Los avances digitales son una espada de doble filo.
Aunque estos son los puentes que han conectado nuestra economía global, se han convertido en la puerta principal para los delitos cibernéticos.
Así como en las leyes de termodinámica, cada nuevo recurso digital introduce un peligro digital igual y opositor.
En este artículo, exploramos el panorama de la ciberseguridad para pagos transfronterizos. Esta tarea puede resultar desconcertante, pero mantendremos un punto de vista fundamentalmente optimista.
En UniTeller, nosotros estamos verdaderamente convencidos que las múltiples amenazas a las que se enfrentan los pagos comerciales internacionales pueden ser identificados, aislados, y finalmente eliminados de la economía global.
Después de todo, la tarea de mitigar riesgos es esencial para mantener la confianza a través del ecosistema de pago.
Sentando las Bases: Tendencias Emergentes a Considerar
La ciberseguridad consta de innumerables componentes, particularmente en el nexo de los pagos transfronterizos y el mundo digital.
Afortunadamente, estos temas tan extensos pueden ser clasificados en tres pilares principales.
Expansión Macroeconómica
El alza de las compañías de tecnologías financieras (fintechs) y plataformas alternativas de pago han empoderado el mercado de los pagos globales.
En el 2023 se observó un valor estimado en el mercado de los pagos digitales de $4.2 mil millones de dólares.
Lo más seguro es que la digitalización siga promoviendo la expansión del mercado. Asumiendo que los pagos comerciales internacionales mantengan su tasa compuesta de crecimiento anual (CAGR) de casi 10% (llegando a la meta de $220 billones de dólares para el 2028 los pagos transfronterizos probarán su supremacía en la economía global.
Exigencias Regulatorias
El auge de los pagos transfronterizos ha llamado la atención de las entidades reguladoras.
Mientras que los pagos comerciales internacionales van a la alza, las expectativas de cumplimiento se expanden a través de múltiples jurisdicciones, cuyos departamentos legales trabajan exhaustivamente para codificar los minuciosos detalles.
Aunque las regulaciones puedan variar entre regiones, generalmente estas buscan abordar las áreas de riesgo recurrente, incluyendo la AML (Anti-lavado de dinero), la KYC (Know Your Customer), La CTF (Financiamiento Contra Terrorismo), las prácticas de comercio justo, y protección de datos.
Cualquier incumplimiento de estas regulaciones resulta en multas punitivas y cargos criminales. Conforme la situación avanza, las plataformas de pago en línea y sus integrantes tendrán que satisfacer todas las reformas necesarias si pretenden participar en el ecosistema transfronterizo.
Avances Tecnológicos
Hasta hace poco, la idea de soluciones de pago B2B que fueran ágiles, flexibles, y eficientes no era más que una fantasía. Hoy en día, estas mismas hacen uso de herramientas de tokenización y encriptación para facilitar transacciones seguras.
Conforme la siguiente generación de herramientas entra al mercado (como los son la inteligencia artificial (AI),tecnología de contabilidad distribuida (DLT), y la computación cuántica) las plataformas de pago se vuelven más eficaces y confiables que nunca.
Desafortunadamente, cada una de estas tendencias comparte un elemento en común: cibercriminales buscando explotarlas para ganancias financieras ilícitas.
Por lo tanto, es indispensable que los profesionales de la industria de pagos se mantengan a la vanguardia con la capacidad de anticipar cualquier inconveniente antes de que ocurra.
La Interpol ha admitido que “los ciberdelitos no conocen fronteras.” Los criminales, víctimas, y infraestructura técnica se expanden a través de múltiples jurisdicciones, lo cual presenta una variedad de desafíos a investigaciones y persecuciones.
Pagos Transfronterizos: Un Panorama de Ciberamenazas
Casi cada semana sale una nueva noticia denunciando otro ciberataque a un banco, fintech o incluso a los pobres clientes de un proveedor hipotecario.
En el 2023, las instituciones financieras de América reportaron un alza del 43% en fraude anual. Es por eso que JPMorgan Chase gasta $15 mil millones de dólares al año, y emplea a 62,000 especialistas para mantener sus protocolos de ciberseguridad al día.
Pero los problemas no son solo domésticos, son globales.
En Noruega, por ejemplo, estuvieron a la defensiva de un ciber ataque que duró cuatro meses. También en la nación insular de Vanuatu sufrieron un ciberataque que dejó al gobierno entero desconectado por más de un mes.
Aunque los pagos transfronterizos siguen en pie, un analista respetado de la comunidad ha calculado la posible devastación causada por un ataque.
De acuerdo con Lloyd ‘s, una compañía de Londres, una filtración de datos de una plataforma de pago en línea internacional podría infringir pérdidas de aproximadamente $3.5 billones de dólares. Mientras que este proveedor de seguros británico se refiere a este número como un “promedio considerado” del escenario de riesgo propuesto, especifican que pérdidas extremas podrían llegar a ser de hasta $16 billones de dólares.
Esto podría sonar como la amenaza de un delincuente juvenil más que un análisis honesto de la situación actual.
Sin embargo, grupos de ciberdelincuentes ya han ocasionado gran revuelta al mundo financiero. Después de todo, el costo promedio de un ciberataque en el 2023 fue de $4.45 millones de dólares.
Aunque los ciberataques se manifiestan de múltiples maneras, los métodos más comunes incluyen:
Phishing
En un fraude de phishing, los cibercriminales explotan las vulnerabilidades humanas para conseguir control de una red. Esto lo logran a través de correos electrónicos, llamadas, mensajes de texto, y sitios para robar información sensible.
Entre uno de los ataques de “ingeniería social” más comunes están los que se le llama el Business Email Compromise. Esta táctica consiste en que el hacker se hace pasar por empleados o vendedores legítimos para cometer fraude a una compañía.
En el 2022, hubo más de 300,000 ataques de phishing, que le costaron a negocios un promedio de $4.91 millones de dólares cada uno.
Malware
El “malware” (de malicious software en inglés) generalmente encuentra entrada a través de los ataques de phishing, sin embargo este puede también ser descargado a través de páginas infectadas.
Una vez que el malware está instalado, los hackers obtienen amplio acceso a los datos de la compañía.
Aunque el malware puede dañar una red computacional, este es usado más frecuentemente como detonante de ransomware, un tipo de malware que secuestra una red hasta que la compañía pague un rescate.
Desde el 2018, el ransomware le ha costado más de $32 mil millones de dólares a organizaciones globales de servicios de finanzas.
Filtraciones de Datos
Estos ataques permiten acceso no autorizado a alguna red o dispositivo. Una vez que los hackers consiguen el control de su objetivo, pueden filtrar la información personal a sus clientes.
Muchas filtraciones de datos se concentran directamente sobre el mainframe de la compañía. Sin embargo, algunos ciberdelincuentes atacan primero al proveedor externo de la firma para ocultar su verdadero objetivo.
Esto ocurrió recientemente con Flagstar Bank, cuyos datos fueron filtrados por un conjunto de hackers rusos. En lugar de atacar al banco directamente, el conjunto atacó a Accellion (el software para compartir archivos de Flagstar) y así expusieron los datos de 1.5 millones de clientes.
Este escenario fue replicado en el infame ataque MOVEit del 2023, en el que el mismo grupo de ciberdelincuentes rusos expusieron a más de 2,600 organizaciones a través de vulnerabilidades de sus proveedores externos.
DDoS (Distributed Denial-of-Service)
Esto es un atentado coordinado para inundar el servidor con tráfico falso.
En un ataque DDoS, un grupo compuesto de sistemas de computación (generalmente llamados “botnets”) trabajan en conjunto para deshabilitar al objetivo. Esta disrupción impide el acceso a usuarios al sistema, y al mismo tiempo deja a la compañía vulnerable a extorsión y chantaje.
Las compañías de servicios financieros se enfrentan a más del 30% de todos los ataques DDoS reportados. Peor aún, las compañías afectadas pierden en promedio $6,130 dólares por cada minuto que su compañía se encuentra desconectada.
Robo de Identidad y Transacciones Fraudulentas
Aunque los ciberataques de mayor escala son aquellos que dominan los encabezados modos de ataque más sutiles (como hacer cuentas falsas de proveedores o mandar facturas falsas) se han vuelto cada vez más comunes.
La versión más infame de este esquema se vio en el 2016 cuando el Federal Reserve Bank of New York pagó $100 millones de dólares a hackers que emitieron instrucciones de pago fraudulentas desde una cuenta comprometida en Bangladesh.
Recientemente 90% de las compañías encuestadas admiten haber encontrado fraudes en sus operaciones de cuentas por pagar.
Las Mejores Prácticas de Ciberseguridad en Pagos Transfronterizos
De la necesidad nace el invento.
En respuesta a un panorama cada vez más adverso, los profesionales de ciberseguridad han desarrollado una variedad de mecanismos de defensa de datos.
1. Autenticación multifactor
Los ciberdelincuentes pueden fácilmente hackear el 50% de las contraseñas más comúnmente utilizadas.
Aunque esto es alarmante, existen buenas noticias: La Autenticación Multifactor (MFA) aumenta las defensas en la entrada.
Al requerir al menos dos factores de verificación (idealmente tres), la MFA impide que un hacker pueda simplemente adivinar hasta lograr una filtración de datos o usar ataques de fuerza bruta para lograr este objetivo.
2. Entrenamiento a Empleados
El error humano abre la puerta al 95% de todos los ciberataques.
Para proteger a su compañía, sus empleados deben sobrellevar un entrenamiento de ciberseguridad riguroso, ya sea en la misma empresa o por instrucción externa.
Los empleados son el objetivo principal de cibercriminales y merecen estar entrenados en autodefensa digital. Esto es especialmente cierto en el auge del trabajo remoto.
3. Software Antiviral
Limitar el error humano es importante, pero escudar los dispositivos de la empresa también es crucial
Esto puede ser logrado simplemente instalando un software antiviral que englobe toda su infraestructura digital.
Solo recuerde permitir las actualizaciones automáticas, para que su software pueda identificar y contraatacar contra nuevas (y posiblemente desconocidas) amenazas cibernéticas.
4. Detección de Fraude AI
La inteligencia artificial puede predecir y prevenir ciberataques antes de que ocurran.
Aunque esto suene como ciencia ficción, es una tecnología bastante real (y accesible).
Usando algoritmos de machine learning, la AI puede identificar anomalías desde su infancia. Esta detección de amenazas omnisciente supera a la capacidad humana en este sentido.
5. Controles de Cumplimiento
Aunque las regulaciones de cumplimiento pueden parecer restrictivas, son esenciales para la ciberseguridad.
De hecho, muchos de estos estándares son instituidos para protegerlo y a sus clientes de ser expuestos.
Por ejemplo, los Estándares de Seguridad de Datos (DSS) de la Industria de Tarjetas de Paga (PCI) son obligatorios para cualquier vendedor que maneje datos de tarjetas. La presente lista de PCI DSS de doce pagos presenta un plano ideal para la seguridad en línea.
Y recuerde que existen multas por incumplimiento.
6. Plan de Respuesta ante Incidentes
Mientras que se evitan activamente ataques potenciales, es bueno también establecer un Plan de Respuesta ante Incidentes (IPR).
En términos generales, un IPR con estructura sólida debería poder detectar, aislar, y erradicar una amenaza activa de manera rápida y efectiva.
Este debe también proveer claramente políticas para recuperar el control de su infraestructura digital, examinar daños potenciales, y reconstruir sus protocolos de defensa (de ser necesario).
Usted cuenta con amplia libertad para crear su propio IPR. Solo asegúrese que sus empleados puedan repetir cada protocolo con confianza y consistencia.
7. Prevención de Perdida de Datos (DLP)
El software de DLP (del inglés Data Loss Prevention) mitiga los riesgos de pérdida y daño de datos.
Al constantemente analizar el tráfico de la red, el DLP protege sus datos en cada situación, ya sea que estén siendo transferidos, examinados, o simplemente estén en almacenamiento.
De hecho, los protocolos de DLP proveen tres beneficios:
- Satisfacer los requerimientos de cumplimiento (incluyendo PCI DSS)
- Bloquear la filtración de datos
- Prevenir la destrucción de datos después de un ataque o filtración.
UniTeller: Su Compañero en Pagos Comerciales
Hasta ahora el ecosistema de pagos se ha mantenido relativamente ileso ante la actividad de ciberdelincuentes.
Aunque estamos agradecidos, no deberíamos dar esto por sentado. Como bien mantenían los comandantes del ejército Romano “en tiempos de paz, hay que estar preparado para la guerra.”
Y bien en el mundo de la ciberseguridad, la guerra siempre está más cerca de lo que aparenta.
En UniTeller, nosotros permanecemos comprometidos a proveer los más altos estándares de ciberseguridad.
¿Por qué? Porque nosotros entregamos soluciones de pago digitales que eficienticen los pagos transfronterizos y nuestro éxito en esa misión depende en la efectividad de nuestras prácticas de seguridad.
Es por eso que nosotros invertimos en mecanismos de seguridad de vanguardia, medidas AML, y tecnología de encriptación: para asegurarle a nuestros socios comerciales la seguridad eficaz y paz mental que merecen.
El acceso a pagos transfronterizos seguros está a una integración API de distancia.
Únase a nosotros para conseguir la mejor alianza en soluciones de pago B2B, B2C, y C2B.
