Todos hemos escuchado la frase "la mejor defensa es el ataque". La analogía resulta ser cierta tanto en el campo de fútbol como en el mundo de la prevención del fraude online. Muchos casos ejemplifican la situación de diversas compañías que se apresuran al implementar un sistema básico de protección de fraude sólo por cumplir regulaciones o, incluso peor, como respuesta ante un ataque o brecha.
Este tipo de enfoque reactivo resulta en protección contra fraude inefectiva y establece una base deficiente que pone en peligro los planes de innovación de una organización. Las decisiones tomadas de forma apresurada con respecto a la protección anti fraude podrían tener grandes efectos negativos en el núcleo de una compañía. Además, las compañías y organizaciones que no adopten un enfoque proactivo de prevención de fraude se arriesgan a lucir incompetentes e irresponsables, resultando en pérdidas de ingresos y posibles daños a su reputación.
¿Por qué las compañías no están siendo proactivas?
En su reporte 2016, titulado "Moving Beyond Ad Hoc Integrations to Intentional Fraud Prevention Design" (Tricia Phillips), Gartner menciona que "para 2021, el 60% de las cadenas de comercio electrónico acelerarán la integración de una nueva tecnología de prevención de fraude durante o después de una ataque sin el análisis adecuado, dejando vacíos operacionales y de datos, un número excesivo de falsos positivos, casos prevenibles de fraude e ineficiencias operacionales". La reacción natural de tapar vacíos se antepone a descubrir por qué existe un vacío, en primer lugar, y eso es un problema.
Ninguna persona o equipo a cargo de ciberseguridad quiere que su organización sea vulnerable. Este caso de estrategias débiles de prevención de fraude surge de dos errores críticos: organizaciones que no logran comprender el impacto a largo plazo que deja a su paso un ataque y organizaciones que asumen estar bien preparadas ante un ataque solo porque tienen algún tipo de estrategia de prevención; incluso si tal estrategia fue implementada apresuradamente y no se encuentra actualizada. Los líderes de compañías no siempre tienen la capacidad de ver hacia el futuro y se abstienen de aprobar los recursos necesarios para llevar a cabo tal plan. De lo que no logran darse cuenta es que una solución rápida, a pesar de cumplir con los requerimientos, puede sofocar cualquier esfuerzo para prevenir fraudes proactivamente.
Los cibercriminales apuntan a compañías no preparadas
Los cibercriminales no son estúpidos. Su meta final es robar la mayor cantidad de dinero con el mínimo esfuerzo. Al igual que un ladrón que prefiere asaltar hogares con puertas sin cerrojo, los cibercriminales optan por apuntar sus miras a sistemas débiles. Las compañías que tienen vacíos en sus sistemas de prevención del fraude se vuelven blancos más grandes para los atacantes.
De acuerdo con la compañía de seguros cibernéticos, Lloyds, los cibercrímenes les cuestan a las empresas cerca de US$400 mil millones al año, y esta cifra va en aumento. Es más, el 83% de las organizaciones que sufrieron algún incidente de fraude experimentaron pérdida de clientes, de reputación o de productividad. También se vieron inmersos en varios problemas regulatorios. Un sofisticado ataque de fraude puede ser perjudicial para cualquier organización, pero puede ser absolutamente abrumador para pequeñas empresas que no tienen los medios para recuperarse.
Pasos que toda organización debe ejecutar inmediatamente
Implementar una exitosa estrategia de prevención de fraude requiere un gran conocimiento del actual y futuro entorno de fraude, al igual que tiempo y dinero para diseñar una estrategia específica y efectiva que aborde las necesidades únicas de la organización.
Las compañías que desean combatir actuales y futuros ataques de fraude deben considerar hacer lo siguiente:
• Adopte un enfoque multinivel para combatir fraude. Entienda que no existe una solución mágica para detener todo tipo de ataques. Proteja todos los canales, porque los cibercriminales con seguridad tratarán de abusar de todos y cada uno.
• Tenga en cuenta las necesidades y limitaciones de cada departamento al momento de desarrollar una estrategia de prevención de fraude. El fraude impacta a una compañía por completo, así que deben emplearse estrategias que protejan cada departamento de forma única.
• Implemente un servicio de monitoreo diligente y proactivo que rápidamente detecte y remueva amenazas antes de que los usuarios finales lleguen siquiera a saber que algo está ocurriendo. Es difícil proteger contra lo desconocido, por lo tanto, monitorear amenazas e incrementar la visibilidad de todo el espectro de posibles ataques debe ser uno de los pilares de cualquier estrategia de protección contra fraude.
• No olvide a los clientes; deles una experiencia sin inconveniente pero segura. Al diseñar una estrategia de prevención de fraude, muchas organizaciones pasan por alto a los usuarios, quienes resultan frustrados con métodos de prevención demasiado complejos.
• Proyéctese a largo plazo. Muy a menudo durante tiempos de crisis, las compañías adoptan apresuradamente nuevos elementos como parte de su arsenal de prevención de fraude. Estas aceleradas decisiones no siempre son soluciones pensadas a futuro. Un diseño proactivo de estrategias anti-fraude es la base sobre la cual ocurrirán futuros desarrollos, especialmente durante los siguientes años de transformación digital cuando las transacciones online crezcan exponencialmente.
No existe duda de que los ciberataques causan problemas regulatorios, financieros y de imagen. A veces incluso puede parecer imposible recuperarse de un ataque a gran escala, especialmente para organizaciones pequeñas. Los líderes de las compañías necesitan dejar de ver las medidas de prevención de fraude como gastos opcionales y comenzar a considerarlos una necesidad para el crecimiento y longevidad de su organización.
Por último, los líderes de las compañías deben hacerse dos importantes preguntas: ¿La amenaza de fraude justifica destinar más tiempo y recursos para desarrollar una mejor estrategia de prevención? ¿Estamos dispuestos a arriesgar la confianza del cliente? La respuesta a la primera debe ser un rotundo "sí" y a la segunda debe ser un contundente "no". Es tiempo de que los líderes se den cuenta de que las decisiones que tomen hoy sobre la prevención del fraude impactarán la salud de sus negocios mañana.