Introducción general
El fraude se ha posicionado como una problemática de suma importancia para el sistema financiero a nivel mundial. Situación que se ha acentuado por el desarrollo de nuevas modalidades de fraude a través de canales digitales. Como representantes del ecosistema de tecnología e innovación financiera estamos profundamente comprometidos con la prevención y mitigación del fraude por lo que este documento se centra en contextualizar a nuestros asociados y afiliados sobre su contexto global, sus características y sus devastadores efectos para el ecosistema Fintech. Para este propósito se explican 5 tipos de fraude que se presentan en las operaciones del ecosistema Fintech colombiano, dando su descripción, sus principales señales de alerta y sus estrategias de mitigación.
Algunos fraudes comunes en el ecosistema Fintech
1. Fraude del SOAT
El Seguro Obligatorio de Accidentes de Tránsito (SOAT) es uno de los seguros más consumidos en el país dado su carácter obligatorio. Ahora bien, esta mayor penetración y alcance en términos de cobertura a nivel nacional también hace que sea un objetivo llamativo para los criminales. La principal forma de fraude relacionada con este seguro es la venta de pólizas falsificadas, en las cuales se realizan ofertas con precios anormalmente bajos suplantando aseguradoras reconocidas para generar confianza. Bajo esta modalidad de fraude, el consumidor puede perder el valor de la supuesta prima que los criminales cobran por la póliza falsificada de este seguro. La situación anterior genera efectos negativos sobre la comercialización de estos seguros por canales distintos a las páginas de las aseguradoras, ya que se genera desconfianza y un importante deterioro en el relacionamiento entre los consumidores y los verdaderos intermediarios de seguros, algunos de ellos pertenecientes al ecosistema Fintech.
Ahora bien, es importante mencionar que existen señales de alerta que los consumidores pueden usar para identificar este tipo de fraudes. Por un lado, este puede identificarse en situaciones en las que existan ofertas en el valor de las primas cuyos costos sean muy inferiores a los costos oficiales del seguro. Por otro lado, se puede identificar este tipo de fraude cuando se encuentran sitios web o perfiles de redes sociales no oficiales que utilizan el nombre y los logos de aseguradoras reales. Finalmente, la identificación de fraudes en el SOAT puede darse al recibir llamadas o mensajes de texto ofreciendo descuentos irreales.
Con lo anterior en mente, podemos pasar a analizar algunas estrategias de mitigación de este tipo de fraude que permitan reducir el riesgo. Una primera recomendación es la compra de estos seguros únicamente a través de canales oficiales, lo que incluye las páginas web de las aseguradoras y de los intermediarios autorizados; así, es fundamental identificar tu Fintech de confianza. Asimismo, es importante que, una vez se realiza la compra del seguro, es importante verificar la autenticidad de la póliza, lo cual se puede hacer a través del Registro Único Nacional de Tránsito o a través de las páginas web oficiales de las aseguradoras. Finalmente, es importante no compartir datos personales en canales no verificados cuando se estén adelantando gestiones para adquirir el seguro y, en caso de ser necesario, reportar cualquier irregularidad.
2. Fraudes en pagos digitales
Con el creciente apogeo de los pagos digitales, ha venido también un aumento en los fraudes relacionados a estos servicios y tecnologías. Para dimensionar la importancia de los pagos inmediatos en el país, en Colombia solo el ecosistema Fintech ya procesa aproximadamente 5.3 millones de pagos diarios, llegando a procesar más de mil millones de pagos en un semestre. Estas cifras se vuelven aún más impresionantes cuando se consideran todos los pagos realizados en el sistema financiero en su conjunto. Con esto en mente, es importante precisar que el fraude en pagos digitales tiene múltiples manifestaciones; sin embargo, a grandes rasgos este puede concebirse como la manipulación de transacciones en billeteras electrónicas o aplicaciones de pago para interceptar información personal y financiera.
Ahora bien, una vez se entiende el contexto general de este tipo de fraude, se puede pasar a ver cuales son las principales señales de alerta que permiten identificar estas prácticas defraudatorias. Por un parte, el fraude en pagos digitales suele hacerse a través de correos o mensajes (phishing) que imitan a plataformas de pago oficiales, para identificar la autenticidad de estos mensajes es indispensable observar con detenimiento al remitente y su información de contacto, además del uso adecuado de las imágenes y demás símbolos característicos de la plataforma de pago. Asimismo, esos intentos de emular la autenticidad de los medios utilizados por la plataforma de pago no solo se restringen a mensajes y correos, también se da en las páginas o sitios web. De esta manera, los defraudadores crean páginas de internet que simulan a las reales, copias, muchas veces imprecisas, de los sitios legítimos. Finalmente, es posible identificar este tipo de fraude por la solicitud de datos sensibles a través de canales no autorizados, situación que debe hacer saltar las alarmas en caso de presentarse.
Respecto de las estrategias para la mitigación de los efectos de este tipo de prácticas, se dan tres recomendaciones puntuales para reducir el riesgo de caer en estas estafas. Primero, siempre se recomienda el uso de plataformas reconocidas verificando la autenticidad de los servicios requeridos. Además, en el uso de estas plataformas es fundamental verificar que la URL del sitio o página web a la que se ingresa tenga las letras “https”, lo que significa que la conexión web está protegida y, por ende, que es segura. Segundo, se recomienda no compartir información personal por correos o chats no verificados. No es común que las plataformas de pago, billeteras digitales, bancos y demás prestadores de servicios financieros soliciten esta información por canales ajenos a los de su operación. Tercero, se enfatiza en la importancia de activar la autenticación de dos pasos para proteger las transacciones. Este mecanismo permite que al realizar las transacciones no solo sea necesario el ingreso de una contraseña o pin genérico asociado al canal de pagos, sino el ingreso de un código de verificación que suele recibirse a través de correo electrónico o mensaje de texto o aplicación de mensajería; incluso algunas aplicaciones tienen códigos de verificación dinámicos que se pueden revisar en las aplicaciones de los teléfonos celulares.
3. Suplantación de identidad en operaciones de crédito digital
Por su parte, la suplantación de identidad en operaciones de crédito digital representan una modalidad de fraude cada vez más común conforme se amplía la oferta de créditos y se masifica el acceso a estos productos y servicios. Para hacernos una idea de la magnitud de este segmento fintech, en Colombia, únicamente las empresas de crédito digital llegaron a otorgar casi 2 millones de créditos en el primer semestre de 2024, cifra que aumenta con la incursión de entidades financieras tradicionales en canales digitales. Es de esta manera que, a partir de este tipo de fraude, los estafadores utilizan datos personales robados para solicitar créditos en línea a nombre de terceros con lo que pueden obtener los recursos del crédito dejando la deuda en cabeza de la persona suplantada sin que esta ni siquiera se entere.
Ahora bien, es importante que todos estén enterados de estas modalidades de fraude, en particular, es importante que las Fintechs puedan identificar los intentos de suplantación de identidad en sus operaciones. Además, es fundamental que las Fintechs realicen esfuerzos en educación financiera instruyendo a sus consumidores y usuarios para que estos puedan identificar este tipo de situaciones y mitigar el riesgo de ocurrencia. De una parte, las Fintechs pueden identificar este tipo de fraude a partir del uso de información inconsistente en solicitud de créditos rápidos, lo que podría indicar el uso de información falsa. De otra parte, es importante que el consumidor pueda identificar intentos de suplantación a partir de la extracción de información para diligenciar las solicitudes de crédito. Estas extracciones de información pueden darse a través de solicitudes de información sensible en correos o llamadas telefónicas, los cuales deben generar sospecha cuando se reciben. Finalmente, se precisa que la obtención de información para perpetrar suplantaciones de identidad puede darse también a partir de ofertas de crédito falsas, las cuales suelen promocionarse con condiciones inusualmente favorables y difícilmente verificables.
Finalmente, se ponen en consideración algunas estrategias de mitigación. Primero, para reducir el riesgo de suplantación es fundamental no compartir información personal con fuentes o entidades no verificadas. Segundo, revisar periódicamente el historial crediticio en centrales de riesgo para detectar operaciones no autorizadas que pudieron haber sido fruto de suplantaciones de identidad. Tercero, se recomienda el uso de contraseñas robustas y únicas para cada servicio que se utiliza. De esta manera, se recomienda no repetir contraseñas entre plataformas o páginas web para reducir vulnerabilidades de ciberseguridad.
4. Phishing y Smishing
Las prácticas de phishing y shiming refieren a los engaños en los que los criminales se hacen pasar por entidades legítimas para capturar información confidencial utilizando medios digitales, ya sea correos electrónicos (phishing) o mensajes de texto (smishing). Este tipo de fraudes se suelen instrumentalizar para perpetrar otro tipo de fraudes, como la solicitud de créditos digitales con esa información o acceder a cuentas transaccionales u otros productos financieros que requieran de esta información confidencial, la cual incluso puede tratarse de las contraseñas para estas plataformas.
En cuanto a las señales de alarma para identificar este tipo de fraudes se pueden plantear por lo menos tres. Primero, en estos fraudes suelen utilizarse mensajes de urgencia en los que se solicita hacer clic en un enlace en el que, a su vez, se pide actualizar algunos datos; el engaño utilizado puede variar según el caso yendo desde el envío de paquetes perdidos donde se solicita confirmar la dirección, o la entrega de recompensas donde debes ingresar la información de tus cuentas transaccionales para poder recibir el premio. Segundo, estos mensajes suelen incorporar mensajes que conducen a páginas falsas con formularios para robar la información de la víctima. Es importante poder identificar las páginas de las entidades que se utilizan para no caer en este tipo de estafas. Tercero, los mensajes suelen prometer algún tipo de beneficio o premio a cambio de los datos personales lo que puede incentivar a las personas a diligenciar los formularios, ¡Pero se debe tener mucho cuidado con este tipo de promesas!
Finalmente, se reseñan algunas estrategias de mitigación del phishing y smishing. Por un lado, es primordial verificar siempre la dirección de correo o el número de teléfono del remitente de estos mensajes, ¡No te dejes llevar solo por el nombre de empresas reconocidas! Por otro lado, es fundamental evitar hacer clic en enlaces externos de fuentes desconocidas o sospechosas, especialmente cuando estos mensajes no se relacionan con tus productos. Finalmente, es importante confirmar la información de los mensajes directamente con la entidad que supuestamente envía el mensaje, en particular cuando se trate de actualización de datos. Para esto utiliza los canales oficiales de los que disponga la entidad, incluyendo su aplicación, página web o número de teléfono en caso de disponer de este.
5. Malas prácticas de ciberseguridad
Conforme proliferan los canales digitales para la realización de operaciones financieras, la ciberseguridad toma un rol cada vez más protagónico en la construcción de un ecosistema Fintech y, en general, un sistema financiero más seguro y robusto. Pero esta responsabilidad no solo recae en las instituciones financieras, es fundamental que los usuarios de estos productos y servicios también se responsabilicen de su propia seguridad. Así, es importante que los usuarios eviten malas prácticas de ciberseguridad entendidas como la deficiencia de medidas de seguridad básica o su falta absoluta; esto puede presentarse en medidas como el uso de contraseñas seguras o el almacenamiento adecuado información, que al presentar deficiencias puede facilitar el acceso no autorizado a cuentas y datos personales. Con esto en mente se pasa a estudiar las principales señales de alerta y sus estrategias de mitigación.
Respecto de las señales de alerta que indican riesgos por malas prácticas de ciberseguridad se encuentran las siguientes:
Estas prácticas pueden representar un riesgo para los datos de los usuarios y generar múltiples vulnerabilidades a la seguridad de su información y sus recursos financieros.
Por último, se plantean algunas estrategias de comunicación. En primer lugar, se recomienda el uso de contraseñas robustas que combinen mayúsculas, minúsculas, números y caracteres especiales. Además, respecto de las contraseñas se recomienda evitar el uso de una misma contraseña para más de una plataforma. En segundo lugar, se sugiere el cambio períodico de contraseñas, lo que reduce el riesgo al descubrirse un contraseña; asimismo, se aconseja el uso de sistemas de autenticación de dos pasos que añade una capa de seguridad extra en el acceso a estas plataformas. Finalmente, se recomienda a los usuarios que, al almacenar la información sensible se tomen las medidas necesarias para la protección de dispositivos a través de servicios con la debida protección (por ejemplo, utilizando cifrado).
Conclusión
Para concluir, se resalta el rol fundamental que tienen los diferentes actores del ecosistema Fintech para prevenir y mitigar los nocivos efectos del fraude, tanto las empresas Fintech como sus usuarios quienes son las principales víctimas de este tipo de delitos. Los esfuerzos conjuntos de entidades y usuarios pueden generar un sistema que en su conjunto sea mucho más robusto. Esto se logra con un mayor esfuerzo para instruir a los usuarios en educación económica y financiera, así como generar una mayor conciencia sobre estos temas como lo pretende hacer esta iniciativa. Así, con la acción colectiva del ecosistema se puede llegar a una situación en la que todos estemos más seguros y en presencia de un menor riesgo.
Novedades
Eventos
Publicaciones
Talento
Podcast
Convocatorias