Ataques de Enumeración Automatizados: Una Amenaza en Aumento en el Fraude Digital
Los atacantes están utilizando cada vez más la automatización para llevar a cabo ataques de prueba de tarjetas, aprovechando botnets y scripts para facilitar transacciones fraudulentas sin presencia de tarjeta (CNP). Esta preocupante tendencia generó pérdidas por fraude de $1.1 mil millones solo el año pasado.
La Velocidad y Escala de los Ataques de Enumeración
Los ataques de enumeración no solo son rápidos, sino que también operan a gran escala. Los atacantes emplean tecnologías de automatización avanzadas, lanzando miles de ataques automatizados en cuestión de segundos. Esta capacidad supera las defensas cibernéticas tradicionales, lo que dificulta enormemente su detección y prevención.
La Evolución de las Tácticas Cibernéticas
Los ciberdelincuentes refinan continuamente sus técnicas, incorporando métodos de automatización de vanguardia que evaden las detecciones simples. Utilizan cada nueva tecnología a su disposición, incluyendo IA generativa y modelos de lenguaje de gran escala (LLMs), junto con herramientas de automatización heredadas.
Christophe Van de Weyer, CEO de Telesign, destacó la creciente sofisticación de estos defraudadores. "Son adoptadores tempranos de tecnologías como la IA generativa, mejorando la calidad y escala de sus ataques," comentó. Añadió que los delincuentes han perfeccionado sus tácticas de ingeniería social, a menudo suplantando a empleados para manipular a los departamentos de TI en el restablecimiento de contraseñas y dispositivos MFA. Como resultado, el fraude global ha crecido hasta convertirse en una industria de $6 billones, superando el PIB de muchas naciones.
Michael Jabbara, Vicepresidente Senior de VISA, señaló el rápido aumento en los ataques de enumeración, particularmente debido a la digitalización del comercio y a la proliferación del comercio en línea. Los datos de VISA revelan que el 33% de las cuentas enumeradas experimentaron fraude en solo cinco días tras el acceso de un atacante a la información de pago.
La Mecánica Detrás de los Ataques de Enumeración
Lo que hace que los ataques de enumeración sean particularmente peligrosos es su capacidad para enviar rápidamente combinaciones únicas de valores de pago, como números de cuenta principal (PAN), valores de verificación de tarjeta (CVV2), fechas de vencimiento y códigos postales, crackeando efectivamente las transacciones CNP. Estos ataques suelen dirigirse a sistemas que ofrecen retroalimentación al usuario, permitiendo a los atacantes saber cuándo sus conjeturas son correctas.
La investigación de VISA muestra que los ataques de enumeración a menudo explotan debilidades en plataformas de comercio electrónico, especialmente aquellas que carecen de limitaciones de tasa o medidas de verificación robustas. La compañía aconseja a los comerciantes implementar CAPTCHA, monitorear transacciones en busca de actividades inusuales y adoptar fuertes medidas de cifrado y autenticación multifactor para mitigar riesgos.
El Papel de la IA en la Lucha Contra el Fraude
En respuesta a la creciente sofisticación de las tácticas de fraude, VISA lanzó en 2019 la Visa Account Attack Intelligence (VAAI) para combatir el aumento de ataques de fraude en pagos. Esta solución se centra en identificar transacciones CNP utilizando un enfoque de defensa unificado que integra información sobre violaciones, ciberseguridad y pagos.
Hoy, VISA mejora sus capacidades con el nuevo VAAI Score impulsado por IA generativa, que evalúa los ataques de enumeración en tiempo real. Cada transacción recibe una puntuación de riesgo, lo que permite a los emisores tomar decisiones informadas rápidamente y proteger las transacciones legítimas de los clientes mientras minimizan pérdidas financieras. El VAAI Score se comparte a través de VisaNet, proporcionando a comerciantes y socios información inmediata sobre las probabilidades de transacciones fraudulentas.
El VAAI Score puede generar una evaluación de riesgo en 20 milisegundos desde que se procesa una transacción, analizando más de 182 atributos de riesgo para evaluar la probabilidad de fraude. Desarrollada a partir del análisis de más de 15 mil millones de transacciones de VisaNet, esta puntuación cuenta con seis veces más características que sus predecesores, mejorando significativamente sus capacidades de detección de fraude y reduciendo potencialmente los falsos positivos en un 85%. Al integrar IA generativa y aprendizaje automático, el VAAI Score se adapta continuamente para identificar intentos de los atacantes de evadir medidas de seguridad CNP.
VISA ha invertido más de $10 mil millones en tecnologías de IA y aprendizaje automático para mejorar la prevención del fraude y la seguridad de la red, bloqueando exitosamente $40 mil millones en transacciones fraudulentas en un solo año.
El Desafío de la Precisión y Velocidad en Tiempo Real
Jabbara enfatizó la importancia de las evaluaciones de riesgo en tiempo real, afirmando que VisaNet se basa en estándares ISO para la integración fluida con socios y comerciantes para difundir los VAAI Scores. “Proporcionamos el VAAI Score dentro del propio mensaje de transacción,” explicó, permitiendo a los clientes adaptar sus estrategias de gestión de riesgos según sus necesidades operativas específicas.
El campo de la detección de fraudes está evolucionando rápidamente, y Jabbara destacó la necesidad de que las empresas evalúen el riesgo de fraude a lo largo de todo el viaje del cliente. Telesign está aprovechando la IA y el aprendizaje automático con propósitos similares.
"En Telesign, nuestra API de Inteligencia proporciona información sobre riesgos y patrones subyacentes," dijo Van de Weyer. "Identificamos señales de alerta analizando la actividad de números de teléfono, uso de correos electrónicos, direcciones IP y patrones de llamadas para ayudar a señalar números riesgosos, informando nuestras recomendaciones de riesgo y puntuaciones para mejorar los procesos de autenticación."