El comportamiento humano como capa de defensa para ayudar a prevenir la ACH y el fraude electrónico

Cuando la mayoría de las personas piensan en fraude, piensan en ciberdelincuentes que escriben código sofisticado o realizan una violación profunda del sistema, pero ese no es siempre el caso. El fraude puede ocurrir porque un equipo apresurado acepta un cambio "rápido" en los detalles de pago o una persona que llama que "suena oficial" persuade a alguien para que comparta un código de acceso de un solo uso.

Por esta razón, enseñar a las personas de su organización hábitos antifraude es un factor importante para ayudar a protegerse contra pérdidas, además de contar con herramientas técnicas de seguridad. Por ejemplo, una de las estafas electrónicas/ACH más comunes en este momento es el compromiso de correo electrónico, que involucra a un mal actor que intercepta una cadena de correo electrónico o se hace pasar por el correo electrónico comercial legítimo, dijo Connor Crutchfield, gerente de prevención y detección de fraude de BOK Financial®. Una estrategia principal para ayudar a mitigar esta estafa es una simple llamada telefónica.

"Si un beneficiario se comunica por correo electrónico para cambiar los detalles de pago, como la cuenta y el número de ruta, llamar a un contacto conocido para verificar que el cambio de pago es legítimo y que la cuenta y el número de ruta son correctos es un paso muy recomendable", explicó. "Tomar estas medidas puede ayudar a mitigar el riesgo de que los pagos se envíen a un beneficiario no autorizado".

Otro tipo común de estafa en este momento es la toma de control de la cuenta. En esta situación, una llamada telefónica o un mensaje de texto que parece provenir de una institución financiera crea urgencia, persuadiendo credenciales o códigos de acceso de un solo uso (OTP) de uno de los empleados de su empresa. "Esté atento a posibles llamadas telefónicas o mensajes de texto fraudulentos", dijo Crutchfield. "Los estafadores están falsificando a los bancos ahora para hacerse pasar por ellos y suplantar su identidad para acceder a la banca en línea".

Las estafas más comunes y cómo ayudar a evitarlas

Si cree que podría detectar fácilmente estas estafas, es posible que desee pensar de nuevo. Los ciberdelincuentes pueden estudiar su organización (quién autoriza los pagos, cuándo se mueven los fondos, qué proveedores reciben pagos al final del mes) y cronometrar sus movimientos a esos ritmos. Pueden usar herramientas generativas de inteligencia artificial (IA) para reflejar estilos de escritura, deslizarse en hilos de correo electrónico y explotar la presión de los plazos. En ese entorno, los pequeños hábitos de verificación pueden tener un impacto significativo en los resultados de seguridad.

Por ejemplo, para ayudar a mitigar el riesgo de comprometer el correo electrónico, su organización debe tener una cultura que fomente:

• Tratar cualquier cambio en los números de cuenta y ruta como de alto riesgo.
• Llamar a un contacto conocido a un número verificado (no al que aparece en el correo electrónico) y documentar la confirmación antes de transferir fondos.
• Mantener un directorio maestro de números verificados y requerir que una segunda persona confirme la devolución de llamada. Haga que este paso sea rutinario y auditable.

La protección contra las adquisiciones de cuentas también implica cambios proactivos en el comportamiento. Estos incluyen:

• Colgar y devolver la llamada usando un número publicado, cuando su empresa recibe una llamada telefónica o un mensaje de texto que parece provenir de una institución financiera.
• Nunca dé su nombre de usuario y contraseña de banca en línea y tenga cuidado al proporcionar OTP por teléfono o mensaje de texto.
• Limitar quién en su organización puede recibir OTP.
• Tratar las indicaciones repetidas de OTP en una ventana corta como una bandera roja.
• Desconfiar de las llamadas telefónicas inusuales. "Si una llamada telefónica tarda mucho tiempo en resolverse, esto podría ser un mal actor que se detiene en el teléfono para intentar una toma de control de la cuenta", dijo Crutchfield. "Además, si te encuentras proporcionando OTP varias veces, podría ser una señal de que se trata de una llamada telefónica fraudulenta. Cualquier señal de duda puede ser una buena señal para colgar y llamar al banco usted mismo".

ACH vs. cable: diferentes mecánicas, mismo mandato

El fraude ACH puede ser más difícil de detectar que los intentos de fraude electrónico. Los elementos ACH se asientan en lotes y pueden "permanecer" en la red, por lo que las entradas no autorizadas pueden mezclarse con flujos normales, especialmente cuando los equipos se concilian semanalmente en lugar de diariamente. Los delincuentes explotan ese retraso insertando archivos ACH fraudulentos, agregándose a sí mismos como destinatarios de pago de facturas o modificando detalles salientes después de comprometer las credenciales con malware o keyloggers. En consecuencia, la reconciliación diaria es una defensa de primera línea muy recomendada contra estos ataques porque está diseñada para acortar la ventana de detección a 24 horas.

Cuanto más rápido vea y responda su equipo a una transferencia fraudulenta, mayor será la posibilidad de obtener un resultado positivo. Para transferencias internacionales de $50,000 o más enviadas en las últimas 72 horas (según las pautas federales actuales de aplicación de la ley), su institución financiera puede coordinar con la Financial Fraud Kill Chain (FFKC) del FBI para intentar la recuperación, siempre que se haya iniciado un retiro de SWIFT y usted pueda proporcionar detalles completos de la transacción. Los cables fuera de estos parámetros aún deben ser reportados a la policía, pero los protocolos FFKC pueden no aplicarse. Tener un camino de escalada interna ensayado puede mejorar la probabilidad de un esfuerzo de recuperación exitoso.

Qué hacer de manera diferente a partir de ahora

Además de las medidas de seguridad mencionadas anteriormente, incluir los siguientes hábitos en parte de la cultura de su empresa puede ayudar a proteger a su organización contra estos y otros ataques fraudulentos:

• Haga de la verificación un reflejo: se sugiere que ningún fondo se mueva según las instrucciones modificadas sin una devolución de llamada fuera de banda a un contacto conocido. Registre quién verificó, cuándo lo hicieron y qué confirmaron.
• Aplique el control dual: separe los roles de iniciador y aprobador en toda la actividad de ACH y cables, siempre que sea posible. Esta separación rompe el único punto de falla al que apuntan los ingenieros sociales.
• Reconcilie diariamente: cierre la brecha entre el fraude y el descubrimiento. La conciliación diaria entre las cuentas operativas, de fideicomiso y de inversión es un factor clave para mejorar las probabilidades de recuperación potencial.
• Bloquee su estación de trabajo: considere iniciar pagos desde un dispositivo dedicado, uno que no se use para correo electrónico o navegación web general, para ayudar a reducir la exposición al malware.
• Practique la higiene de las credenciales:
• Contraseñas únicas y complejas
• Sin inicios de sesión compartidos
• Sin credenciales guardadas por el navegador
• Derechos de administrador restringidos a aquellos que los necesitan para su trabajo
• Sistema operativo parcheado y aplicaciones clave
• Cortafuegos y antimalware comercial en su lugar
• Escale de inmediato: Si algo se siente mal, especialmente en torno a los lotes de ACH o los cambios electrónicos de último minuto, haga una pausa y comuníquese con su institución financiera. Los minutos importan.

Las organizaciones a menudo preguntan qué herramienta "resolverá" el fraude de pago. Las herramientas ayudan, pero los hábitos son vitales: la devolución de llamada de 60 segundos, la negativa a compartir una OTP por teléfono, la insistencia en la doble aprobación incluso bajo la presión de la fecha límite. En un mundo donde los delincuentes estudian sus procesos, la respuesta más poderosa es una cultura que valora la verificación sobre la urgencia y empodera a las personas de su organización para decir: "Déjame devolverte la llamada".

Descargo de responsabilidad: La información proporcionada en este artículo es solo para fines educativos e informativos generales y no constituye asesoramiento legal, financiero o de seguridad. Estas estrategias de gestión de riesgos sugeridas están destinadas a ayudar a mitigar el riesgo de fraude, pero no garantizan la protección contra toda actividad fraudulenta. Las pautas federales están sujetas a cambios sin previo aviso. En caso de conflicto entre las sugerencias de este artículo y los términos de su Acuerdo combinado para cuentas comerciales u otros contratos de cuenta o servicios con BOK Financial®, prevalecerán exclusivamente los términos de sus acuerdos específicos y los procedimientos de seguridad descritos en ellos. BOK Financial® no controla los protocolos de agencias de terceros ni las fuerzas del orden público y no puede garantizar la recuperación de fondos.