Simon Marchand, Chief Fraud Prevention Officer en Nuance: "Los consumidores son cada vez más vulnerables al fraude"

La seguridad de la información se está convirtiendo en una de las principales prioridades de las empresas y los consumidores, especialmente tras el aumento de ciberataques que se ha registrado desde que comenzó la crisis por el coronavirus. 

Recientemente la Unión Europea lanzaba un llamamiento a las administraciones para que actuasen ante esta amenaza creciente, sumándose a las voces que advierten de la necesidad de aumentar el blindaje ante ciberdelitos y hackers, que se están adaptando para sacar partido de las brechas que acompañan a los nuevos hábitos del confinamiento.

Coronavirus: 10 consejos para un teletrabajo 'ciberseguro'

El teletrabajo, las compras online, el uso de redes sociales o el elearning han proliferado durante la cuarentena a nivel global, haciendo todavía más vulnerables a empresas y ciudadanos, especialmente a los menores de edad. Aumentan los casos de phising, se han registrado incluso ataques a hospitales y las autoridades alertan de los riesgos de utilizar plataformas aparentemente inofensivas como puede ser una herramienta de videollamada. Son mensajes que van calando y nos obligan a estar más pendientes de nuestros movimientos online. 

"A medida que los consumidores reaccionan al creciente volumen de actividad fraudulenta, especialmente alrededor del coronavirus, estos exigirán una mejor protección por parte de las empresas", afirma Simon Marchand, responsable de prevención del fraude de Nuance, empresa tecnológica especializada en innovación en Inteligencia Artificial. 

En opinión de este experto, es importante el papel que juegan las compañías a la hora de garantizar la seguridad, pero también que los usuarios tomen conciencia y se responsabilicen de la información que comparten a través de webs, aplicaciones, etc. 

Señala un informe elaborado por Google en octubre de 2019 que el 99,8% del tejido empresarial español no se considera un objetivo para ciberataques. ¿Es una percepción errónea?

Sí, se trata de una percepción errónea. Creo que ninguna empresa está a salvo de recibir un ciberataque. La información es tan valiosa y fácil de revender que los hackers van a por cualquier empresa que tenga debilidades. 

En los últimos 10 años hemos visto cambios significativos en la forma en que se organizan los estafadores. Partiendo de enfoques muy artesanales, hoy en día tienen una cadena de suministro real y apropiada, y en el centro de ese negocio se encuentran los datos personales. 

Según el mismo estudio de Google, eso va de la mano con que cerca de tres millones de pymes en España están desprotegidas frente a ciberataques al carecer de protocolos de seguridad básicos, por ejemplo. Esta cifra es muy significativa, puesto que las pymes en España tienen un gran peso económico y, por su propia estructura de negocio, un ciberataque puede suponer una multa que haga cerrar su negocio.

Las pequeñas y medianas empresas son un target muy jugoso para los ciberatacantes"

Si bien es cierto que los ataques más sonados suelen estar dirigidos a grandes empresas por la cantidad de datos que manejan, la realidad es que las pequeñas y medianas empresas son un target muy jugoso para los ciberatacantes, que en muchas ocasiones aprovechan sus debilidades de seguridad para provocar daños irreparables.

Sin un protocolo básico de seguridad

El riesgo principal es que son mucho más accesibles para los atacantes que buscan robar información, comprometer redes o servidores, paralizar sistemas, etc. 

Con directivas como el RGPD en Europa y la importancia que los usuarios dan a su seguridad, el hecho de recibir un ciberataque no implica únicamente la pérdida de dinero por una multa o por un rescate, también implica graves pérdidas reputacionales, con su consiguiente disminución de beneficios. Invertir en seguridad conlleva un gasto, pero se ve recompensado con creces.

El mayor riesgo es estar ciego ante los continuos ataques y ser extorsionado durante largos períodos de tiempo en los cuales la información del cliente se verá comprometida. Cuanto más tiempo duren los ataques, mayor será el impacto en la confianza del cliente. 

Nos encaminamos a un entorno cada vez más digital, ¿qué esfuerzos deben realizar las empresas para garantizar la seguridad de los datos?

Deben limitar la cantidad de información que almacenan a solo la necesaria y revisar de manera periódica que datos recogen, el propósito de su recopilación y durante cuánto tiempo los van a tener en su poder.  

En primer lugar, es importante contar con protocolos de seguridad en toda la infraestructura. Dichos protocolos deben adecuarse a las necesidades del negocio, pero también ser fieles a lo que marca la legislación.

En segundo lugar, hay que dedicar recursos económicos, humanos y tecnológicos para la seguridad de la información. De nada sirve contar con protocolos si no hay personal que los salvaguarden o si la tecnología usada para proteger el dato está desactualizada.

Los datos hay que protegerlos porque es lo correcto, porque todos somos usuarios"

En tercer lugar, creo que es básico contar con partners de confianza. Hay compañías que se obcecan en que ellas solas son capaces de proteger la información sensible, pero muchas veces esta no es realidad. Los partners están ahí para ayudarlas y para aportarles las soluciones necesarias para evitar los ataques y el fraude online.

También hay que interiorizar la filosofía de la protección del dato más allá de por el cumplimiento de la legislación o para evitar multas. Los datos hay que protegerlos porque es lo correcto, porque todos somos usuarios, al fin y al cabo, y queremos que nuestra información esté segura. Se trata de que ese respeto por la información de los clientes y usuarios corra en el ADN de todas las empresas.

Y con respecto a los ciudadanos, a priori más desprotegidos que las empresas, ¿qué herramientas tenemos a nuestro alcance?

Los usuarios tienen a su disposición un gran número de herramientas, desde antivirus hasta cortafuegos para routers, pasando por aplicaciones que escanean los dispositivos en busca de actividades maliciosas o de malware. 

Personalmente, creo que la herramienta más potente es el conocimiento: debemos cuestionarnos lo que compartimos y por qué lo compartimos; si es necesario exponer nuestra información más personal. Cuanto más compartimos, más nos exponemos voluntariamente a riesgos, por lo que nuestros propios hábitos y la privacidad de nuestra vida digital son la mejor herramienta. 

Debemos cuestionarnos lo que compartimos y por qué. Cuanto más compartimos, más nos exponemos a riesgos"

Los millenials y la generación Z son muy conscientes de la importancia de la seguridad, por lo que se esfuerzan en conocer unos protocolos mínimos -como por ejemplo mirar que las webs tengan https en la URL o no pinchar en links procedentes de desconocidos- con los que protegerse. Las generaciones anteriores, como los baby boomers, no han nacido en un entorno digital pero también se esfuerzan por aprender y por tener los recursos necesarios.

Por supuesto que aún tenemos todo mucho margen de mejora y que quizá los usuarios a priori estén más desprotegidos por el alto volumen de ataques a servidores solo protegidos por contraseña, pero estamos en el buen camino.

La llegada del 5G, cada vez más inminente, y el IoT, ¿son un cóctel explosivo

Está claro que cuantos más endpoints o puntos de acceso tengan los atacantes para cumplir su propósito, mejor para ellos y peor para los negocios y, por ende, para el usuario final. La llegada de nuevas redes de conexión y de modelos de infraestructura abanderados por la nube e interconectados implica que haya más puntos susceptibles a ser vulnerados, pero eso no significa necesariamente que vayan a darse fraudes o sustracciones de la información sensible.

Las organizaciones han de estar preparadas para estas u otras innovaciones, por lo que, como he dicho antes, es importante que cuenten con los mecanismos necesarios de protección. El 5G hará que el IoT esté aún más presente en nuestras vidas. El problema es que el IoT abre muchas puertas a los estafadores, quienes pueden aprovechar los dispositivos IoT no seguros para llevar a cabo sus ataques. 

¿De qué forma puede ayudar la biometría a prevenir el fraude en una organización?

Las empresas deben aumentar las medidas de seguridad y reforzar los sistemas de autenticación de clientes en todos los canales de comunicación y puntos de acceso donde los clientes deben introducir sus datos de usuario y verificar su identidad. El problema es que siguen dependiendo en gran medida de procedimientos anticuados. Piden contraseñas, información personal, realizan una autenticación basada en un amplio reconocimiento.

Un control de seguridad que simplemente te envíe un SMS al móvil tras introducir los datos de acceso es fácilmente hackeable y ya no es suficiente. Ahora es necesario que la autenticación sea múltiple e incorpore algo que el cliente no tenga que recordar y no se pueda transmitir, algo inherente al cliente como su propia voz, su comportamiento, su huella dactilar o su rostro.

La biometría no sólo permite a las empresas reducir las demoras de autenticación y dejar de depender de ese tipo de información, sino que utiliza características que no pueden ser robadas o imitadas por estafadores. Al mirar quién es una persona en lugar de qué sabe, estamos más seguros de que la persona con la que hablamos es quien dice ser. 

La biometría es tremendamente más difícil de vulnerar que cualquier otro sistema"

Los consumidores son cada vez más vulnerables al fraude porque los ciberatacantes están utilizando técnicas más complejas y difíciles de detectar. Partiendo de la base de que la biometría es uno de los sistemas más seguros que existen, minimiza la posibilidad de sufrir cualquier ataque, evalúa cientos de particularidades únicas del usuario y ofrece una mayor velocidad en el acceso a los dispositivos.

Por ejemplo, la adopción de la tecnología de Nuance con reconocimiento de voz está creciendo a un ritmo acelerado, al utilizar sofisticados algoritmos que analizan más de 1.000 características del habla y el tracto vocal de un individuo. Esto hace posible su uso para validar la identidad de las personas y luchar contra el fraude de manera segura.

En resumen, la biometría es tremendamente más difícil de vulnerar que cualquier otro sistema; y la biometría de voz, aún más que el resto de las opciones que hay disponibles.

Este método de identificación personal presenta todavía algunos desafíos, como pueden ser la garantía de privacidad y la protección de los datos personales (precisamente, mientras vivimos el auge de las deepfakes

El desafío de la privacidad debería ser la base de cada decisión de negocio para implementar la biometría. Elegir al partner adecuado es muy importante y en Nuance somos líderes mundiales. Es crucial elegir una tecnología que no solo sea fiable, sino que esté diseñada de tal manera que los consumidores puedan confiar en la seguridad de su información personal. Nuestra tecnología no permite la réplica de una voz usando información biométrica almacenada. Esos datos no pueden ser robados y reutilizados. 

En cuanto a las deepfakes, aunque causen mucho ruido en los medios de comunicación, tenemos un equipo compuesto por los mejores expertos en ciencias del lenguaje, siempre probando nuevas tecnologías y asegurándose de que nuestros algoritmos de detección de voces sintéticas son lo más avanzados y sólidos posibles. Es la combinación de la biometría de voz con otras tecnologías como la biometría conversacional u otros elementos lo que permite a nuestros clientes estar preparados para esta amenaza. 

Puede identificar a los clientes mediante el sonido de su voz, su ubicación, su dispositivo y la forma en la que hablan"

Este enfoque en múltiples capas proporciona los niveles de seguridad más altos, ya que puede identificar a los clientes legítimos mediante el sonido de su voz, su ubicación, su dispositivo y la forma en la que hablan, tocan y escriben, e indicar cuándo es probable que una llamada o una interacción online sea fraudulenta.

¿Cuál sería la responsabilidad social de las organizaciones ante el fraude y cuál la de los gobiernos?

El por qué las empresas y los gobiernos deben proteger los datos de los consumidores y ciudadanos es claro: pierden menos dinero y reputación, y la información de los usuarios está a salvo de los hackers. 

Pero en el caso del robo de información, lo que mucha gente no considera es que una vez sus datos son robados, se suelen poner a disposición del mejor postor en la dark web. Y, en algunos casos, estos datos personales se utilizan para financiar algunos de los crímenes más atroces, desde organizaciones terroristas hasta el tráfico de drogas y personas. Por ello, las organizaciones tienen la responsabilidad de detener las consecuencias más graves del fraude, más allá de sus resultados y de la reputación de su marca.

Creemos que las empresas que utilizan la biometría tienen la responsabilidad de ser transparentes. Es una información muy sensible la que estamos manejando, y los clientes deben saber todo lo necesario para entender cómo están protegidos y por qué se utiliza.