Índice
El mejor contenido en tu bandeja de entrada
El fraude en la industria de las telecomunicaciones es cada vez más común. A medida que aumenta el número de operaciones digitales, crecen los usuarios con acceso a internet a través de distintos dispositivos (móvil, PC…) y se extiende el uso de herramientas como las VPN (Virtual Private Network) las compañías del sector telco han visto cómo los intentos de comisión de fraude a través de sus sistemas se han incrementado exponencialmente.
Afortunadamente, los partners RegTech y prestadores de servicios electrónicos de confianza han ideado soluciones sencillas e infranqueables que se integran dentro de las estrategias de gestión de riesgos y prevención del fraude de las compañías de telecomunicaciones.
El fraude en el sector telco
Las telecomunicaciones son en este momento uno de los pilares fundamentales de cualquier economía avanzada, implicando actividades económicas y sociales con intercambio de información sensible y de valor que permiten el dinamismo de las sociedades actuales, así como habilitar modelos de negocio basados exclusivamente en productos digitales.
La ciberdelincuencia es cada vez más notable en este área debido a la sofisticación de los métodos utilizados por los atacantes para cometer actos ilícitos. El robo de identidad y la búsqueda de vulnerabilidades dentro del sector telco ha supuesto un quebradero de cabeza a muchos players.
Por otro lado, cada vez más actividades financieras y operaciones de alto nivel de riesgo son realizadas a través de internet o vía telefónica. Esto implica que los reguladores se hayan puesto manos a la obra para lanzar nuevas normativas que exigen tanto a compañías BFSI (Banca, Servicios Financieros y Seguros) como a las teleoperadoras un mayor control sobre su seguridad y la incorporación de usuarios reales con garantías.
En cuanto a cómo abordar el fraude en el sector de las telecomunicaciones, puede hacerse desde dos perspectivas globales:
- El uso de los productos y servicios que otros clientes han contratado con una compañía de telecomunicaciones para obtenerlos sin pagar por ellos.
- La utilización de estos mismos, en concreto de su acceso a las plataformas de cliente, como medio para suplantar la identidad de los usuarios legítimos en terceros lugares (de cara a FinTechs, bancos, compraventa online…) y robar información o dinero.
- Fraude consistente en la reventa de medios de telecomunicaciones ya sea para obtener beneficios económicos ilícitos o que otros realicen estafas a terceros usuarios sin ser identificados.
Tradicionalmente, las grandes compañías del sector de las telecomunicaciones asumían los costes del fraude cometido por los delincuentes en sus sistemas y estructuras. Pese a exponerse a graves sanciones por parte de los reguladores, sus políticas de gestión del riesgo las contemplaban y estaban integradas dentro del día a día del negocio. Aún así, estos no eran los únicos sobrecostes o asuntos que provocaba el fraude cometido.
A raíz de esta realidad, las instituciones, gobiernos y reguladores han empezado a publicar constantemente nuevas normativas que determinan ciertos aspectos de la actividad y procesos de estos players y están comenzando a exigir mayores responsabilidades.
Esto ha llevado a una situación en la que las políticas de riesgo actuales están enfocándose hacia un modelo de mitigación completa del fraude y el logro de un nivel de ataque cero, evitando estos antes incluso de que lleguen a producirse en lugar de invertir recursos en gestionar sus consecuencias legales u operacionales.
Esto sólo ha sido posible gracias al surgimiento de startups SaaS que integran sistemas de prevención del fraude y controles exhaustivos en todos los canales propios y alternativos de las compañías de telecomunicaciones. Hasta hace poco tiempo, las grandes telco debían recurrir a costosos desarrollos tecnológicos bien componiendo enormes equipos IT complejos y con estructuras poco ágiles o a consultoras externas que diseñaban sistemas que en muchos casos estaban ya obsoletos una vez eran entregados por el tiempo que se necesitaba para su finalización.
Ahora, los softwares RegTech escalables y que se actualizan de forma automática permiten a las telco obtener time-to-markets de menos de tres meses para llegar al mercado con una propuesta sólida y capaz, tanto de forma remota como en ubicaciones presenciales, al mismo tiempo que mitigan por completo el fraude.
Tipos de fraude en la industria de las telecomunicaciones
El fraude de telecomunicaciones es de muchos tipos distintos. Podemos identificar tipos de fraudes basados en la propia red de telecomunicaciones. Es decir, los ciberdelincuentes encuentran resquicios en la red para realizar sus ataques.
Del mismo modo, encontramos otra serie de fraudes telco dirigidos hacia la infraestructura física de las compañías de telecomunicaciones, actuando sobre el hardware como las tarjetas SIM y pirateando ciertos sistemas.
A continuación haremos un breve recorrido por los tipos de fraude en telecomunicaciones más destacados:
1. Fraude de identidad (suplantación o robo)
Esta categoría de fraude telco basada en la verificación de identidad es el centro desde donde se ramifican decenas de tipos de actuaciones ilícitas. Pese a que en muchos países - por ejemplo España - se obliga a vincular cada nueva alta de línea a una persona física o jurídica por ley, los delincuentes continúan registrando nuevos números a nombre de personas falsas.
Ya no estaríamos sólo hablando de que se suplante la identidad de un cliente para disfrutar de forma ilegal de los servicios y productos que ha contratado el usuario legítimo (llamadas, internet, servicios de contenidos en streaming, hacer pedidos en las divisiones de renting o venta de dispositivos de las propias teleoperadoras…), sino de hacerse pasar por ellos a través de estos para cometer actos delictivos en otras partes.
De esta forma vemos cómo esto no sólo afecta a la industria de las telecomunicaciones, sino que también impacta a otras relacionadas como las BFSI (Banca, Servicios Financieros y Seguros), ya que estas utilizan la validación de credenciales a través el envío de OTPs por SMS para verificar la identidad de sus clientes y dar de alta nuevas cuentas de servicios y productos financieros. Del mismo modo, estos códigos son utilizados en la mayoría de plataformas online como segundo factor de autenticación.
2. SIM Swapping, prepago y SIMBox
El SIM Swapping - también conocido como robo o intercambio de SIM o SIM Jacking - consiste en realizar un duplicado de una tarjeta SIM haciéndose pasar por su legítimo propietario. Como hemos visto, este fraude bebe del anterior de suplantación de identidad, por lo que es totalmente subsanable si se establecen controles exhaustivos en esa dirección.
Las nuevas soluciones SaaS de AutoSIM que han empezado a integrar muchas compañías de telecomunicaciones han resuelto por completo este problema al mismo tiempo que han permitido habilitar casos de uso novedosos como la activación de líneas móviles de forma instantánea en los aeropuertos o el envío de SIM a hogares permitiendo que los usuarios las auto-activen sin fricciones.
En relación a esto, podemos ver otros tipos de fraude similares como el abuso de carga prepago, movilizando ingresos ilegales entre tarjetas SIM o con su duplicación a través de la suplantación de identidad. Por su parte, las SIM Boxes son dispositivos que almacenan decenas o incluso cientos de tarjetas SIM para enrutar tráfico y hacer modificaciones fraudulentas en los metadatos de los operadores.
3. Fraude de depósito y de suscripción
Este fraude centra su atención en los canales de venta online de las distintas compañías operadoras de telefonía móvil y telecomunicaciones. A través de estos canales de internet ya sean propios o alternativos - aunque es mucho más común en estos segundos - se realizan compras de tarjetas SIM con tarjetas de crédito robadas. Esto no sólo aplica a las SIM sino también a otros dispositivos como los teléfonos móviles, tablets, routers…
¿Qué implica esto? Que las empresas no sólo tienen que hacer un reembolso de las tasas en forma de devolución de cargo en muchas ocasiones sino que pierden el producto por la dificultad de trazar el origen. Bloquear clientes legítimos con altas tasas de falsos positivos es común en el sector si no se cuenta con herramientas SaaS modernas de verificación de identidad y controles anti-fraude también en los puntos de venta tanto online como digitales.
Por su parte, el fraude de suscripción es muy similar, ya que basa su actividad en la firma de contratos utilizando identificaciones y tarjetas de crédito falsas o sustraídas. La firma electrónica y las plataformas de contratación digitales compatibles con eIDAS han subsanado por completo este problema afortunadamente.
4. IRSF - Fraude Internacional de Ingresos Compartidos
Este tipo de fraude IRSF utiliza los números de teléfono y líneas con tarificación especial (tarifas premium que permiten hacer y recibir llamadas internacionales a cobro revertido) para llamar desde otro - generalmente una empresa - para que esta pague grandes cantidades por minuto según lo marcado por el número premium.
También conocido como fraude de participación en los ingresos internacionales, genera hasta un dólar por minuto del que se obtienen alrededor de 25 centavos y que son robados por el estafador. Uno de los métodos que están poniendo fin a este problema es el de la implementación de controles Know Your Business KYB - y también KYC - en los procesos de alta de este tipo de líneas premium.
5. Phishing y smishing a través de SMS
Muy similar a como ocurre en fraudes cometidos a través de correo electrónico, el phishing a través de SMS obtiene datos relevantes como contraseñas o similares para suplantar la identidad en terceras plataformas.
Si bien las aplicaciones de mensajería de SMS tanto en dispositivos móviles Android como en iOS son capaces de filtrar estos mensajes maliciosos de una forma más o menos acertada llevándolos a las carpetas de spam, decenas de miles de usuarios siguen cayendo cada día en estos engaños.
Verificar la identidad de los usuarios de teléfonos que realizan envíos masivos de SMS es la solución a estos problemas, habiéndose comprobado que aquellas compañías del sector de las telecomunicaciones han reducido este fraude al incorporarlos.
6. Otros
En la industria de las telecomunicaciones podemos encontrar decenas de tipos de fraude telco. Desde el Wangiri que consiste en realizar llamadas masivas colgando para que los usuarios llamen a un número premium que actúa a cobro revertido hasta el bombeo de tráfico - que manipula las tasas de compensación a través de llamadas a redes de las teleoperadoras -, vemos cómo cada vez más se convierten en sofisticados los ataques cometidos hacia o dentro de las compañías de telefonía e internet.
Los hackeos BPX, por ejemplo, atacan directamente a la ciberseguridad y los sistemas de las teleoperadoras utilizando IPs fraudulentas para tomar el control de líneas telefónicas a través de redes telefónicas no seguras. Se conectan a redes privadas externas que permiten compartir líneas como por ejemplo se hace en las oficinas centrales. Este es generalmente complementario al Fraude Internacional de Ingresos Compartidos IRSF.
Soluciones telco de prevención del fraude
Como ya veníamos avanzando al inicio de este artículo, las telco han empezado a confiar sus actividades de mitigación del fraude a expertas tecnológicas cuyo core de negocio es el desarrollo de soluciones asequibles y auto-actualizables. Ya no es necesario involucrar a los departamentos de IT de las telco para optimizar procesos clave para la comisión del fraude por parte de los atacantes, simplemente se inserta un sistema barrera que lo evita.
Afortunadamente, estos sistemas no generan ninguna fricción en los procesos en los que se integran, siendo completamente ágiles y estando adaptados por completo a cada caso de uso, canal y las características del usuario que está llevando a cabo el proceso. Esto es crucial para toda la actividad comercial y las campañas de adquisición, donde se ha logrado alcanzar el fraude cero sin bajar ni un sólo punto los ratios de conversión.
Lucha contra el fraude, sanciones y regulación en telecomunicaciones
Los hubs comerciales Deploy&Go propuestos por compañías como Tecalis no sólo son una herramienta para que las telco gestionen de forma capilar toda su red de canales propios y alternativos, sino que habilitan el cumplimiento exhaustivo de las normativas más exigentes en cualquier mercado y región. Muchas compañías se han expandido a otros mercados de forma sencilla gracias a la utilización de estas herramientas que permiten hacer más negocio en menos tiempo con un desempeño perfecto en lo que respecta a la gestión del riesgo y la evasión del fraude.
Cumplir con las normativas de protección de datos - RGPD Reglamento General de Protección de Datos en Europa - también es de especial importancia para las compañías del sector de las telecomunicaciones. Por ello, estas plataformas que incluyen recogida y validación de documentación de identidad así como custodia de los contratos firmados por firma electrónica son ideales para tal fin. Alcanzar el número cero de sanciones ya es posible porque además, la responsabilidad de un posible fraude cometido recaerá sobre el partner RegTech.