Singapur intensificará las medidas de seguridad tras las estafas de phishing

Las estafas de phishing por SMS, que provocaron pérdidas por valor de 13,7 millones de dólares singapurenses, han provocado la introducción de medidas de seguridad adicionales, como la necesidad de que los proveedores de servicios de SMS comprueben un registro antes de enviar mensajes y que los bancos desarrollen algoritmos de IA "más versátiles" para detectar transacciones sospechosas.

Singapur está intensificando las medidas de seguridad para reforzar las infraestructuras bancarias y de comunicaciones locales, que incluyen la necesidad de que los proveedores de servicios de SMS verifiquen un registro antes de enviar mensajes. También se espera que los bancos desarrollen modelos de inteligencia artificial (IA) "más versátiles" para detectar transacciones sospechosas. 

Las salvaguardas adicionales se producen inmediatamente después de una reciente serie de estafas de phishing por SMS, que eliminaron 13,7 millones de dólares singapurenses (10,17 millones de dólares) de las cuentas de 790 clientes de OCBC Bank. Los estafadores habían manipulado los detalles de la identificación del remitente de SMS para enviar mensajes que parecían ser de OCBC, instando a las víctimas a resolver los problemas con sus cuentas bancarias. A continuación, se les redirigió a sitios web de phishing y se les indicó que introdujeran sus datos de inicio de sesión bancarios, como el nombre de usuario, el PIN y la contraseña de un solo uso (OTP).  

Al describir el incidente como la estafa de phishing más grave del país que involucra SMS falsos que se hacen pasar por bancos, el ministro de Finanzas, Lawrence Wong, dijo que se tomarían varias medidas para mitigar mejor los riesgos de tales estafas. Estos abarcarían todo el ecosistema, incluidos los bancos, las telecomunicaciones, la aplicación de la ley y la educación del consumidor, dijo Wong el martes durante su declaración ministerial en el parlamento. El ministro también es vicepresidente de la Autoridad Monetaria de Singapur (MAS). 

Las estafas de OCBC llevaron a MAS a imponer nuevas medidas de seguridad el mes pasado que, entre otras cosas, requerían que los bancos eliminaran los hipervínculos de los mensajes de correo electrónico o SMS enviados a los consumidores e implementaran un retraso de 12 horas en la activación de los tokens de software móvil. 

Wong señaló que el pasado mes de octubre la MAS estaba en conversaciones con los bancos locales para poner de manifiesto las lagunas que surgieron de la "revisión supervisora focalizada" del regulador, que se llevó a cabo en el tercer trimestre de 2021. Iniciada en vista del aumento de los casos de estafa en los últimos dos años, la revisión evaluó los controles de fraude en los canales de banca digital de los tres bancos locales, incluidos DBS Bank y UOB. 

Wong dijo que los bancos recibieron recomendaciones para remediar las brechas y establecieron plazos para implementar las diversas medidas, algunas de las cuales requirieron cambios extensos en sus sistemas de TI. Con el aumento de las estafas de phishing en diciembre pasado, dijo que OCBC aceleró la implementación de algunas de estas medidas, como la extensión del período de enfriamiento, durante el cual no se podían llevar a cabo transacciones de mayor riesgo, después de que se hubiera configurado un token digital en un nuevo dispositivo móvil. 

Se están tomando más medidas, dijo el ministro. 

Los bancos trabajarían para reforzar aún más sus capacidades de monitoreo de fraude para identificar mejor las transacciones sospechosas y anómalas, incluidas las transacciones con tarjetas de crédito. Si bien la mayoría de los bancos ya tenían algunos parámetros basados en reglas, estos debían ampliarse para tener en cuenta una gama de escenarios de estafa de la marca, explicó Wong. 

"Más allá de los parámetros predefinidos, MAS esperará que los bancos desarrollen algoritmos más versátiles que empleen la IA y el aprendizaje automático para detectar transacciones sospechosas", dijo. "Dichos algoritmos deben basarse en múltiples fuentes de información, incluido el perfil del cliente y las vulnerabilidades, los patrones de transacciones anteriores, la actividad de la cuenta y la identificación de dispositivos móviles".

Sin embargo, enfatizó que los sistemas avanzados de monitoreo de fraude no podrían detectar todas las estafas. 

Los bancos de Singapur también reforzarían su capacidad para bloquear más rápidamente las transacciones sospechosas y ponerse en contacto con los clientes para verificar su autenticidad. Las transacciones solo se desbloquearán y procesarán cuando el cliente las confirme, dijo. Una vez más, si bien los bancos ya tenían estas capacidades en la actualidad, señaló que no eran consistentes en varios tipos de transacciones. 

Además, MAS estaba estudiando la posibilidad de permitir a los clientes congelar sus propias cuentas sin necesidad de ponerse en contacto con los bancos. 

Los bancos también introducirían confirmaciones adicionales de los clientes, más allá de las notificaciones, para cambios significativos realizados en sus cuentas o transacciones de alto riesgo, como cambios en los datos del titular de la cuenta y activación de tokens en otro dispositivo. 

Estos vendrían con inconvenientes adicionales para los clientes que realizan transacciones legítimas, pero serían necesarios para aumentar la seguridad de la banca digital y los usuarios tendrían que adaptarse, dijo Wong. 

Los bancos locales también buscarían ampliar el uso de la biometría como medio de autenticación, además de las contraseñas y las OTP. El ministro dijo que esto agregaría otra capa de seguridad que no podría ser fácilmente suplantada por los estafadores. 

Los bancos acelerarían aún más el uso de aplicaciones de banca móvil para autenticar la identidad del cliente, autorizar transacciones y enviar notificaciones bancarias. 

También se está llevando a cabo un examen sobre el uso de OTP basados en SMS y las medidas necesarias para reducir los riesgos de su uso. 

Medidas de seguridad necesarias en todas las infraestructuras

Se están preparando otros pasos que involucran a otros proponentes del ecosistema, específicamente, a los proveedores de servicios de telecomunicaciones.

Al comentar sobre la necesidad de reforzar las defensas a través de las redes de telecomunicaciones, la ministra de Comunicaciones e Información, Josephine Teo, dijo: "Para combatir el phishing y la suplantación de identidad por parte de los estafadores, debemos interrumpir tantas partes de su modus operandi como sea posible. Además de mejorar las salvaguardas en el sistema bancario para evitar que las estafas tengan éxito fácilmente, también se necesitan medidas previas para interrumpir el alcance de los estafadores a las víctimas potenciales".

 Por un lado, los proveedores de servicios de SMS y las empresas de telecomunicaciones deberán verificar el registro nacional de identificación de remitentes y solo enviar mensajes cuando los detalles del remitente coincidan con los registros del registro, dijo Teo el martes, durante su declaración ministerial en el parlamento. Esto significa que los mensajes SMS que falsifican identificaciones registradas no llegarán a sus objetivos previstos. 

El pasado mes de agosto se puso en marcha un proyecto piloto para permitir a las organizaciones registrar los encabezados de los identificadores de remitentes de SMS que deseaban salvaguardar en el registro. De este modo, se garantizaría el bloqueo de los mensajes enviados mediante el uso no autorizado del ID de remitente de SMS protegido. 

Según Teo, todas las organizaciones también deben tener un UEN (número de entidad único) válido si desean enviar mensajes SMS a través de identificaciones registradas a los suscriptores telefónicos en Singapur. 

Añadió que la MAS ha hecho obligatorio que todos los principales bancos minoristas registren sus datos de identificación de remitente en el registro. Todas las agencias gubernamentales también harían lo mismo. 

Al señalar que los estafadores también usaban identificaciones que se parecían a las identificaciones legítimas de los remitentes, dijo que el gobierno estaba explorando la posibilidad de exigir que todos los usuarios de identificaciones alfanuméricas se registraran. Esto evitaría que los estafadores envíen mensajes SMS utilizando dichas identificaciones, sin unirse primero al registro, dijo. 

Teo dijo que estas medidas requerirían tiempo para implementarse e implicarían costos adicionales para las empresas. Aquellos que optaran por no registrar los datos de su ID de remitente tendrían sus mensajes SMS apareciendo solo con su número de teléfono. Luego, los clientes tendrían que guardar el número en su lista de contactos para reconocer futuros mensajes de la organización. 

El regulador de la industria, la Autoridad de Desarrollo de Medios de Comunicación de Infocomm, consideraría tales implicaciones al decidir si ordena el registro de todas las identificaciones alfanuméricas, dijo. 

Instó a las empresas a evaluar su uso de SMS para atraer a los clientes, ya que el medio se basa en una tecnología antigua y no está diseñado para comunicaciones seguras. Pidió "más moderación" en el uso de la plataforma para transmitir información sensible o confidencial o para transacciones de alto valor. 

También se planearon otras medidas, incluidos los esfuerzos de las empresas de telecomunicaciones para incorporar análisis adicionales para bloquear más llamadas sospechosas de estafa. Esto podría llevar a 55 millones de llamadas bloqueadas al mes, frente a los 15 millones, o una de cada siete de todas las llamadas entrantes desde el extranjero a Singapur, que actualmente se bloquean cada mes.

Los sitios web de phishing también seguirían en la lista negra. Unos 12.000 sitios web fraudulentos fueron bloqueados el año pasado, frente a los 500 sitios web bloqueados en 2020, según Teo.

El Consejo Nacional de Prevención del Delito también pondrá en marcha un canal de WhatsApp, para el tercer trimestre de este año, para obtener información pública sobre sitios web y mensajes fraudulentos, agregó. 

Wong dijo: "No existe una sola medida que pueda garantizar la seguridad de la banca digital. Las técnicas empleadas por los estafadores están en constante evolución y ganando en sofisticación. Es por eso que en la lucha contra las estafas, los bancos deben emplear una combinación de medidas en prevención, detección, respuesta y recuperación, y revisar y recalibrar constantemente estas medidas".

Agregó que los clientes, la industria y los proveedores de infraestructura deben permanecer alerta para evitar que se repitan estafas a gran escala como las que involucran a OCBC. 

"La amplitud de los problemas planteados subraya que necesitamos adoptar un enfoque de ecosistema para fortalecer nuestra defensa colectiva contra las estafas de phishing y las estafas en general", dijo. "Todos en este ecosistema deben desempeñar su papel".

En las estafas de phishing de OCBC, hasta la fecha, la Fuerza de Policía de Singapur ha congelado 121 cuentas bancarias aquí y ha recuperado unos SG$2 millones. Otros 2,2 millones de dólares singapurenses de los fondos de las víctimas fueron rastreados hasta 89 cuentas bancarias en el extranjero. Al menos 107 direcciones IP locales y 171 extranjeras estaban vinculadas al acceso no autorizado a las cuentas bancarias por Internet de las víctimas. 

Muchos de los sitios web de phishing utilizados en las estafas de OCBC estaban alojados en empresas de alojamiento web con sede en el extranjero, según el ministro de Estado del Ministerio del Interior, Desmond Tan. Dijo que el SPF estaba trabajando con la Interpol y las agencias de aplicación de la ley extranjeras para investigar a los destinatarios de fondos transferidos al extranjero, así como a los anfitriones de los sitios web fraudulentos.