El rápido crecimiento del comercio digital posiciona a América Latina como una de las regiones más atractivas del mundo para el desarrollo del comercio electrónico. El volumen de ventas del comercio electrónico en América Latina, durante 2015, representó un aproximado de 50 mil millones de dólares, según el estudio ‘E-Readiness In Latin America’ realizado por Visa. Sin embargo, dicho crecimiento también la hace propensa a ataques por parte de los defraudadores.

Por lo anterior, se espera que las ventas por internet alcancen un crecimiento del 13% anual entre el 2015 y el 2020, una vez las economías de la región se recuperan. Y de acuerdo con Visa, bajo este panorama, los comercios que deseen diferenciarse de sus competidores deberán ofrecer experiencias de compra multi-canal y “un nivel extraordinario de servicio a sus clientes”.

Una herramienta para reducir el fraude

Debido a que prestar un buen servicio al cliente pasa por hacer segura su experiencia, Visa ha decidido apoyar la plataforma Decision Manager de CyberSource, una compañía de Visa Inc., que permite identificar el fraude de una manera más rápida, precisa y con menor necesidad de intervención manual.

Esta plataforma está ayudando a más comercios a crear reglas y parámetros dentro de sus sistemas de administración de fraude, con el fin de determinar las acciones que le darán a cada transacción (rechazo o aceptación), basándose en el análisis de riesgo en tiempo casi real. Es decir, se trata de un ‘gana gana’ para las partes.

Falabella y Cinépolis ya usan esta herramienta

Para Visa, el rubro del comercio electrónico tradicional no está exento del fraude. Y un ejemplo de esto es Falabella, líder de tiendas por departamento en América Latina, que encontró un reto al implementar ‘Click & Collect’, el pilar fundamental de su estrategia omnicanal. Este servicio aprovecha sus tiendas físicas para que los consumidores puedan hacer su compra en línea y recoger el producto en la tienda, 90 minutos después de haber completado la orden. ¿El obstáculo?, debido a que el control de fraude en línea se hacía de forma manual, y llevaba mucho tiempo, no le permitía a Falabella cumplir con su promesa.

Al implementar Decision Manager, Falabella automatizó el proceso de prevención de fraude y experimentó una reducción del 80% en la tasa de revisión de órdenes, y un 60% menor índice de fraude; lo cual le permitió a la empresa efectuar exitosamente su programa ‘Click & Collect’.

Cinépolis, el grupo de cine más grande de Latinoamérica, enfrentó un reto similar cuando en el 2016 alcanzó un crecimiento del 120% de ventas de boletos a través de todos sus canales, en comparación con lo procesado en el año anterior. Sin embargo, por cada billete fraudulento, perdía cerca de tres veces el valor nominal del boleto, al considerar el potencial de ventas de las concesiones, los costos administrativos y la publicidad.

Ahora, con CyberSource Decision Manager, usando un método de identificación de dispositivos, Cinépolis pudo establecer reglas customizadas para teléfonos móviles y de esta forma analizar la efectividad de las reglas establecidas en este canal. Además, pudo reducir la tasa promedio de contracargos a 0,16% en el año 2016.

Empresas deben estar preparadas para combatir fraude en línea

“Las empresas deben estar preparadas para combatir el fraude en línea que desarrollan organizaciones capaces de evolucionar ágilmente sus estrategias”, manifestó Lee Araujo, director senior de soluciones para comercios de Visa América Latina y el Caribe. Araujo también se refirió a la eficiencia de las soluciones y los servicios de prevención de fraude de CyberSource, agregando que “esta plataforma permite que los comercios optimicen los procesos de detección de fraude con mayor rapidez y precisión, disminuyendo sus costos operativos, sin comprometer la experiencia de compra para sus clientes”.

Al finalizar, Araujo se refirió a los parámetros de prevención del fraude que establecen las empresas: “Actualmente estamos viviendo una revolución del comercio electrónico, donde la ubicuidad del consumidor y los multi-dispositivos traen nuevas oportunidades y desafíos. Hay casos en los cuales los comercios en la región crean parámetros bastante exigentes de prevención de fraude, y esto puede generar que se pierdan algunas transacciones de consumidores legítimos. Esto se conoce como ‘falso positivo’ y debe considerarse en el costo total de administración de fraude”.

Índice de rechazo de transacciones en América Latina

El índice de rechazo de órdenes en América Latina es del 8%, tres veces superior al 2,8% de los comercios de Estados Unidos y Canadá. Este índice incluye órdenes que pudieron ser rechazadas por error, siendo completamente legítimas, lo que se traduce en pérdida de ventas y, peor aún, en insatisfacción de los clientes.

Según el Reporte de Fraude Online América Latina 2016, un estudio encomendado por Visa que evalúa las prácticas de administración de fraude de pequeños, medianos y grandes comercios de ventas online, en promedio el 83% de los comercios transfieren a analistas de fraudes, el 29% de las órdenes recibidas para hacer una revisión manual adicional. De estas órdenes, casi el 63% terminan considerándose válidas y son aceptadas.

Imagen: Pexels.

Nadie en internet está a salvo de sufrir cualquier tipo de fraude. Por ello actualmente hay compañías dedicadas a detectar y detener los procesos de fraude electrónico en cualquier parte del ciclo que puedan afectar a una empresa, su reputación y su dinero.

ENTER.CO habló con Ricardo Villadiego, CEO de Easy Solutions Inc, multinacional de origen colombiana dedicada a la protección del fraude electrónico que es detectado y detenido en cualquier etapa del ataque antes de que se materialice, para minimizar las pérdidas económicas y el daño al buen nombre de las organizaciones atacadas.

Easy Solutions fue fundada en 2002 en Bogotá por Ricardo Villadiego –CEO-, Julián Argüelles –VP mundial de operaciones- y Siliva López –chief marketing officer-. En 2007 se incorpora oficialmente como Easy Solutions Inc y emplea el equipo de ingeniería que comienza el desarrollo de la plataforma de Total Protección de Fraude. En 2011 fueron reconocidos en la lista de las 500 empresas de más rápido crecimiento en ingresos, con un incremento de 1.480% en tres años.

Además, en los siguientes años fueron reconocidos en el cuadrante Mágico de Gartner para la detección de fraude electrónico, hicieron parte de las 100 startups de tecnología de América del Norte y del top 20 de empresas de seguridad del 2014 por la revista CIOReview. Y no solo eso, ya que entre 2015 y 2016 ocuparon el quinto lugar de la lista Cybersecurity 500 como mejor compañía de protección contra el fraude electrónico y recibieron dos premios Global Excellence de Indo Security Products por su solución de correo DMARC y su plataforma ‘protección total contra el fraude’.

En la entrevista, Villadiego nos explicó por qué es importante trabajar en contra del fraude en Colombia, por qué confiar en el talento colombiano para esta labor, qué tan grave es ser víctima del fraude y finalmente les envió un mensaje a todos los jóvenes colombianos emprendedores.

¿De dónde surgió la idea de trabajar en contra del fraude?

RV: Desde mi primer trabajo en Unisys Corporation vi que el crecimiento de internet y otros canales electrónicos atraerían a criminales y que la problemática de fraude online se convertiría en un serio problema para instituciones financieras y empresas en general y que no había soluciones enfocadas específicamente en combatir el fraude electrónico.

¿Por qué es importante trabajar contra el fraude en Colombia?

RV: Es importante trabajar contra el Fraude Electrónico no solo en Colombia sino en el mundo entero, el fraude es una problemática global. Estamos viviendo una revolución digital liderada por la generación de los Milennials, esa generación de nativos digitales permanentemente conectados a un sin número de dispositivos digitales, quienes en muchos casos prefieren comodidad por encima de su seguridad.

¿Qué tan grave es para una empresa ser víctima de fraude?

RV: Según cifras del Reporte Anual de Seguridad Cibernética de Cisco 2017, más de un tercio de las organizaciones que sufrieron un ataque en el 2016 reportaron una pérdida sustancial de clientes, oportunidades e ingresos de más del 20%. En cuanto a Colombia, esta misma empresa de seguridad reveló que en el 2015 por ejemplo, el país sufrió pérdidas por alrededor de un billón de pesos debido a ataques cibernéticos de diversa índole, robo de información y fraudes informáticos.

¿Qué se debe hacer para generar más compañías de reconocimiento global con talento colombiano?

RV: Primero creer en nosotros, en el enorme potencial del talento local. También estar atento a nuevas oportunidades de negocios y tener una visión ambiciosa de largo plazo. En mi experiencia con colegas y colaboradores nacionales y extranjeros creo que la única diferencia entre un profesional de Japón, Estados Unidos, Inglaterra o de la Distrital en Bogotá, como fue mi caso, está dado en las ganas y la perseverancia que se tenga de sacar adelante un proyecto. En Colombia hay mucha pasión, talento e innovación, pero a veces nos falta creer que es posible.

¿Cuáles eran sus expectativas y objetivos desde un inicio?

RV: Desde el comienzo, teníamos claro que el enfoque pionero de la empresa no debía limitarse solo a Latinoamérica, ya que el fraude electrónico es un problema de alcance global que afecta a bancos, cadenas de retail y entidades de todo tipo alrededor del planeta. Queríamos crear una compañía líder global y eso es lo que hoy tenemos.

¿Cuáles son los perfiles de los integrantes de su empresa?

RV: Somos un equipo multidisciplinario, muy apasionado por la tecnología y por hacer de internet un lugar más seguro. Nos une además una fuerte convicción y el sueño de crear un gran producto colombiano para el mundo bajo el lema de “un solo equipo, una sola meta”. Respetamos la individualidad de nuestros colaboradores y valoramos la diversidad como una fuente imprescindible para la innovación, pero dentro de una cultura donde el trabajo en equipo en fundamental.

¿Qué mensaje les envía a los jóvenes colombianos emprendedores?

RV: Quiero convencer a los jóvenes talentosos e innovadores de toda Latinoamérica de que sigan sus sueños y tengan grandes ambiciones, de que el límite de lo que podemos lograr solo lo imponemos nosotros. En Colombia hay mucha pasión, talento e innovación, pero a veces nos falta creer más en nosotros mismos y en lo que somos capaces de lograr en equipo y con convicción.

Imágenes: iStock, Easy Solutions Inc.

Por quinto año consecutivo, Visa presentó en Miami su reporte de fraude online 2016, que tiene como objetivo analizar las tendencias y prácticas actuales en administración y prevención del fraude en comercios pequeños y medianos en América Latina.

De acuerdo con este reporte, los comercios de América Latina muestran un índice de contracargos del 1.4% y un índice de rechazo de órdenes del 0.8%. Para los exponentes del informe, esto refleja que probablemente los comercios de América Latina están sacrificando una cantidad importante de órdenes válidas, generando un impacto negativo en sus clientes y en su balance final.

Un contracargo se genera cuando un tarjetahabiente se pone en contacto directo con su banco para informarle que no reconoce un cargo hecho a su tarjeta de crédito o débito. En ese momento, el banco emisor (banco del tarjetahabiente) crea una solicitud de contracargo hacia tu negocio.

De igual forma, con un índice de revisión manual del 29%, es posible que los comercios de América Latina no estén aprovechando herramientas automatizadas para reducir costos y optimizar la aceptación de órdenes.

Específicamente en Colombia, este reporte encontró que el 85% de los comercios del país realizan revisión manual de sus órdenes bajo el siguiente esquema: el 26% de las órdenes son revisadas manualmente, el 43% de las órdenes revisadas manualmente son finalmente aceptadas, el 10.1% de las órdenes de Colombia son rechazadas por sospecha de fraude y el 1.9% de las ventas se convierten en contracargos.

El reporte también evidenció que las herramientas de detección de fraude más utilizadas en América Latina son: Número de verificación de tarjeta (CVN), servicios de validación de domicilio postal ,Google Maps Lookup, verificación de número telefónico – búsqueda inversa, autenticación del pagador (3-D Secure), redes sociales y el historial crediticio.

Visa concluyó que existe un gran reto para los comercios de América Latina en materia de eficacia en estrategias de prevención de fraude, especialmente en canales móviles, más si se tiene en cuenta que según un estudio realizado por Euromonitor International, América Latina representa una pequeña pero creciente parte del total de ingresos por ventas en línea en el mundo: se estima que las cifras de ecommerce en la región ascenderán de los 4.800 millones de dólares reflejados en 2015 a 16.600 millones en 2020.

Imagen: Pixabay.

Andrés Guzmán Caballero, presidente de la empresa Adalid, comienza su presentación sobre la aplicación evLab con una pregunta: ¿quiere que le muestre cuán fácil es falsear un correo electrónico? Luego ingresa desde un PC, usando un navegador común, a un sitio web ubicado en un país de Europa oriental. Allí escribe un mensaje con nuestra dirección de correo corporativo como remitente, incluyendo la terminación @enter.co, y se lo manda a sí mismo, con un texto que le sugerimos en broma: “Señor Guzmán, este mes estamos regalando todos los avisos de publicidad en la revista ENTER”.

Luego nos muestra el correo que recibió, y ya no nos parece gracioso. Es idéntico a un correo normal, y tiene nuestra dirección exacta en el encabezado. Es como si en verdad lo hubiéramos enviado desde la revista. Todo el proceso le tomó un par de minutos.

Guzmán nos explica que incluso si quien lo recibe tuviera alguna razón para desconfiar y supiera cómo revisar los detalles del encabezado del mensaje, igual podría ser engañado, ya que el sitio web que usó, que es gratuito, permite introducir en los detalles del mensaje datos falsos como una dirección IP específica desde donde supuestamente se envió el mensaje; incluso se puede programar el correo para que, cuando la persona lo responda, llegue a alguna dirección en particular (no a la del supuesto remitente) o se le puede cambiar la fecha para que entre al buzón de la persona en una fecha y hora diferentes de las reales.

Guzmán dice que el problema es que “el correo electrónico no es un sistema seguro. Y no lo es porque no fue diseñado bajo parámetros de seguridad, sino de agilidad”. Pero lo mismo sucede con otros tipos de contenidos: ¿cómo se puede saber que una foto no fue retocada o que en verdad se tomó en un lugar y hora específicas?, ¿cómo sabe uno que un archivo que se envía no ha sido modificado por el camino?, ¿cómo puedo garantizar que un documento no ha cambiado frente al original?

Pensando en ese tipo de necesidades, Adalid creó en alianza con una empresa española la aplicación evLab. Más que una app, en realidad es una plataforma de certificación digital que se puede usar desde el computador, o también desde un celular a través de una app. Uno de sus mayores atractivos es la facilidad de uso. “La diseñamos para usuarios comunes y corrientes, no para ingenieros”, dice Guzmán.

Lo que hace evLab es certificar digitalmente la validez de diferentes tipos de contenidos. En el caso del correo, por ejemplo, se puede certificar que el remitente efectivamente ha enviado un mensaje, que ha sido recibido al otro lado, que se ha abierto y que no ha sido alterado.

“Suponga que envía un correo electrónico con una petición a una entidad pública, una factura a un cliente, un contrato o un acuerdo comercial. evLab certifica que usted lo envió, que el destinatario lo recibió y lo abrió, y que el correo no se ha alterado”, dice Guzmán.

Para certificar un correo, el usuario simplemente debe mandar el mensaje con copia a su cuenta en evLab; eso es todo. No hay que instalar nada en el computador, ni realizar procesos engorrosos como con otros sistemas de certificación. El cliente solo debe estar suscrito a uno de los planes de evLab.

Los certificados que ofrece evLab son una prueba infalible en cualquier tipo de proceso.

Este tipo de certificaciones son muy costosas, dice Guzmán. Explica que certificar con toda validez jurídica un correo electrónico por medio de un experto puede costar cerca de 350 dólares más IVA, y no es un proceso inmediato. Con evLab puede costar 400 pesos y toma solo unos segundos, dice. evLab se ofrece en Colombia con varios planes, que arrancan en 105 mil pesos mensuales para tres usuarios, con 250 certificaciones y 1 GB de capacidad de almacenamiento.

En los smartphones se debe instalar una app (para iOS o Android), pero el proceso es igualmente sencillo. Por ejemplo, si una persona tiene un accidente de tránsito, solo abre la aplicación y toma la foto desde allí. Inmediatamente, evLab certifica digitalmente la foto, y la sube a servidores de Amazon en donde esa imagen se guarda encriptada hasta por cinco años. “Adalid no ve ninguno de los datos; todo se guarda encriptado”.

En el caso de las fotos, evLab certifica cosas como: el lugar exacto en donde se tomó la imagen (esto se hace a través del GPS del teléfono), la fecha y la hora, que la imagen no ha sido editada o retocada y quién capturó la imagen (la app toma automáticamente una segunda foto con la cámara frontal para que el autor también quede en el registro).

evLab también puede certificar sitios web, o sesiones de navegación, y cualquier tipo de archivo digital que una empresa o persona tenga en su computador o teléfono.

Guzmán dice que evLab se basa en la norma ISO 27037, que es lo máximo en materia forense a nivel mundial, y está acorde con la Ley 527, que es la normatividad colombiana sobre el tema. “Todos los certificados están hechos por certificadoras colombianas válidas, o sea que le damos toda la validez jurídica a cualquier tipo de relación”.

“Los certificados que ofrece evLab son una prueba infalible en cualquier tipo de proceso, ya que tienen toda la validez jurídica ante las leyes colombianas”, dice Guzmán, quien habla con vehemencia sobre las potenciales aplicaciones de esta plataforma: “Esta aplicación es la herramienta perfecta para combatir la corrupción”, dice este abogado, el único experto colombiano certificado por la Unión Europea en manejo de crimen informático y evidencias digitales.

Explica que se podría usar en diversos tipos de empresas y sectores. Por ejemplo, evLab puede certificar que unos vendedores realizaron las visitas con las que se comprometieron (a través de una foto); que un pedido de productos llegó y está completo; el estado de una obra en una fecha específica; que un tubo se rompió en una vivienda en una fecha en la una póliza tenía vigencia; que una empresa emitió una orden para un pedido por el que no ha pagado; que un empleado que fue despedido cometió errores que están registrados en archivos o correos; que una cuenta en redes sociales cometió un acto de matoneo; que un sitio web tenía un aviso con una oferta en un día y hora específicos; etc. “evLab le da una garantía enorme a cosas que antes no la tenían porque no existía la forma de hacerlo”, explica Guzmán.

Adalid, que recientemente inauguró en Bogotá el laboratorio forense privado más grande de América Latina, dedicó tres años al diseño y desarrollo de evLab, que no solo se ofrece en Colombia sino en varios continentes. El aliado español de Adalid la distribuye en Europa y Asia, mientras que Adalid la ofrece en toda América, incluyendo Estados Unidos.

De acuerdo con un comunicado de prensa recibido en las últimas horas, el laboratorio de investigación de ESET dio a conocer muestras de una nueva campaña de fraude electrónico que simula ser un correo de una entidad bancaria de Colombia en el que le hacen creer al usuario que su cuenta ha sido suspendida o que se han cancelado algunos de sus productos con el banco y le piden una actualización de datos.  

Lo que parece como un mensaje de rutina por parte de la entidad bancaria no es más que una forma para robar las credenciales bancarias y la información personal de los usuarios. Si el usuario cae en la trampa y le da clic al link de Actualizar Datos Personales, será redirigido hacia un nuevo enlace donde se le solicita el acceso a otro dominio donde está la plataforma del fraude. Allí, se le pedirá su nombre de usuario y contraseña, tal como los sitios virtuales de los bancos el cual tendrá un diseño idéntico al original, lo que hace que el usuario no se percate de la estafa.

Lo que en realidad buscan los criminales es que el usuario responda a ocho preguntas secretas, tras lo cual el sistema de fraude en línea redireccionará al usuario al sitio real del banco. Por supuesto el consejo es hacer caso omiso a este tipo de correos y comunicarse directamente con la entidad bancaria. Recuerden que ningún banco incluirá enlaces a su sitio en sus correos electrónicos.

Imagen: macknimal (vía Shutterstock)

Las quejas de los clientes de Bancolombia que utilizan sus servicios en línea han crecido como la espuma en los últimos meses. El banco, que cuenta con alrededor de 1,5 millones de usuarios de su sitio web (de los cerca de 7 millones de clientes en total), ha sido en el país uno de los principales blancos de fraudes electrónicos, como los ataques de phishing (suplantación en mensajes de correo y sitios web para obtener contraseñas y otra información de las víctimas, y robarlas).

Durante años, las historias de clientes del banco a los que los delincuentes en línea les desocuparon sus cuentas han sido frecuentes, en algunos casos acompañadas con un final relativamente feliz (que el banco les haya retornado sus fondos) y en otros, con la queja de que la entidad financiera decidió echarle la culpa al cliente de dejarse robar y no asumió su parte de responsabilidad de los hechos. En ambos casos, la historia tiene 2 víctimas, el banco y su cliente.

Identidad Protegida, la apuesta que genera polémica.

Por ello, el banco ha sido uno de los más activos a la hora de tratar de educar a los usuarios de Internet alrededor de la seguridad informática. En su página de Seguridades, ofrece pautas para evitar ser víctima de fraudes, recomendaciones para temporadas especiales y respuestas a preguntas frecuentes.

Pero la información y la educación nunca son suficientes. El phishing trata de llegar a millones de personas, y, como el origen de su nombre lo indica, trata de pescar unos pocos incautos –que siempre los hay–.

Por ello, en octubre de 2010 el banco trató de ir un paso más allá en la protección de sus usuarios en línea. Durante lo que llamó el Mes de la Seguridad, lanzó 2 nuevos servicios gratuitos: Identidad Protegida y Alertas Bancolombia, a la vez que impulsó, como buenas prácticas de seguridad, el cambio frecuente de contraseña y el no entregar información personal o financiera por medio de enlaces de correo electrónico o redes sociales.

Identidad Protegida es un servicio de identificación del cliente y de sus equipos de uso frecuente, que según Bancolombia “ofrece el más avanzado sistema de protección contra el phishing”, que le permite al banco reconocer a sus clientes –y no autorizar transacciones de suplantadores–, mientras que a los clientes les ayuda a reconocer la Sucursal Virtual para personas con una imagen y una frase personalizadas, que los delincuentes en línea no pueden imitar.

Las Alertas Bancolombia, por su parte, consisten en mensajes de texto al celular o de correo que se envían cada vez que se haga una transacción con el banco, que permiten una rápida reacción si ocurre algún incidente o intento de fraude.

En un audio publicado en el sitio web, el presidente de Bancolombia hasta febrero de 2011, Jorge Londoño, destacó que la campaña logró aumentar la conciencia de los clientes alrededor de la seguridad en las transacciones financieras.

La Identidad Protegida requiere un proceso de matrícula que comienza en la selección de una imagen y la frase de seguridad, continúa con la selección de preguntas predeterminadas y la respuesta a cada una de ellas, y termina con el registro del equipo del que el usuario se deberá conectar.

Es un proceso largo y dispendioso, aunque no difícil. En este video se presenta una demostración de cómo funciona el proceso.

Sin embargo, si esto fuera todo, probablemente las quejas de los usuarios serían mínimas. Un primer problema empieza con las preguntas predeterminadas: el formulario no ofrece ninguna pista al usuario sobre si puede usar mayúsculas y minúsculas, espacios, tildes, etc.

Así que si en un momento, semanas o meses después del registro, debe responder a las preguntas predeterminadas para acceder a los servicios en línea del banco, es probable que olvide cuál era la respuesta exacta. Por ejemplo, si la pregunta es ‘¿Cuál es el nombre de su suegra?’, el usuario podría dudar de si escribir ‘Cecilia’, ‘María Cecilia’, ‘cecilia’, ‘maria cecilia’ o ‘mariacecilia’. Y si la duda se repite en 5 preguntas de validación, recuperar el acceso a los servicios puede ser una verdadera pesadilla.

Y hay algo más: es necesario registrar cada equipo con Bancolombia para acceder a los servicios en línea, lo que requiere responder 2 de las 5 preguntas definidas previamente. Esto, hace unos años, no habría sido un problema, pero hoy muchas personas se conectan desde numerosos equipos en su casa, la oficina, la universidad o sus dispositivos móviles. Y, para completar, en algunos casos también es necesario responder preguntas cuando se usa un navegador en el mismo equipo por primera vez.

Todo esto ha causado que muchos usuarios no puedan acceder a los servicios en línea cuando lo necesitan, que pierdan valiosos minutos restableciendo preguntas o intentando recordar respuestas, y que en los casos extremos, deban acudir a la línea telefónica de servicio al cliente para recuperar el acceso. Todo, en aras de la seguridad.

Las quejas, en las redes sociales y otros ámbitos, son de todos los tonos y colores. En un foro de nuestra página de Facebook y en nuestras conversaciones en Twitter con nuestra cuenta @ENTERCO, recibimos algunas de estas quejas: que los problemas para acceder a la sucursal virtual comenzaron en noviembre o diciembre, que en los días de pago de salarios se incrementan las dificultades, que con una sola vez que se digita la clave errada el sistema bloquea el acceso, que la segunda clave también es difícil de desbloquear, etc.

Uno de nuestros lectores, César Hernández, señaló en ese foro que “registrar los computadores para que el sistema reconozca las direcciones IP me parece una pérdida de tiempo”.

Entre tanto, Mauricio Mercado parece brindar una alternativa realizable, y que ya otras instituciones, como AV Villas, están empezando a incorporar: “No deberían hacer la autenticacion por IP, pues la mayoría de nosotros revisa la cuenta desde varias partes, y en lugar de eso deberían crear un token que expire luego de cierto tiempo…”. Cabe señalar que Bancolombia sí tiene el sistema de autenticación mediante un token, pero solo para las cuentas empresariales.

Bancolombia responde a las críticas y comparte los resultados.

ENTER.CO habló con Augusto Restrepo, vicepresidente administrativo de Bancolombia, quien inicialmente habló de las fallas generalizadas que tuvieron los sistemas del banco a mediados de febrero, las cuales impidieron las transacciones en línea durante varios días.

Con respecto a los nuevos mecanismos de seguridad que han causado malestar entre muchos clientes, Restrepo señaló que el reto siempre ha sido balancear la funcionalidad con la seguridad. “Desde que tenemos sucursales virtuales de personas y empresa hemos luchado por mantener la funcionalidad. Pero en la medida en que los retos de la delincuencia nos han puesto a desarrollar nuevas tecnologías, con el reto de que el cliente no sufra mucho en cuanto a la funcionalidad. No nos sirve que el cliente tenga un muy fácil acceso a los servicios si está en permanente riesgo”.

Restrepo confesó que la decisión de utilizar el mecanismo de matricular los equipos no fue fácil, pero hubo una razón de peso: “Para la delincuencia es mucho más fácil llegar al PC de los clientes que robarse las contraseñas de otra manera”, y no solo el phishing ha sido una amenaza constante, sino los cientos de miles de computadores contaminados con malware. “Así que el reto que teníamos era proteger el dispositivo de nuestro cliente para que no le roben su dinero”.

Sobre las críticas, el directivo dijo que las han recibido por diversos medios, incluso con clientes molestos que han dicho que cambian de canal (regreso a la sucursal en lugar de las transacciones en línea) o de banco, pero que también han recibido felicitaciones.

Internamente, por lo menos, reina la satisfacción. Según Restrepo, los resultados de estos mecanismos son contundentes: “Hemos reducido en más de un 90% el fraude en las transacciones en Internet”. El éxito ha sido tal, que ahora el banco está más enfocado en otras modalidades de los delincuentes, como la clonación de tarjetas y el fleteo.

Ante el incremento notable de la seguridad, las preguntas se centran en las molestias para los usuarios y una posible disminución en el uso de los servicios en línea. Al respecto, Restrepo niega que se haya caído el uso del canal de Internet, y por el contrario señala que este ha ido creciendo en un 2% o 3% mensual. La siguiente imagen refleja el crecimiento en el tráfico justamente desde octubre (aunque las visitas no necesariamente se traduzcan en transacciones).

El directivo no anunció mejoras en el proceso de registro de los equipos ni en facilitar el diligenciamiento del formulario de preguntas –que puede ser el causante de muchas de las dificultades de los clientes–. Sin embargo, señaló que sí se está trabajando para resolver de manera más rápida las solicitudes de desbloqueo del acceso. “En la línea de servicio al cliente es fácil contestar las preguntas que se hacen para confirmar si es el cliente real, y es una prueba que toma un minuto. Si el cliente no puede responder las preguntas, sí debe ir personalmente a una sucursal bancaria”.

ENTER.CO hizo la prueba de restablecer el acceso a la línea telefónica, y encontró que si bien el proceso no es tan complicado como podría parecer, y toma alrededor de 5 minutos, tiene sus fallas: en el comienzo de la llamada, no hay una opción inicial para quienes necesitan seguir el procedimiento, por lo que llegar hasta un operador que lo atienda personalmente y pueda resolver el requerimiento toma algunos minutos; luego, en alguna parte del proceso el operador de la línea de servicio al cliente ofrece una tarjeta de crédito de American Express, lo cual toma más tiempo y resulta molesto cuando la necesidad del cliente es acceso a los servicios que ya tiene. Sin embargo, al terminar la llamada sí se logró el objetivo de recuperar el acceso a los servicios en línea.

En conclusión, Bancolombia acertó al tomar acciones drásticas para reducir el fraude en línea, pero, pese a que las cifras sugieren que no han disminuido las transacciones en el sitio web, los nuevos mecanismos han hecho difícil e incómodo el acceso para muchos usuarios. El reto para este banco y los demás sigue siendo aumentar la seguridad sin ocasionar traumatismos en el funcionamiento de los servicios.

Para la discusión (en los comentarios o en este foro):

• Si es cliente de Bancolombia, ¿cuál ha sido su experiencia con los servicios en línea de Bancolombia en el último semestre? ¿Cree que el banco logró, como lo dice el VP Augusto Restrepo, un buen balance entre funcionalidad y seguridad? ¿Qué sugeriría para mejorar dicha experiencia?
• Si es cliente de otro banco en Colombia, Latinoamérica u otro país, ¿qué puede decir de la seguridad y la funcionalidad de los servicios en línea?

Si usted es uno de los que les gusta estar introduciendo y compartiendo su memoria USB con todo el mundo, tenga cuidado: tanta confianza le puede salir cara. Por lo menos así lo han comprobado empleados de algunas entidades bancarias en Colombia que han sido víctimas de fraude electrónico por cuenta de estos dispositivos portátiles.

Una USB, además de ser un dispositivo de almacenamiento, transfiere virus y actualmente es utilizada para el robo de información. Por ejemplo, si usted pasa por un parqueadero y se encuentra con unas llaves colgadas a una USB lo más seguro es que por curiosidad lo primero que hará es introducirla en su computador, y es muy probable que ese dispositivo esté programado para que haya un fraude informático y otra persona se empodere de su computador. Es tan común esta modalidad que muchas empresas ya están bloqueando los puertos USB para evitarlos.

Un fraude electrónico es una acción que busca conseguir información confidencial a través de diferentes métodos para robarla, hacer daño o con ánimos de lucro. El fenómeno se ha elevado y ha tenido una incidencia importante en América Latina, y el sector financiero ha sido uno de los más golpeados por estos ataques vía informática, en especial, mediante de servicios como las tarjetas de crédito.

“La persona fraudulenta además de utilizar las tarjetas de crédito puede violentar los portales en Internet de los bancos y lo hacen a través de aparatos electrónicos. El fraude electrónico siempre busca un robo de información y luego de eso generar un desfalco”, asegura Sebastián Hurtado, director de desarrollo de Negocios de la firma consultora Kroll.

Un informe de esta misma firma, dado a conocer en noviembre pasado, da cuenta de que los casos de fraude de información a través de medios electrónicos supera los físicos. Mediante un sondeo le preguntaron a 800 empresarios de distintas partes del mundo acerca de los temas que más los aquejan en materia de fraude y sobre cuáles son las áreas en las que ellos consideran que tienen perdidas de frecuentes.

“Este año analizamos por primera vez las pérdidas por fraude (tanto físico como electrónico) como un porcentaje de los ingresos. Y hay motivo de preocupación: lo que toman los defraudadores de las empresas aumentó un 20% en los últimos 12 meses. Casi el 90% de los encuestados reportan haber sido víctimas de fraude, un resultado similar al de la encuesta del año pasado”, afirma Tim Whipple, presidente de Kroll.

Colombia por primera vez fue tenida en cuenta en el estudio e hizo parte del porcentaje de empresas que se vieron afectadas por el fraude electrónico. En todo el mundo, los servicios financieros son los que más se consideran víctimas (42%, frente a 23% el año anterior), así como los servicios profesionales (40%, frente a 23%), y tecnología, medios y telecomunicaciones (37%, frente a 15%).

Sin embargo, algo en común que tienen los empresarios es que se niegan a reconocer que sus empresas han sido víctimas y se han visto afectadas por los fraudes electrónicos. Además, no aceptan la creciente gravedad del problema. En México, por ejemplo, la gente que lidera las empresas en varias oportunidades se negó a responder el sondeo hecho por Economist Intelligence Unit (inglés) para Kroll.

“En Latinoamérica los empresarios no dan respuesta y no les interesa decir que sí hay fraudes en su empresa. En Colombia, nos hemos dado cuenta que estamos crudos a la hora de hacer frente a los ataques informáticos”, sostuvo Hurtado.

Colombia, en campaña con los bancos.

Hoy, en Colombia las entidades bancarias, las más afectadas por el fraude electrónico, están haciendo un trabajo en prevención a través de políticas antifraude que previenen a los usuarios frente a las modalidades de fraude. Las empresas están invirtiendo en investigación y en publicidad de nuevos productos pedagógicos y de seguridad como cámaras y software, que hacen frente a los fraudes. Sin embargo, la piratería también se considera una modalidad porque los atacantes a través de medios electrónicos falsifican la información y la distribuyen para lucrarse, sin ser los dueños de ella.

Ese mismo sector financiero de Colombia, que en el primer semestre del año reportó 781 millones de transacciones por valor de 388 billones de pesos (unos 200.000 millones de dólares) trabaja para hacer frente a la problemática del fraude electrónico. Desde noviembre, puso en marcha la campaña Juntos contra el fraude que busca reunir esfuerzos entre las entidades bancarias para que los ciudadanos pongan en práctica las recomendaciones de seguridad que evitarán que sean presa fácil del fraude.

La Asociación Bancaria y de Entidades Financieras de Colombia (Asobancaria) y los bancos a través de la estrategia harán públicas 9 recomendaciones que serán reforzadas en los medios de comunicación. La campaña busca además de manera pedagógica inducir a los usuarios del sistema un cambio de hábitos.

“Las campañas de socialización y las nuevas estrategias de la Asobancaria permiten que exista una pedagogía, porque la gente no sabe cuáles son las modalidades de fraude electrónico y confunde una con otra. Lo otro es que los usuarios no conocen los procedimientos rigurosos en reclamación en temas de fraude”, agregó el Director de Desarrollo de Negocios de Kroll.

Las 9 recomendaciones de los bancos:

1. Registre su número celular y correo electrónico para que su banco le informe inmediatamente sus transacciones.
2. Cambie frecuentemente sus claves y no las deje ver cuando las digite.
3. Para ingresar a la página de su banco siempre digite usted mismo la dirección. Nunca lo haga a través de enlaces o correos  electrónicos.
4. Nunca acepte ayuda de extraños al realizar transacciones.
5. Nunca pierda de vista su tarjeta a la hora de pagar, y no permita que la deslicen en dispositivos  diferentes a datáfonos.
6. Nunca preste sus cuentas bancarias para que terceros realicen transacciones.
7. Considere no válidos los mensajes de texto que llegan a su celular ofreciendo premioso solicitando sus datos personales.
8. No realice sus transacciones bancarias desde computadores públicos, y mantenga su computador personal actualizado con antivirus.
9. No permita que personas extrañas paguen sus cuentas.