El aumento del fraude en los pagos push autorizados (APP) se ha convertido en un importante motivo de preocupación para las empresas de todo el Reino Unido y de otros países. De hecho, según UK Finance sólo en 2022 se robaron a las empresas más de 500 millones de libras a través del fraude de la APP".
Sean MoriartyDIRECTOR FINANCIERO,
AccessPay
En nuestro reciente seminario web Cómo prevenir el fraude en las APP: Hablar con un director financiero sobre la mejora de los controles de pago, nosotros scon Sean Moriarty, Director Financiero de AccessPay, para hablar del fraude APP, su prevalencia y las medidas eficaces que pueden tomar las empresas para evitarlo.
Este blog profundiza en su conversación, destacando las principales conclusiones y estrategias debatidas.Vea el seminario web completo a la carta
¿Qué es el fraude APP?
El fraude de pago push autorizado se refiere a un sofisticado esquema en el que un estafador engaña a una empresa para que envíe voluntariamente fondos a una cuenta fraudulenta. Este engaño suele implicar que el defraudador se haga pasar por un auténtico proveedor, empleado o institución financiera. Uno de los aspectos más preocupantes de este tipo de fraude es que opera bajo la apariencia de autenticidad, basándose en tácticas de ingeniería social y herramientas tecnológicas avanzadas para engañar a víctimas desprevenidas, normalmente dentro del equipo financiero.
¿Por qué es tan frecuente el fraude en la APP?
El fraude APP ha ganado importancia debido a una combinación de factores. Las recompensas económicas para los estafadores son tentadoras, ya que incluso unos pocos intentos con éxito pueden suponer ganancias sustanciales para un individuo. Además, la era digital ha proporcionado a los defraudadores amplias herramientas para ejecutar sus planes, incluida la capacidad de piratear cuentas de correo electrónico, crear documentos falsos e incluso imitar los estilos de comunicación de altos ejecutivos. Como el trabajo a distancia y la comunicación electrónica se han convertido en la norma, las oportunidades de que los defraudadores exploten estas vulnerabilidades no hacen sino aumentar también.
Un ejemplo real de fraude APP
Durante su carrera como Director Financiero, Sean ha visto muchos ejemplos de fraude APP.
Recientemente, uno de sus contactos entre directores financieros puso de relieve un ejemplo espeluznante en el que un equipo financiero de una empresa fue objeto de un ataque directo y sufrió importantes pérdidas económicas.
El escenario: Descubrimiento de un esquema de fraude APP con pantalla compartida
- Empresa: Anónimo
- Contacto inicial: La víctima recibe una llamada que parece ser de Barclays, informando de una actividad sospechosa en su cuenta y de pagos salientes bloqueados.
- Solicitud de transferencia de fondos: La persona que llama convence a la víctima para que transfiera fondos a la cuenta de la empresa desde una cuenta de haberes, creando urgencia.
- Compartir pantalla: El estafador sugiere una sesión de pantalla compartida para resolver el problema de forma más eficaz, y la víctima acepta.
- Manipulación de la pantalla: Durante la sesión, el estafador se hace con el control, mostrando transacciones que a la víctima le parecían auténticas, pero que estaban manipuladas.
- Solicitud de código de autorización: El estafador pide a la víctima que introduzca un código de autorización, ocultando las transacciones reales que se están aprobando.
- Transferencia involuntaria: Sin darse cuenta, la víctima autoriza diferentes transacciones, lo que supone una pérdida de 200.000 libras para la empresa.
Este incidente sirve de duro recordatorio de la importancia de aplicar los controles de seguridad adecuados para evitar este tipo de estafas en el futuro, una lección en la que profundizaremos cuando compartamos ejemplos de medidas preventivas.
3 formas de combatir el fraude en las aplicaciones
Detectar las señales de alarma y las tácticas habituales
Existen varios ejemplos de casos de fraude APP, que van desde sofisticados ataques de spear phishing hasta la manipulación directa de los procesos de pago. Estos casos reales subrayan la importancia de mantenerse alerta y de implantar mecanismos de defensa de varios niveles en las organizaciones. Reconocer las tácticas habituales empleadas por los estafadores, como crear una sensación de urgencia, aprovechar los datos personales y manipular la comunicación por correo electrónico, puede ayudar a los equipos financieros a identificar posibles fraudes antes de que se agraven.
En el caso mencionado anteriormente, es evidente que la víctima debería haber devuelto la llamada al banco a un número directo, pero la urgencia creada por el estafador fue suficiente para que la víctima se sintiera presionada a resolver el asunto, rápidamente.
Siempre es mejor hablar directamente con un colega de mayor rango si alguna comunicación o pago parece irregular. En este caso, la táctica habitual consistía en "asustar" a la víctima y, por desgracia, dio resultado.
Sean ofrece un ejemplo real de fraude APP y de cómo lo superó.
Elaborar estrategias de defensa eficaces
Para combatir eficazmente el fraude APP, las empresas deben adoptar un enfoque global que abarque tanto la formación de los empleados como soluciones tecnológicas. Es crucial establecer una estrecha colaboración entre los equipos de finanzas, seguridad, TI y gobernanza, riesgo y cumplimiento (GRC).
Las sesiones de formación periódicas pueden mejorar la capacidad de los empleados para identificar y notificar actividades sospechosas. Además, la integración de tecnología, como los servicios de confirmación de beneficiarios, puede proporcionar comprobaciones en tiempo real de los detalles de la cuenta, garantizando que los pagos se dirigen a destinatarios legítimos.
Esta formación dota a las personas y organizaciones de los conocimientos necesarios para identificar las tácticas de fraude más comunes, incluidos los correos electrónicos de suplantación de identidad y las comunicaciones manipuladoras. Hace hincapié en la importancia de verificar las solicitudes de pago y la información del destinatario, promoviendo prácticas como la confirmación del beneficiario (CoP) (más información sobre este tema más adelante) para evitar transacciones fraudulentas. Además, la formación inculca hábitos digitales seguros, como una sólida gestión de las contraseñas y la vigilancia frente a los ataques de phishing.
En los entornos corporativos, la formación especializada mejora la concienciación de los empleados, reduciendo el riesgo de amenazas internas. En el caso mencionado por Sean, como su personal había recibido la formación adecuada, estaban preparados y listos para cuestionar intentos de phishing de esa naturaleza, pero por supuesto hay situaciones en las que las empresas no tienen tanta suerte. Un lituano, Evaldas Rimasauskas, orquestó un caso clásico de compromiso de correo electrónico empresarial (BEC) en el que, junto con otros cómplices, consiguió robar más de $100 millones a Facebook y Google. Se hicieron pasar por Quanta Computer, con sede en Taiwán, y enviaron correos electrónicos de phishing convincentes con facturas y contratos falsos durante dos años, de 2013 a 2015.
¿Quiere saber más sobre cómo aplicar estrategias de defensa eficaces?
Descargue nuestra guía gratuita: Guía práctica para combatir el fraude en los pagos push autorizados
Aprovechar la tecnología para la prevención
La confirmación del beneficiario (CoP) desempeña un papel fundamental a la hora de frustrar los intentos de fraude APP. La CoP permite a las organizaciones cotejar los números de cuenta, los códigos de clasificación y los nombres de las cuentas para asegurarse de que coinciden. Al realizar estas comprobaciones antes de iniciar las ejecuciones de pago, las empresas pueden identificar incoherencias y evitar que los fondos lleguen a cuentas fraudulentas, sirviendo como una sólida capa de autenticación. Cualquier discrepancia en el nombre activa una alerta, lo que incita al pagador a verificar el nombre de la cuenta.
transacción. La CoP frustra las tácticas de ingeniería social utilizadas por los defraudadores y mejora la trazabilidad en caso de infracción.
Si el equipo de esta víctima hubiera decidido efectuar un pago, la función CoP habría sido crucial para proteger a la organización. Habría señalado las incoherencias entre el nombre de la cuenta y la persona a la que se pagaba, impidiendo que se autorizara el pago hasta que se revisaran estos datos.
Más información sobre cómo implantar y automatizar la CoP en sus procesos financieros aquí
El fraude APP plantea riesgos significativos para empresas de todos los tamaños y sectores. Sin embargo, con un enfoque proactivo que combine la formación de los empleados y soluciones tecnológicas, las empresas pueden mitigar el riesgo de ser víctimas de estas sofisticadas estafas.
Manteniendo una estrecha colaboración entre los equipos financieros y de seguridad y aprovechando herramientas avanzadas como CoP, las empresas pueden reforzar sus defensas y proteger sus activos de la amenaza siempre presente del fraude.
Obtenga más información sobre la confirmación del beneficiario y las formas de detectar transacciones sospechosas antes de que se realicen, con nuestra sección Paquete de prevención de fraudes y errores.