El mundo cambió cuando irrumpió la pandemia del COVID-19. Todas las tareas pasaron a realizarse en línea, en mucha mayor medida: la escuela, el trabajo y, sorprendentemente, el fraude. Aunque, en cierta medida, el fraude en línea ha existido durante décadas, la Comisión Federal de Comercio de los EE. UU. comunicó que en 2022 los consumidores perdieron casi 8800 millones de dólares como consecuencia del fraude (un incremento de más del 400 % desde 2019) y la continuación de una tendencia preocupante. Las personas siguen pasando más tiempo solas que nunca, y ese tiempo que pasan solas hace que sean no solo un objetivo con más frecuencia, sino también más vulnerables al fraude. Y no solo las personas son víctimas de estas tendencias. También las empresas. Según el informe "Global Economic Crime and Fraud Survey" de PWC, más de la mitad de las empresas con al menos 10 000 millones de ingresos han sufrido algún tipo de fraude digital.
Esta es una historia conocida en el panorama de los ataques de bots. La gestión de bots de Cloudflare ayuda a los clientes a identificar las herramientas automatizadas de las que depende el fraude en línea. Sin embargo, es importante señalar que no todos los fraudes los cometen los bots. Si el objetivo es lo suficientemente valioso, los actores maliciosos contratarán a personas reales para la explotación de las vulnerabilidades de las aplicaciones en línea. Los equipos de seguridad no deben limitar su análisis solo a los bots si desean proteger mejor las aplicaciones en línea y abordar el fraude en línea moderno.
Hoy, nos complace anunciar el lanzamiento de Cloudflare Fraud Detection. Fraud Detection te proporcionará herramientas precisas y fáciles de usar que puedes implementar en unos segundos en cualquier sitio web de la red de Cloudflare, a fin de ayudar a detectar y categorizar el fraude. Para cada tipo de fraude que detectamos en tu sitio web, podrás seleccionar el comportamiento que resulte más lógico en tu caso. Algunos clientes querrán bloquear el tráfico fraudulento en nuestro perímetro. Sin embargo, es posible que otros clientes quieran pasar esa información en encabezados para crear integraciones con su propia aplicación, o utilizar nuestra plataforma Cloudflare Workers para dirigir a los usuarios de alto riesgo a una experiencia en línea alternativa con menos prestaciones.
La experiencia del fraude en línea actual
Cuando hablamos con las organizaciones afectadas por el sofisticado fraude en línea, lo primero que escuchamos comentar a los frustrados equipos de seguridad es que saben lo que podrían hacer para evitar el fraude en un vacío: han propuesto requerir la verificación del correo electrónico al registrarse, aplicar la autenticación en dos fases para todos los inicios de sesión, o bloquear las compras en línea realizadas mediante VPN con una función de anonimización o desde países de los que repetidamente observan un número alto de reembolsos. Aunque sin duda todas estas medidas reducirían el fraude, también perjudicarían a la experiencia del usuario. Todas las empresas temen que una experiencia de usuario deficiente conlleve la ralentización de la adopción o la disminución de los ingresos, y consideran que eso es un precio demasiado elevado para evitar el fraude en línea más común.
Para aquellos que han optado por mantener esa experiencia de usuario fluida y asumir el coste del fraude, observamos dos importantes consecuencias: mayores costes de la infraestructura y menor eficiencia de los empleados. Los actores maliciosos que explotan los puntos finales de creación de cuentas o los puntos finales de disponibilidad de servicios a menudo lo hacen con avalanchas de solicitudes HTTP muy distribuidas, que pasan rápidamente a través de los proxies residenciales para evitar activar las reglas de limitación de velocidad basadas en dirección IP. Si las empresas no tienen forma de identificar con certeza el tráfico fraudulento, se ven obligadas a ampliar su infraestructura para poder dar servicio a nuevos picos del tráfico de solicitudes, incluso cuando saben que la mayor parte de este tráfico no es legítimo. Los equipos de ingeniería y de confianza y de seguridad de repente deben asumir una serie de nuevas responsabilidades: prohibir periódicamente direcciones IP que nunca se utilizarán de nuevo, depurar sistemáticamente los datos fraudulentos de las bases de datos saturadas, e incluso a veces convertirse en investigadores "de facto" del fraude. Como resultado, la organización incurre en mayores costes sin que sus clientes se vean beneficiados por un mayor valor.
Reduce el fraude moderno sin perjudicar la experiencia del usuario
Las organizaciones nos han dicho claramente que una solución eficaz de gestión del fraude debe detener de forma fiable a los actores maliciosos antes de que puedan crear cuentas fraudulentas, utilizar tarjetas de crédito robadas o robar datos de los clientes, todo ello al mismo tiempo que garantiza una experiencia de usuario fluida a los usuarios legítimos. Estamos desarrollando sistemas de detección nuevos y muy precisos, que permiten resolver los cuatro tipos de fraude más habituales, que empresas de todo el mundo nos han solicitado resolver:
- Creación de cuentas falsas: los actores maliciosos registran muchas cuentas distintas para acceder a recompensas promocionales, o a más recursos de los que un único usuario debería poder acceder.
- Apropiación de cuentas: este fraude consiste en obtener acceso no autorizado a cuentas legítimas. Los actores maliciosos utilizan combinaciones de nombre de usuario y contraseña robadas de otros sitios web, intentan adivinar contraseñas débiles o explotan mecanismos de recuperación de cuentas.
- Pruebas de tarjetas y transacciones fraudulentas: los actores maliciosos prueban la validez de la información de las tarjetas de crédito robadas o utilizan esta misma información para comprar bienes o servicios.
- "Expediting" (consulta acelerada): este fraude consiste en obtener bienes o servicios de disponibilidad limitada eludiendo el flujo normal de usuario para completar los pedidos más rápido de lo que sería posible de la forma normal.
Para poder confiar en tu solución de gestión del fraude, las organizaciones deben comprender las decisiones o las predicciones en las que se basa la detección del fraude. Es lo que denominamos "explicabilidad". Por ejemplo, no es suficiente saber que un intento de registro se ha indicado como fraudulento. Por ejemplo, si un registro es fraudulento, debes saber exactamente qué campo proporcionado por el usuario nos ha llevado a considerar que era un problema, por qué era un problema y si formaba parte de un patrón más general. Nosotros transmitimos este nivel de detalle cuando detectamos un fraude. Por lo tanto, puedes estar seguro de que únicamente excluimos a los actores maliciosos.
No todas las empresas que afrontan el fraude en línea moderno tienen la misma idea de qué riesgos son aceptables, ni las mismas preferencias sobre cómo abordar el fraude una vez identificado. Para proporcionar a los clientes la máxima flexibilidad, estamos desarrollando las señales de detección de fraude de Cloudflare para que se puedan utilizar individualmente, o en combinación con otros productos de seguridad de Cloudflare, de la forma que resulte más adecuada para el perfil de riesgo y el caso de uso de cada cliente, todo ello con la conocida interfaz de reglas de firewall de Cloudflare. Habrá disponibles plantillas de reglas y sugerencias para guiar y ayudar a los clientes a familiarizarse con las nuevas funciones, pero cada cliente tendrá la opción de personalizar por completo cómo desea proteger cada una de sus aplicaciones de Internet. Los clientes pueden bloquear, limitar la velocidad o aplicar desafíos a las solicitudes en el perímetro. También pueden enviar estas señales a los niveles superiores en encabezados de solicitud, para activar el comportamiento personalizado dentro de la aplicación.
Cloudflare proporciona servicios de seguridad y rendimiento de aplicaciones a millones de sitios, y observamos de media 45 millones de solicitudes HTTP por segundo. La inmensa diversidad y el gran volumen de este tráfico nos proporciona una situación privilegiada para analizar el fraude en línea y acabar con él. La solución de gestión de bots de Cloudflare ya está diseñada para ejecutar nuestro modelo de aprendizaje automático que detecta el tráfico automatizado en cada solicitud que observamos. Para abordar mejor los casos de uso más complejos, como el fraude en línea, hemos mejorado aún más la eficiencia de nuestro aprendizaje automático ultrarrápido. Ahora, el modelo de aprendizaje automático habitual se ejecuta en menos de 0,2 milisegundos. Esto nos proporciona la arquitectura que necesitamos para ejecutar múltiples modelos de aprendizaje automático específicos en paralelo, sin ralentizar la entrega del contenido.
Evitar la creación de cuentas falsas y reforzar la protección integral de Cloudflare
Lo primero que nuestros clientes nos pidieron que abordáramos fue la detección de la creación de cuentas falsas. Cloudflare está perfectamente posicionado para resolver este problema, puesto que observamos más páginas de creación de cuentas que nadie. A partir de una muestra de datos sobre ataques de cuentas falsas de nuestros clientes, empezamos a analizar los datos de solicitud de registro, y cómo la información sobre amenazas recopilada por nuestro equipo de Cloudforce One podría ser útil. Descubrimos que los datos utilizados en nuestros productos Cloudflare One ya podían identificar el 72 % de las cuentas falsas con la información de registro proporcionada por el actor malicioso, como por ejemplo la dirección de correo electrónico o el dominio utilizado en el ataque. Continuamos añadiendo más fuentes de información sobre amenazas específicas de cuentas falsas para que esta cifra se acerque al 100 %. Además de estas reglas basadas en la información sobre amenazas, también estamos entrenando nuevos modelos de aprendizaje automático con estos datos, que detectarán tendencias, como dominios de fraude habituales, a partir de la información de millones de dominios que observamos en toda la red de Cloudflare.
Dejar inoperativo el fraude gracias a la detección de la consulta acelerada
El segundo problema que los clientes nos pidieron que priorizáramos fue lo que denominamos "expediting" (consulta acelerada). Como recordatorio, este fraude consiste en consultar una serie de páginas web más rápido de lo que sería posible para un usuario normal, y a veces saltearse páginas web en el orden de consulta para explotar eficazmente un recurso.
Por ejemplo, supongamos que tienes una página de recuperación de cuenta inundada de solicitudes de la que una sofisticada banda de ciberdelincuentes, en busca de usuarios vulnerables de los que puedan robar los tokens de restablecimiento. En este caso, los estafadores tienen acceso a un gran número de direcciones de correo electrónico válidas y prueban cuáles de ellas se pueden utilizar en tu sitio web. Para evitar la explotación de tu proceso de recuperación de cuenta, debemos asegurarnos de que nadie puede avanzar más rápido en el proceso de recuperación de cuenta, o en un orden distinto al que lo haría un usuario legítimo.
Para completar una acción válida de restablecimiento de contraseña en tu sitio, puede que sepas que un usuario debería haber:
- Enviado una solicitud GET para representar tu página de inicio de sesión
- Enviado una solicitud POST a la página de inicio de sesión (al menos un segundo después de recibir el código HTML de la página de inicio de sesión)
- Enviado una solicitud GET para representar la página de recuperación de cuenta (al menos un segundo después de recibir la respuesta POST)
- Enviado una solicitud POST a la página de restablecimiento de contraseña (al menos un segundo después de recibir el código HTML de la página de recuperación de cuenta)
- Realizado todo el proceso en menos de 5 segundos
Para resolver este problema, nos basaremos en los datos encriptados, almacenados por el usuario en un token, para ayudarnos a determinar si el usuario ha consultado las páginas necesarias en un periodo de tiempo razonable para la realización de acciones sensibles en tu sitio. En caso de explotación indebida del proceso de recuperación de cuenta, el token encriptado que proporcionamos funciona como un pase VIP, que permite solo a los usuarios autorizados completar con éxito el proceso de recuperación de contraseña. Sin un pase que indique que el usuario ha realizado el flujo normal de recuperación en el orden y el tiempo correctos, no podrá completar el proceso de recuperación de contraseña. Al forzar a los actores maliciosos a comportarse de la misma forma que un usuario legítimo, la comprobación de cuáles de las direcciones de correo electrónico en riesgo podrían registrarse en tu sitio resulta un proceso tan lento que resulta inviable, y les obligamos a pasar a otros objetivos.
Estas son solo dos de las primeras técnicas que utilizamos para identificar y bloquear el fraude. También estamos desarrollando sistemas de detección de apropiación de cuentas y de explotación de tarjetas de crédito de las que hablaremos próximamente en este blog. A medida que el fraude en línea evolucione, continuaremos desarrollamos sistemas de detección nuevos y exclusivos, gracias a la situación privilegiada de Cloudflare para ayudar a proteger Internet.
¿Dónde me registro?
La misión de Cloudflare es mejorar Internet, y eso incluye abordar la evolución del fraude en línea moderno. Si debes pasar horas remediando los daños resultado de un fraude, o estás cansado de pagar para servir tráfico web a actores maliciosos, puedes participar en el programa de acceso anticipado de Cloudflare Fraud Detection durante el segundo semestre de 2023 enviando aquí tu información de contacto. Opcionalmente, los clientes que participen en este programa pueden proporcionar desde este momento conjuntos de datos de entrenamiento, para que nuestros modelos sean más eficaces para sus casos de uso. También obtendrás acceso de prueba a nuestros últimos modelos, así como a futuras funciones de protección contra el fraude tan pronto como se implementen.
