados e interactuando en redes sociales, así que este es el principal lugar donde hallarlos al momento de transmitir el mensaje sobre los productos o servicios de su compañía. Hay que tener en cuenta que esta es la generación que no solo invierte tiempo en sus teléfonos sino también dinero; el 67% de todos los Millennials de Latinoamérica realiza compras online regularmente.

Mayor número de transacciones digitales igual a mayor fraude digital

Como consecuencia de crecer con sus rostros frente a las pantallas, los Millennials están acostumbrados a la comodidad y facilidad de la experiencia del usuario. Se frustran rápidamente si no logran ejecutar simples funciones online o si un sitio web es demasiado complicado, incluso si el paso extra para completar una transacción está ahí para su propia protección.

Con el fin de permanecer relevantes para los Millennials, la generación que sobrepasará a los Baby Boomers en términos de fuerza de trabajo y poder adquisitivo, los bancos necesitan garantizar continuamente que sus estrategias de seguridad no comprometen la facilidad y la experiencia positiva de usuario.

“Los Millennials son muy proclives a elegir conveniencia sobre seguridad”, aseguró Silvia López, CMO de Easy Solutions, en una entrevista a la revista CIO América Latina en marzo de este año. “Uno de los principales retos que enfrentarán los bancos es cómo brindar lo que los Millennials más valoran: conveniencia y productividad sin comprometer la seguridad de las transacciones al mismo tiempo6.”

Los Millennials son una población esencial para las instituciones financieras, pero son un grupo voluble. Si desea atraer su atención, todos los aspectos de la banca deben poder accederse vía Smartphone o tableta, incluso aquellos que hace tan solo unos años requerían interacción personal. A diferencia de las anteriores generaciones (quienes no conciben su vida sin una cuenta bancaria), los Millennials son a menudo conocidos como ‘La Generación Sin Bancos’ por buenas razones. Una parte importante de esta población se siente perfectamente feliz con tarjetas débito prepagadas, monedas virtuales o servicios financieros ofrecidos por Apple o Google, y son perfectamente funcionales sin una cuenta de ahorros convencional7.

Esta generación realmente antepone la conveniencia sobre todo lo demás. Pero debido a que hay más transacciones financieras digitales que nunca antes, existe un gran riesgo de que estas transacciones sean interceptadas o secuestradas por cibercriminales, corriendo el riesgo de que el dinero pueda ser robado de las cuentas de los clientes. Proteger a los Millennials y demás clientes mientras realizan sus transacciones online no significa que se deba sacrificar la conveniencia. Todo es cuestión de encontrar el balance perfecto entre fricción del usuario y seguridad.

 

Seguridad de transacciones con menor fricción

 

Actualmente, existen muchas maneras innovadoras y con baja fricción de asegurar a lo usuarios finales como autenticación Push o incluso seguridad biométrica. Los Millennials aman la comodidad, pero también desean tener opciones. Así que por qué no darles lo que desean y convertirlo en algo que están haciendo de todas formas: la infaltable ‘selfie’. La autenticación biométrica móvil se presenta de tres formas: reconocimiento facial, vocal y de huellas dactilares. El paso extra para verificar la identidad de alguien mientras realiza una transacción puede ser divertido para los Millennials si esto significa que pueden tomarse otra foto de sus propios rostros. En caso de que esa no sea una opción viable (por ejemplo, debido a poca luz), entra en juego la elección de una de las otras opciones de autenticación biométrica.

Si bien estas formas de seguridad para transacciones móviles no son totalmente transparentes, son unas de las más amigables del mercado y las que menos fricción presentan, y su innovación las convierte en un éxito entre los jóvenes de la generación Millennial.

Los bancos deben tener en cuenta, que los Millenials no estan especialmente preocupados por seguir buenas prácticas de seguridad en Internet:

  • 44% de los Millennials ha sido víctimas de cibercrimen alguna vez en 2015.
  • 31% de los Millennials recicla sus contraseñas y credenciales bancarias.
  • 84% de los Millennials regularmente pone en riesgo sus cuentas online al realizar transacciones en redes públicas inseguras.

 

En esencia, lo que los Millennials quieren, y lo que los bancos necesitan ofrecer si desean conservar sus actuales titulares de cuentas y atraer más, es el perfecto balance entre seguridad y conveniencia. Pero, ¿cómo se ve una plataforma de banca online conveniente, amigable con el dispositivo móvil y altamente segura? Existen algunas reglas generales; por ejemplo, autenticación fuerte que vaya más allá del nombre de usuario y contraseña, con métodos de baja fricción como “notificaciones Push” o a través del uso de seguridad biométrica, la cual puede integrarse en su actual aplicación de banca móvil. El resultado es la combinación precisa de seguridad y la facilidad de las transacciones online que los clientes Millennial están buscando.

 

Pero, ¿qué hay de la indiferencia de esta generación frente a la seguridad online cuando no está realizando transacciones online? ¿Qué ocurre cuando están navegando en la web, viendo videos, conversando con amigos y dando clic en enlaces potencialmente inseguros? Muchos dispositivos móviles están infectados con malware, pero la mayoría de los usuarios no lo sabe. Esto no tiene que complicar o restringir el comportamiento de las transacciones online de sus clientes. Otro punto esencial para asegurar y hacer más cómodas las transacciones es a través del uso de tecnologías de navegación segura. Estos enfoques aseguran la transacción en progreso, es decir, sus clientes pueden realizar compras, pagar facturas o realizar otro tipo de transacciones financieras de forma segura, incluso en dispositivos comprometidos.

Algunos otros métodos para asegurar a los Millennias, y a sus demás usuarios, que son amigables y hasta transparentes son:

 

  • Desactivación proactiva de amenazas: Servicios de monitoreo de amenazas en Internet, incluyendo páginas web, redes sociales, blogs, etc., que pueden detectar y desactivar proactivamente ataques de malware o phishing, antes de que lleguen a ser una amenaza para su población de usuarios.
  • Navegación segura: No se preocupe o congestione el departamento de IT de su institución al pedirles que traten de “limpiar” los dispositivos infectados de malware de sus usuarios antes de que puedan iniciar sesión en sus cuentas. Proteger la transacción y no el dispositivo es esencial y existen soluciones antifraude que se encargan de esto.
  • Monitoreo de login y transacciones para detectar acciones sospechosas: Conocer a sus usurios es muy importante y la implementación de soluciones que vayan más allá del uso de reglas y que utilicen motores estadísticos y de “machine learning” le permitirán identificar comportamientos y transacciones que se salgan de los patrones normales de sus usuarios.

 


Compartir este artículo
Cybersecurity Transformation

07 Septiembre, 2018 | A lo largo de los tiempos, las organizaciones se han ocupado de construir una línea de defensa que los proteja de las ciberamenazas. Haciendo la analogía con la edad media, las organizaciones se han esmerado en construir castillos para crear un perímetro de seguridad robusto y, lo que han venido haciendo a lo largo de los años, es hacer más altos y fuertes los muros de ese castillo para estar seguros. No obstante, en los últimos años, se han presentado cambios significativos que han hecho que las organizaciones replanteen su estrategia. El mundo interconectado, la nube, el IoT, movilidad y las distintas tecnologías disruptivas, han revolucionado la forma en que las empresas operan y hacen sus negocios. Estos cambios han obligado a los líderes de seguridad en reevaluar su programa de seguridad, dado que el enfoque de seguridad tradicional, el cual está basado en hacer crecer y robustecer los muros del castillo, ya no es suficiente. El proceso de transformación de la ciberseguridad que se ha derivado de estos cambios está conceptualizado en una forma diferente de pensar sobre la ciberseguridad. Las organizaciones ya no pueden escudarse detrás del Firewall perimetral, dado que sus aplicaciones y datos ahora están en la nube, se acceden desde cualquier parte, desde cualquier tipo de dispositivo y en cualquier momento. Dado esto, un nuevo enfoque ha emergido para abordar estos nuevos retos. Este nuevo enfoque está orientado a aplicar controles a los usuarios, datos y sistemas en los niveles apropiados, según la criticidad para el negocio. También, esta estrategia toma en cuenta muy fuertemente el enfoque de “Security by Design”, el cual permite formalizar el diseño de la infraestructura y automatizar los controles de seguridad para que pueda generar seguridad en cada parte del proceso de administración de TI. Algunos de los conceptos clave que sobresalen sobre este enfoque de transformación de la ciberseguridad está el definir controles, lo más cercanos a los datos posibles y el establecer un nuevo perímetro de seguridad, basado en la identidad de los usuarios. Dentro los principales controles que predominan en este nuevo enfoque están: La protección de la de la identidad de los usuarios. Control de acceso basado en riesgo. Técnicas de ofuscación de datos para la protección de la privacidad. Controles de acceso a los datos. Monitoreo del comportamiento de usuarios, endpoints, sistemas y la red. En la próxima entrega, vamos a profundizar sobre estos controles y sobre las capacidades de las tecnologías disponibles en la industria que nos permitirán apalancar esta transformación.

Percepción y hechos en la seguridad

25 Junio, 2018 | En una conferencia de seguridad hace unos meses, un presentador nos encuestaba: ¿Se sienten seguros en su silla?, ¿sienten que su vehículo esta seguro? ¿Creen que este edificio es seguro? Y asi unas cuentas mas hasta que empezamos a cuestionarnos nerviosamente de nuestra seguridad, cosa de la que estábamos tan persuadidos hacía no más de 2 minutos. Y efectivamente, nuestro presentador terminó diciendo: “La seguridad es una percepción” y estoy totalmente de acuerdo. Les aseguró que hay militares que están tan tranquilos en su base que esta a 500 metros del enemigo como nosotros viendo una película en el cine. ¿Cuál es la diferencia? La percepción. El militar está seguro de sus compañeros le cuidan las espaldas y esta entrenado para reaccionar a una amenaza y nosotros en el cine, confiamos en que el ambiente es seguro y la seguridad del mall y la policía nos protege. Así, que llevando esto a nuestros negocios, debemos construir nuestra percepción de seguridad basada en riesgos y hechos, como veremos ahora. Los riesgos Los riesgos los debemos sopesar como algo que, si bien es una posibilidad, no queremos que afecte extraordinariamente en el caso de un incidente a nuestra organización, y para esto, primero permítame explicar los riesgos en el área de dominio que nos compete hoy que es en las Tecnologías de la Información. Estamos claros que, lo que impacta negativamente al negocio es aquello que nos hace perder ganancias o entrar en pérdidas económicas. Sin embargo, hoy día como todo está conectado al negocio, y con esto me refiero, a las redes sociales personales y corporativas, las actividades de responsabilidad social corporativa, las relaciones con otras organizaciones, las relaciones con el gobierno, la publicidad, entre muchas otras afectarán sustancialmente nuestro negocio según la industria y mercado.  Un riesgo, entonces, lo determina qué tanto impacto puede causar en  nuestro  negocio  un evento relacionado con Tecnologías de la Información. Les dejo una lista corta de eventos de alto impacto: Secuestro de la información:  un ente atacante encripta la información asegurándose de no dejar otra copia usable pidiendo un rescate por la llave para desencriptar. Chantaje informático: el ente de ataque obtiene información confidencial privada no solo del negocio, sino de los clientes de éste y reclama algo a cambio de no hacerla pública. Secuestro de infraestructura: ente  de ataque consigue las credenciales administrativas de la infraestructura y la aísla para su único dominio y luego pide un rescate para devolver las credenciales a la organización. Y la más compleja, pero más lucrativa es el infiltrado: la persona atacante logra entrar a la red del negocio y detecta el patrón de operación del mismo de forma que logra montar operaciones y transacciones indefinidas veces durante meses y años sin que la organización detecte su presencia. Para cerrar este punto por el momento, los riesgos informáticos son muchos verdaderamente, pero igualmente debemos, digámoslo asi, medir nuestros riesgos. Para esto, hay consultorías especializadas es verdad, pero con un poco de sentido común podemos decir que, dependiendo de la visibilidad pública de nuestra empresa y el volumen de dinero que maneja, entonces está más en la mira de un atacante, con la excepción de los ataques automatizados a los cuales todos como personas o empresas estamos expuestos, así que, definitivamente nos conviene ejecutar un análisis sencillo. Mi empresa tiene: Página Web pública Redes sociales corporativas (Instagram, Facebook, Twitter, Pinterest, etc) Sistemas de pagos electrónicos (Internet Banking, pagos en línea, tarjetas de fidelidad, etc) Plataformas de nube Pública autorizadas o no (Azure, AWS, Office 365, G Suit, DropBox, etc) Bases de Datos con información de los clientes y pagos (Oracle, SQL, MySQL, DB2, etc) En el caso de que respondiera negativamente a todos los puntos, estaría bastante libre de riesgos informáticos, pero tambien necesita estudiar la posibilidad de incrementar las ganancias del negocio usando estas tecnologías. En resumen, y sabiendo que no estoy incluyendo variables muy importantes como el factor humano, entre más puntos de los anteriores le aplican a nuestra organización estamos en mayor riesgo, y por ende deberíamos tener alguna protección. Hechos Los hechos que estamos a punto de tocar son aquellos que nos dan luz sobre nuestra seguridad informática. Como dijimos anteriormente la seguridad es una percepción, y ésta la debemos construir a partir de hechos, que en este caso sería hacer algo que nos confirme nuestra asunción de seguridad, así como cuando le activas la alarma al vehículo, oyes y ves las señales de que se activó pero, aún así, halas la manilla de la puerta para estar seguro de que cerró con el HECHO de que NO ABRE. En este sentido, los hechos que buscamos para demostrar que estamos seguros desde una perspectiva informática son: Nadie puede entrar a ninguna información de la organización sin usar un mecanismo de identificación acorde con los sistemas y dependiendo de la sensibilidad de la información: Usuario y Clave, PIN, Tarjeta de Seguridad, Carnet RFID, biométrico, etc. incluyendo un segundo  factor de autenticación como SMS, Token, o llamada de ser necesario. Existen niveles de acceso a todos los recursos, donde, cada uno accede solo a lo que debe, en el lugar correcto, desde la aplicación correcta y desde la ubicación correcta. Poder saber si alguien intenta violar alguna política de la organización respecto al acceso de la información, por ejemplo, un desarrollador de la página web de la empresa intentando acceder al servidor de base de datos de nómina. Los colaboradores están enterados y practican las normas de  seguridad  de la información: cambios de password, manejo de correos electrónicos sospechosos, redes sociales personales y corporativas, almacenamiento de la información en los sistemas correctos. Tener procesos y sistemas de contingencia ante un ataque Al igual que la sencilla lista de riesgos, ésta necesita que nos apliquemos todas las opciones porque hacemos realmente muy poco solo teniendo una o dos. Y lo que realmente importa, es comprobar que se cumplen, bien con una auditoría interna de la organización o con una externa, porque la consecuencia de hacerlo mal es que no valdrá la pena el esfuerzo de “tratar”, porque al final el atacante siempre se irá como el agua, por el camino más fácil, es decir, por aquello que no tengamos o que tengamos desactualizado. Para concluir, sin ser catastrófico, la verdad es que el tema de seguridad de la información es complejo y con muchos matices, pero, de las cosas que son indudables es que, hay una demanda inmensa de personal, no solo especializado sino con experiencia que se hace para muchas empresas restrictivo económicamente hablando. Así que, una salida exitosa, han sido los proveedores de servicios gestionados de seguridad, que se encargan de aplicar todas estas cosas que he expuesto en este artículo por una inversión en el modelo optimizado de prácticas y personal altamente capacitado para brindar un servicio eficaz, de muy alto valor y costo amigable con las finanzas. Nota: Se dará cuenta que, uso la palabra ente en casi todos los ejemplos, esto tiene una razón especial, es que, ya hoy día las máquinas son más agiles y energéticas que los hombres (las máquinas trabajan 24x7x365 al mismo ritmo y adicionalmente, así como la inteligencia artificial se usa para cosas buenas, también para malas), así que, un ente puede ser un robot informático o una persona.

AI vs. AI: Pueden los modelos predictivos detener ciberataques reforzados con Inteligencia Artificial?

25 Junio, 2018 | La tecnología de machine learning y la inteligencia artificial (IA) son ahora componentes esenciales de cualquier estrategia efectiva de defensa  antifraude. Como ya sabemos, toda acción defensiva trae consigo una reacción criminal equivalente debido a que los hackers siempre intentarán evadir los controles. Entonces, si la IA está siendo utilizada para prevenir el fraude, ¿qué evita que los hackers empleen la misma tecnología, no solo para vencer los sistemas de defensa tradicionales sino también los basados en IA? Como punto de partida de este experimento, analizamos los posibles casos en que los criminales sacarían ventaja de IA: Creación de malware más poderoso e inteligente Debilitación de controles de autenticación Engaño al monitoreo transaccional basado en reglas Mejoras en los ataques de phishing Primera estapa de la investigación: El ataque y la evolución de estrategias de detección. Para llevar a cabo esta prueba, decidimos escoger las “mejoras en los ataques de phishing” como nuestro enfoque; entonces, el interrogante sería ¿qué tal si los estafadores emplean inteligencia artificial para crear URL más efectivas que puedan evadir el software de detección? Con la pregunta clave ya planteada, empezamos la búsqueda de cuál inteligencia artificial sería la vencedora. Para poder hacer la comparación de efectividad de IA, necesitamos conocer cómo se llevan a cabo los ataques de phishing tradicionales. El phishing tradicional sigue un mismo proceso en el cual los criminales buscan los blancos más vulnerables, crean sitios fraudulentos y despliegan su ataque. Un sistema tradicional de detección de phishing emplea reglas estáticas para identificar patrones conocidos de fraude y desactiva las URL que encienden las alertas basadas en dichas reglas. Este método resulta en un alto número de falsos positivos y negativos, concediéndole así la ventaja a los cibercriminales. Cuando nosotros utilizamos algoritmos inteligentes, en vez de un sistema basado en reglas para encontrar patrones nuevos y conocidos, el método ataque de los estafadores sigue siendo el mismo, pero la tasa de detección de las URL de phishing se eleva hasta un 98.7%. Tenemos nuevamente la ventaja. Pero ¿podríamos continuar con nuestra racha ganadora si los criminales deciden emplear tecnología de IA para su beneficio? Para saber esto con certeza, creamos un grupo hipotético de atacantes. Después de explorar los datos existentes de phishing, logramos determinar grupos o “bandas” de estafadores. Identificamos estos grupos al buscar URL que seguían un patrón similar que provenían de un mismo dominio. De ese modo encontramos a la banda Purple Rain, hábil grupo de estafadores. Este grupo logró una tasa de éxito de 0.69% haciendo uso de varias estrategias tradicionales. Esto significa que el 0.69% de sus ataques no fueron detectados por los sistemas anti-phishing. Este porcentaje de éxito puede parecer muy pequeño, pero es tres veces más alto que el de otros atacantes. Segunda etapa de la investigación: Mejorando la creación de URL usando IA Para la siguiente etapa del experimento, creamos un generador de URL basado en IA. Con esto fue posible modelar lo que la banda Purple Rain probablemente haría con IA: crear rápidamente una gran cantidad de URL específicamente diseñadas para minimizar la detección de los sistemas antifraude y maximizar el éxito de los ataques de phishing. Con la automatización de la generación de URL (en la cual se utilizaron los ataques previos de Purple Rain incluyendo URL, institución afectada, dominio comprometido, etc.) la eficiencia operacional mejoró dramáticamente. Entonces ¿qué sucedió cuando la banda empezó a emplear IA maliciosa? ¡Su tasa de éxito se incrementó en 3000%, de 0.69% a 20.9%! Tercera y última etapa de la investigación: ¿Estamos Perdidos? Afortunadamente ¡No! Nuestro experimento nos enseñó que la IA puede llegar a ser extremadamente útil para los estafadores. ¡Pero eso no significa que no hay esperanza! En la última fase del experimento, decidimos volver a nuestra posición de buenos, solo que esta vez mejoramos nuestro sistema de IA y entrenamos a nuestro algoritmo para que anticipara el uso de IA maliciosa. De esta forma, fuimos capaces de reducir la eficiencia de tal tecnología, derrotando así el sistema malicioso que creamos cuando actuamos como la banda Purple Rain. Es cierto que fuimos capaces de vencer la IA maliciosa en nuestro propio experimento, pero ¿podríamos llevar estos resultados al mundo real contra atacantes armados con la tecnología de IA? La respuesta es sí. No solo ya contamos con IA integrada en nuestras soluciones de seguridad, sino que gracias a nuestro experimento también sabemos cómo actuarían los estafadores haciendo uso de IA. Además, el enorme banco de datos de phishing que hemos construido gracias a nuestras aplicaciones nos da la ventaja. De forma similar a cuando encontramos la banda Purple Rain, detectamos y analizamos la estrategia de otros grupos capaces de aprovechar la IA. Entendiendo sus tácticas, podemos mejorar más rápidamente nuestros propios sistemas para derrotarlos. Incluso si los cibercriminales emplean la IA para lanzar ataques más nefastos, nosotros estamos preparados con tecnología más fuerte y eficaz. En la batalla de IA contra IA, siempre estaremos un paso adelante.



Escribe un comentario