Guía para la selección y compra de herramientas de detección de fraude Web (Web Fraud Detection)

Buenas,

El pasado día 23 tuve el placer de asistir a un evento celebrado en Utrecht bajo el título Groundbreaking Security Technologies From Israel, en el que pude escuchar de boca de Orna Mintz-Dov, la CEO de Intellinx, una descripción de la versión actual de su producto estrella.

Todos los que estéis leyendo esta entrada y tengáis relación con la seguridad y la gestión antifraude en instituciones financieras y/o de seguros probablemente no necesitaréis que hable de Intellinx, uno de los proveedores de soluciones antifraude más populares en grandes corporaciones, con especial foco en el área de finanzas. Lamento para los que no conozcáis la solución que esta no sea una entrada sobre dicho producto, ya que quiero hablar de soluciones de gestión del fraude específicas para Internet (Intellinx está más orientada al fraude interno) y tampoco quiero centrarme en un único proveedor.

También recientemente, durante el 3 y el 4 de Marzo, con motivo de mi visita a la Gartner Identity & Access Management Summit celebrada en Londres, tuve la enorme fortuna de poder departir un buen rato con Avivah Litan, una de las analistas de Gartner con más experiencia en soluciones antifraude. Avivah me invitó a leer (aunque ya lo había hecho) el Magic Quadrant for Web Fraud Detection publicado el 26 de enero de 2010, y dimos un buen repaso a cómo está hoy en día el panorama para las corporaciones que quieran implementar soluciones de gestión del fraude Web (aunque también hablamos de Enterprise Fraud Management, pero eso lo dejaremos para otro día)

Fruto de estos dos encuentros me he animado a escribir un poco sobre el tema, habida cuenta de que recientemente hablé de cómo (intentar) pararle los pies al malware estudiando la propuesta de uno de los muchos vendedores que ofrece soluciones al respecto. Aunque los sistemas Web Fraud Detection (WFD) sirven para gestionar el fraude en infinidad de escenarios, uno de ellos es precisamente el que tiene que ver con la suplantación de identidad provocada por phishing convencional y especialmente, por troyanización de equipos. En síntesis, y a modo introductorio, con un sistema WFD podemos tratar de pararle los pies al malware no desde el lado del cliente, sino de la institución. La idea detrás de un WFD es el análisis de las transacciones, bien por medio de reglas o mediante un patrón comportamental de los clientes, con la finalidad de poder determinar si una operación es fraudulenta o legítima.

Quien tenga interés en hacerse con el Magic Quadrant debe acudir a Gartner para gestionar su adqisición, o en su defecto, a alguno de los vendedores que lo están ofreciendo sin compromiso, como es el caso de Actimize (uno de los vendedores que aparecen en el informe). Una lectura más que obligada si trabajas en gestión antifraude, y recomendable si trabajas en seguridad.

Antes de continuar. Web Fraud Detection vs Enterprise Fraud Detection

Antes de comenzar es necesario matizar que Web Fraud Detection (WFD) y Enterprise Fraud Detection (EFD) son dos disciplinas distintas cuyas diferencias van mucho más allá de unas siglas. Considero que WFD puede ser una parte de EFD, y que en determinados escenarios es frecuente que la gestión antifraude Web esté integrada en una solución de mayor alcance, aunque debe quedar claro que es perfectamente posible operar una solución WFD de modo independiente sin respaldo EFD alguno. De hecho, este es el escenario habitual en corporaciones donde la amplia mayoría de los intentos de fraude vienen del canal Internet, como es el caso de comercios, aunque también es frecuente observar soluciones WFD en instituciones financieras de menor tamaño que pese a no disponer de una solución central EFD de amplio espectro, sí desean tener control sobre el canal Internet. Este es también un escenario frecuente.

También es frecuente ver casos donde se dispone de soluciones WFD y EFD sin integración alguna, siendo obvio que esto provoca un desperdicio de oportunidades de gestionar el fraude de una manera integral y más efectiva. No obstante estas soluciones tienen por lo general procesos de implementación largos y costosos, y una vez que están funcionando pocos son los que se atreven a rizar el rizo integrándolas, ya no sólo por los costes asociados, sino por otros muchos factores como la ausencia de capacitación, la necesidad de operar las soluciones por separado por motivos de estructura organizacional (departamentos separados) y un largo etcétera. Siempre que sea posible, y es sólo mi criterio personal, la gestión antifraude efectiva debe integrar todas las soluciones, y si hay que compartimentalizar por actividad, siempre se puede construir un proceso en el propio sistema.

Los que tengan interés en saber algo más sobre soluciones EFM deben referirse a los fabricantes usuales. Jugadores habituales en este segmento son Actimize, a día de hoy en mi modesta opinión la mejor opción del mercado, Intellinx, con su famosa monitorización del tráfico 3270, FICO, muy conocido por su solución Falcon, Memento o Norkomo Detica, por poner algunos ejemplos. Cada cual tiene sus ventajas e inconvenientes, y cada cual tiene distintos escenarios de actuación que ejemplifican que el espectro de EFD es mucho mayor que el de WFD: monitorización de cuentas, cumplimiento regulatorio desde el punto de prevención de blanqueo de capitales y financiación de actividades terroristas, banca telefónica, fraude con cheques, detección del fraude interno, operativa fraudulenta con medios de pago (fraude en tarjetas) etc.

Por último también merece la pena remarcar que las soluciones EFD no siempre están vinculadas a la banca retail, escenario usual y donde probablemente se concentren más clientes, también son frecuentes en la gestión de securities y asset management en general, sector energético, seguros, salud, organizaciones gubernamentales, etc. El fraude generalmente atiende a motivos económicos, y estos se pueden dar además de en banca en otro sinfín de actividades, públicas y privadas. Aunque siempre se ponga el ejemplo de las dormant accounts o cuentas inactivas, y de lo tentador que puede ser para más de uno ir desviando fondos periódicamente a otras cuentas, también es posible defraudar a un seguro o a una institución pública. No obstante emplearemos ejemplos financieros ya que quizás sean más fáciles de explicar y comprender para todos.

Aunque en este artículo no hablaremos de las soluciones EFD, ya que son numerosas y tremendamente complejas debido a que es posible gestionar en fraude en una interminable lista de actividades, sí quiero abrir la posibilidad a los posibles interesados de ponerse en contacto conmigo si quieren discutir alguna solución o proyecto en particular.

¿Cómo funcionan las soluciones WFD?

Tal y como hemos indicado anteriormente, las soluciones WFD más modernas tienen como misión principal detectar desviaciones, para cada operativa y cliente, sobre un patrón que se considera normal con el fin de detectar actividades inusuales de origen fraudulento. En el caso WFD, la W atiende a Web, con lo que estas soluciones están orientadas al canal Internet (banca a distancia, compraventa en línea, tramitación en línea, etc.). Otras soluciones son por el contrario estáticas, son las denominadas basadas en reglas, y sólo actúan en función a las reglas definidas en el sistema. Son las más abundantes, ya que los sistemas inteligentes de análisis comportamental son, además de más costosos, mucho más complicados de desplegar con tasas de falsos positivos decentes, lo que genera dudas en los decisores.

En el caso de sistemas inteligentes, una vez detectadas las anomalías, estas soluciones generan un scoring mediante el cual cada operativa queda catalogada en función al riesgo que entraña. Basándonos en la puntuación o scoring, es posible definir y ejecutar acciones de respuesta sobre las mismas que abarcan desde marcar la operación como sospechosa para ser investigada a posteriori a cancelar la transacción, caso que sea manifiesto que es una operativa fraudulenta. Para las soluciones basadas en reglas, se definen acciones basadas en eventos en forma de árbol decisional sin inteligencia, lo que limita mucho más la detección del fraude, aunque como es lógico, es mucho más fácil desplegar estas soluciones a un coste menor, ya que la mayoría de fabricantes dispone de una batería relevante de reglas con las que comenzar a las que es sencillo ir añadiendo otras reglas más específicas.

El objetivo no deja de ser otro que reducir al mínimo el fraude consumado, que es aquel que se acaba materializando, ya que estos eventos generan pérdidas en ambas partes. Hay muchas maneras de tratar de reducir el fraude consumado en el canal Internet, y dependiendo del vendedor y la estrategia que se utilice pueden variar los factores. Para las soluciones más modernas, se tiende a generar un perfil de cliente tanto no transaccional como en transaccionalidad, lo que nos permite detectar fraude basándonos en las desviaciones de dicho perfil. Algunos de los factores empleados son:

  • No transaccionales, como por ejemplo la ubicación, el equipo utilizado para realizar operativas, la configuración del equipo, patrón comportamental de acceso al entorno de banca a distancia, etc.
  • Transaccionales, como por ejemplo cuentas origen habituales, cuentas destino habituales, importes usuales, fecha y hora usuales, operativas complementarias usuales, etc.

Para los sistemas basados en reglas no existe un respaldo inteligente para las operativas fraudulentas: todo se basa en reglas predefinidas. Veamos dos ejemplos para ilustrar ambos métodos:

  • Si realizamos habitualmente una transferencia a final de mes por importe de 1.000 euros a unas cuentas determinadas, y lo hago habitualmente desde una IP concreta (en mi casa), empleando un equipo y configuración determinadas (Mozilla, 1024×768, 32bit de color, Javascript activo, etc) a unas horas determinadas y empleando un tiempo determinado (en conectar, rellenar los formularios y autenticar la transacción vía un MTAN), el sistema puede inferir que una operativa de otro importe, aunque sea menor, con otros tiempos de respuesta, realizada en otra fecha, desde otro equipo y con otros destinos puede ser fraudulenta, ya que no responden a mi perfil habitual.
  • En un sistema no inteligente, la decisión sobre el carácter fraudulento de una transacción está limitada a las reglas que existan en el sistema. Si una de ellas especifica bloqueo en caso de que el importe supere los 1.000 euros y que el país de origen no sea España, la transacción queda anulada, independientemente de si soy yo el que está operando en un viaje o vacaciones, o efectivamente es un criminal ejecutando un fraude empleando un equipo en el extranjero.

Seleccionando herramientas WFD. Los principales factores para elegir bien

Existen infinidad de factores para poder decidir adecuadamente a la hora de implementar una solución WFD. Esta publicación no pretende resolver en 15 minutos de lectura un problema que cuesta muchas horas de consultoría y que implica tomar decisiones complejas basadas en otros factores que aquí no discutiremos. Lo único que se pretende es recordar al potencial comprador que existen unos criterios mínimos que deben tenerse claros cuando se considera comprar una solución de este tipo. Son los siguientes:

  • ¿Inteligente o basada en reglas?. Ya hemos visto que ambas tienen funcionamientos distintos y por tanto es de esperar resultados distintos. Un sistema inteligente no implica necesariamente ser mejor que basado en reglas, ya que al final todo se basa en cómo se ha implementado la solución: un WFD basado en reglas bien estudiadas y depuradas puede ser más efectivo que un sistema inteligente sin depuración, y viceversa. No obstante, en un sistema inteligente adecuadamente configurado suele existir más flexibilidad al tenerse en cuenta elementos basados en patrones comportamentales a la hora de gestionar el fraude, lo que podría mejorar los ratios.
  • ¿Integradas o no integradas? Dependerá del cliente y de las necesidades. Siempre que sea posible, y que el negocio lo justifique, las soluciones integradas ofrecen mejores perspectivas a la hora de gestionar el fraude complejo y multicanal. En algunos casos una solución WFD standalone será suficiente, mientras que en otros será aconsejable integrarla en una solución mayor.
  • ¿Operada in house o contratada como un servicio?. Existen fabricantes que ofrecen estas soluciones de gestión as a service. Tradicionalmente, habida cuenta de la información a tratar y de los requisitos regulatorios, estas soluciones se han implantado mayoritariamente en la modalidad de implantación y operación interna, aunque es posible alterar estos factores, con soluciones internas operadas por terceros, así como soluciones de terceros operadas por terceros.
  • ¿Afecta el modelo de costes? Evidentemente, sí. Existen múltiples maneras de afrontar los costes, ya que dependiendo del vendedor es posible encontrar tarificación en función al número de transacciones, al número de clientes o incluso en función al número de aplicaciones a monitorizar. Incluso es posible recibir ofertas en función al tamaño de la organización o al riesgo país desde donde se opera el negocio, en base a datos estadísticos que el vendedor tenga sobre las condiciones de operación normales, el nivel tecnológico del país desde donde se quiere operar la solución, el histórico de fraude en el país de implantación, etc. Algunos vendedores ofrecen incluso descuentos relevantes a cambio de ingresar porcentajes del fraude que se haya conseguido mitigar una vez la solución esté en funcionamiento. Cuando se negocie la compra de una solución de este tipo es imperativo conocer bien los modelos de coste.
  • ¿Merece la pena tener una solución de inventariado de equipos apoyando a la solución WFD? Cuando se opta por sistemas inteligentes, buena parte de la inteligencia proviene de la información que se capta y mantiene sobre los aspectos estáticos del cliente que ya hemos comentado. Uno de esos aspectos es la máquina empleada en las operativas (client device identification), y tener un inventario actualizado sobre qué equipos se usan para acceder a las operativas puede resultar crucial para el éxito de la solución . Esta decisión dependerá del grado de madurez de los servicios y el mercado al que vayan dirigidos. En mercados poco desarrollados, donde el ratio medio de equipo por cliente es 1, y donde no se opera desde dispositivos móviles, dotar al WFD de medios adicionales de inventariado sea un overkill. En otros mercados más desarrollados, con ratios mayores y clientes con tasas de adopción tecnológicas más relevantes puede resultar imprescindible. No olvidemos tampoco tener en cuenta que no todas las tecnologías de identificación de dispositivo de clientes son iguales, y que algunas pueden resultar más efectivas y fiables que otras.
  • ¿Es relevante decidir en función no sólo del producto, sino del vendedor? Absolutamente. Este factor es crítico, y a veces se pasa por alto. Las soluciones WFD tienen por norma general procesos de implantación costosos, donde el apoyo del vendedor para poner a punto la solución en función a los datos históricos es vital. La experiencia en el sector, la involucración de partners o implantación directa, el personal de implantación, la experiencia postventa de otros clientes … cualquier dato para poder elegir no sólo el producto sino a la par el vendedor debe ser tenido en cuenta.
  • ¿Qué vendedores se dedican a estas soluciones? Una excelente fuente de información es Gartner, que además publicó en enero de 2010 su actualización del Magic Quadrant for Web Fraud Detection. Tenéis un extracto del mismo y el cuadrante en http://www.actimize.com/gartnerwebfraudmq.

Resulta difícil escoger sin tener en cuenta todos los condicionantes del proyecto, con lo que el cuadrante no debe ser la única herramienta del decisor. Ser líderes en este cuadrante no implica ser los mejores, ya que en algunos casos se pueden cubrir las necesidades mejor con productos de nicho y otras soluciones que no estén clasificadas como líderes.

Espero que la información os haya sido de utilidad.

Un saludo,