Todo lo que logramos es generar otro tipo de riesgo, que el usuario se de por vencido y vaya a otro lugar para obtener lo que necesita. Los usuarios de las aplicación en línea, por otro lado, cuentan en la mayoría de los casos con esa opción. Vale la pena pensar en cómo la experiencia del usuario puede equilibrarse con la necesidad de detectar y mitigar las pérdidas por fraude.
Las cinco maneras en que las empresas pueden mejorar sus capacidades de detección de fraude para equilibrarla mejor con la experiencia del usuario.
A menudo nos sorprende cuántas reglas de fraude se centran en las direcciones IP. Como sabe, las direcciones IP son triviales para que un estafador cambie - en el momento en que las bloquea de una dirección IP, pasan a otra. Lo mismo ocurre con el bloqueo de países enteros o rangos de direcciones IP - es trivial para un estafador evitar eso. Centrarse en las direcciones IP crea reglas poco fiables que generan un gran volumen de falsos positivos.
La identificación fiable del dispositivo, por otro lado, es completamente diferente. Ser capaz de identificar y rastrear las sesiones del usuario final a través de sus identificadores de dispositivo, en lugar de sus direcciones IP, permite a los equipos de fraude perfeccionarse en los dispositivos que interactúan con la aplicación. Esto permite que los equipos de fraude realicen una variedad de comprobaciones y análisis que aprovechan la identificación de dispositivos, como buscar dispositivos estafadores conocidos, buscar dispositivos que inicien sesión en un número relativamente alto de cuentas y otros métodos.
Puede ser bastante difícil diferenciar entre usuarios legítimos y estafadores en el nivel 7 (el nivel de aplicación) del modelo OSI. Sin embargo, subir a la capa 8, o la capa de usuario, hace que esa diferenciación sea mucho más plausible.
En la mayoría de los casos, los usuarios legítimos y los estafadores se comportan de manera diferente dentro de las sesiones. Esto se debe principalmente a que tienen diferentes objetivos y niveles de familiaridad con la aplicación en línea. Estudiar el comportamiento del usuario final le da a las empresas otra herramienta que pueden usar para diferenciar con mayor precisión entre fraude y tráfico legítimo.
En muchos casos, existen indicios medioambientales (el entorno es de donde proviene el usuario final) que pueden ayudar a un equipo de fraude a diferenciar entre fraude y tráfico legítimo. Tener conocimiento y aprovechar adecuadamente estas pistas ambientales requiere cierta inversión, aunque paga enormes dividendos cuando se trata de detectar el fraude con mayor precisión.
A medida que las organizaciones mejoran en la comprensión de cómo se ve el tráfico fraudulento, también cosechan otro beneficio: si puedo estar razonablemente seguro de que la sesión en cuestión y el usuario final que lo navega son buenos, puedo estar razonablemente seguro de que no necesito acumular toneladas de fricción en forma de solicitudes de autenticación, autenticación multifactor (MFA) desafíos, entre otros.
Algunos equipos se centran de manera miope en las transacciones. Eso es un poco como tratar de ver la belleza del océano a través de una paja. Es cierto que puedes ver una parte del océano, pero dejas de lado la mayor parte. Del mismo modo, mirar a través de la totalidad de la sesión de usuario final, en lugar de transacciones individuales o grupos de transacciones, es una gran manera de separar con mayor precisión el tráfico fraudulento del legítimo. Las técnicasmencionadas anteriormente, junto con otras, funcionan mucho mejor con una visión más amplia y estratégica de lo que está sucediendo.
Las empresas no necesitan elegir entre la detección eficaz del fraude y la facilidad de uso. Es posible gestionar y mitigar el riesgo sin introducir fricciones adicionales a sus usuarios finales a medida que viajan a través de sus aplicaciones en línea. Ha llegado el momento de desechar la sabiduría convencional que dice lo contrario.
* Joshua Goldfarb, arquitecto de Seguridad y Fraude en F5