Por Gemalto
Jaime Chacón, Gerente de Ventas Servicios Móviles e IOT de Gemalto.
En varios países ha surgido un tipo particular de fraude. En los mercados donde las tarifas de los abonados de prepago son altas y el mecanismo de OTP por SMS sigue siendo muy utilizado por los bancos y los proveedores de servicios, los criminales se aprovechan de las vulnerabilidades de los procesos existentes para renovar una suscripción a través del intercambio de la tarjeta SIM. Puede ser difícil para los Operadores de Redes Móviles hacer cumplir las reglas restrictivas para controlar la identidad del usuario al cambiar la SIM, lo que significa que los estafadores que se hacen pasar por usuarios pueden reclamar un reemplazo de la SIM fingiendo haber perdido el teléfono móvil.
Para ilustrar los problemas involucrados, eche un vistazo a este ejemplo. Chris estaba sentado en su casa de Nottingham hace quince días, cuando su iPhone de pronto dejó de funcionar. En 75 minutos, los estafadores que se habían apoderado de su teléfono, a través de su aplicación de banca en línea, vaciaron su cuenta bancaria de £1,200 y solicitaron un préstamo en su nombre por £8,000. Sin embargo, Chris no es más que la víctima más reciente de una estafa financiera que está arrasando a Gran Bretaña: el fraude de cambio de SIM, en inglés, SIM-swap fraud.
“Las personas están usando más dispositivos inteligentes conectados con el beneficio de acceder a mayores servicios móviles que ofrecen las distintas compañías. Tanto de las nuevas formas como los nuevos usos de estos dispositivos conectados y del mercado global crean, así mismo, nuevas demandas de administración de las SIM. Pero tanto los usuarios como las empresas deben sentirse seguro cuando se conectan haciendo uso de sus datos personales y necesitan una manera conveniente de poder adoptar estos nuevos servicios.” Señala Jaime Chacón,
Los operadores móviles se están enfrentando a una mayor amenaza de fraude de identidad, ya sea durante el proceso de enrolamiento del cliente, cuando se cambia la tarjeta SIM o durante transacciones financieras en línea fraudulentas. Por ello, los operadores móviles deben cumplir con las regulaciones nacionales sobre el registro de la identidad cuando se activan suscripciones nuevas.
¿Qué es el fraude de cambio de SIM?
Un estafador reúne datos sobre un cliente bancario a través del proceso de «phishing» o de «ingeniería social» para tener acceso a su portal de banca en línea/móvil.
Con estos datos, el estafador se pone en contacto con el operador móvil para reemplazar la tarjeta SIM y/o cambia de operador manteniendo el mismo número móvil.
Con una nueva SIM y el mismo número de móvil, el estafador recibe códigos de autenticación de cuenta bancaria y/o códigos de transacción de pago (OTP por SMS).
El estafador ahora tiene la libertad para iniciar sesión, crear una nueva cuenta de beneficiario, transferir y retirar dinero.
El cambio de SIM se está convirtiendo en una fuente de fraude cada vez más común. Los mercados de Asia Pacífico, América del Norte y la India son los testigos de la mayoría de los casos de fraude por cambio de SIM. Sin embargo, se trata de un fenómeno global, ya que muchos países (los Emiratos Árabes Unidos, Brasil, Colombia, Sudáfrica, Singapur, Alemania, el Reino Unido, por nombrar solo algunos) han reportado casos fraudulentos de cambio de SIM debido a la necesidad de acelerar la inscripción para captar nuevos clientes potenciales, mientras aún no se aplica una adecuada verificación de la identidad de los suscriptores móviles.
El teléfono móvil se ha convertido no solo en una extensión omnipresente de nuestra vida cotidiana, sino también en una pieza maestra de identidad que permite a los bancos identificar y autorizar tarjetas de crédito, transacciones en línea, retiro de efectivo. Esa es la razón por la que los teléfonos móviles también se han convertido en el principal objetivo de los criminales.
Claramente, el fraude de cambio de SIM es un problema creciente que debe detenerse, y debemos abordar el problema con soluciones robustas y seguras. Una solución que buscan los bancos es reforzar el proceso de verificación de identidad del usuario final para mejorar la evaluación de los riesgos y responder mejor a la gestión del fraude.
Esta solución no puede depender únicamente de los datos procedentes del sistema de suministro de los operadores de redes móviles. No es suficiente para informar adecuadamente al motor de evaluación del riesgo bancario.
Para optimizar la evaluación del riesgo, es importante establecer un conjunto de directrices que cubran múltiples condiciones o fuentes de información.
La SIM integrada está allanando el camino para conectar una amplia gama de objetos inteligentes y darles vida. Existe una misma iniciativa que habilita mejores servicios, nuevas posibilidades para el desarrollo de productos y una logística simplificada: una nueva arquitectura e infraestructura de SIM para la era del Internet de las Cosas
Gemalto ofrece una solución completa para el enrolamiento que brinda seguridad al cliente y le proporciona una experiencia de adopción sin complicaciones en tiempo real minimizando el riesgo de fraude. Es la solución de verificación de Identidad Allynus ID Verification de Gemalto. (1)
¿Qué pasaría si los bancos pudieran tener acceso a la información de red de los operadores móviles en tiempo real para proteger la cuenta del usuario final?
Esto incluye el conocimiento sobre las estafas de cambio de SIM y de dispositivo, y también el acceso a los datos de roaming y de ubicación y, de ser necesario, los detalles del dispositivo, el análisis del comportamiento del usuario, la inteligencia de IP y la geolocalización, entre otros. Todo sería recopilado de forma segura y siempre sería obtenido con el consentimiento del usuario final.
Para mostrar cómo funcionaría esta solución, imagine que se pide al usuario que valide una transacción con una contraseña de una sola vez enviada a su dispositivo móvil. La solución ofrece información en tiempo real utilizando la fecha de cualquier cambio de SIM.
Entonces el banco puede decidir si el abonado móvil objetivo está teniendo un comportamiento fraudulento y si se requiere autenticación adicional (una llamada del área de atención al cliente o algún mecanismo de autenticación de refuerzo). Si alguien se ha apoderado de la cuenta móvil de un cliente, el banco puede tomar las medidas apropiadas antes de que los estafadores puedan aprovechar una vulnerabilidad y retirar fondos, cambiar contraseñas o establecerse como nuevo beneficiario de un pago.
¿Qué sucede con el consentimiento del suscriptor?
La gestión del consentimiento del usuario de conformidad con las regulaciones de privacidad desde el diseño se está volviendo obligatoria en muchos países. El consentimiento implícito puede ser gestionado por un contrato bancario de alguna manera. Sin embargo, el consentimiento explícito es solicitado cada vez más por los reguladores del mercado, y requiere el consentimiento digital del usuario, antes de que el banco o el proveedor de servicios lo utilicen.
Una buena manera de administrar el consentimiento explícito de los suscriptores es el uso de la comunicación por el canal digital móvil.
Cuando el consentimiento ocurre con el suscriptor, podemos establecer pautas basadas en los modelos opt-in.
La prevención del fraude de cambio de SIM se trata de detener el problema desde el comienzo. Eso significa dificultar al máximo que los estafadores puedan mentir a los operadores de teléfono y a las instituciones financieras sobre quiénes son.
¿Está enfrentando este problema? ¿Qué solución está pensando implementar?
¿Estaría interesado en los servicios de protección contra el fraude e identidad móvil?
Déjenos su opinión a través de un tweet a @Gemalto, o escriba un comentario a continuación. Para más información sobre las soluciones de cambio de SIM y los servicios de identidad móvil, visite nuestra página especializada: Protección del fraude móvil.
http://www.gemalto.com/brochures-site/download-site/Documents/iot-odc-turning-things-on-es.pdf
(1) http://www.gemalto.com/latam/telecom/seguridad-movil/verificacion-de-identidad
