El fraude digital no se detiene, ¿y tú?

Oscar Garavito, de GNV, y también a Jonathan Dizler de Daon, y en donde nos van a hablar de el fraude digital no se detiene, ¿y tú? Este, el el panel es patrocinado por GND, bienvenidos, muchas gracias. Perfecto, muy buenas tardes a todos. Ruben, cuando tú dispongas, por favor. Adelante, adelante, bienvenidos. Perfecto. Bueno, no sé si empezamos ya, ¿me escuchan bien? Perfecto. Muy bueno, equipo, muy buenas tardes a todos, es un gusto estar con ustedes el día de hoy. Muchas gracias, Rubén y equipo de fraudection, por la convocatoria a este espacio. Como bien mencionó Rubén, mi nombre es Oscar Leonardo Garavito, represento a la compañía, y el día de hoy me está acompañando también, vicepresidente ejecutivo de la multinacional Daon. Y hoy queremos hablarles, justamente, del fraude digital, ese fraude digital que hoy es tan instantáneo como los pagos instantáneos que actualmente ya tenemos en muchos de nuestros países, un fraude que se alimenta de esa huella digital, de esas migajas de pan que empezamos a esparcir a través de nuestros hábitos de compra, de las redes sociales, de nuestros dispositivos, de nuestros patrones de conducta, entre otros. Y ese fraude, que hoy tenemos muchas herramientas a disposición que podemos orquestar y combinar, no solamente para detenerlo, sino para recuperar la experiencia de usuario y devolver al usuario final y a las compañías ese vínculo tan fundamental en cualquier cualquier relación, y es la confianza, la confianza en el mundo digital. Y quiero empezar por contarles una historia. Los invito a que nos devolvamos veinte años atrás y pensemos cómo era ese usuario hace veinte años. Seguramente, vamos a ver a una persona que tenía hábitos igual que nosotros, que salía a hacer ejercicio en la mañana, que se preparaba su desayuno, posteriormente, iba al trabajo, y en algún momento de su día, una persona al trabajo le decía, quiero que me acompañes, tomémonos un café, que te quiero contar algo. Y hace veinte años, seguramente, nosotros diríamos, lo siento, no te puedo acompañar hoy, porque tengo que ir a mi comercio, tengo que ir a una sucursal física, tengo que ir a mi banco a completar un proceso. Eso significa que hace veinte años nosotros estábamos dispuestos a entregar una hora de nuestro tiempo y asumir que teníamos que desplazarnos sucursal física para completar un proceso. Y cuando llegábamos ahí, el proceso de autenticación era relativamente simple, porque había confianza, nos podíamos ver frente a frente, me podían pedir mi documento físico, podían escanear mi documento en un lector, verificar que fuera un documento auténtico, revisar mi historial de mis últimas diez transacciones y verificar que era una persona auténtica, y así completar mi proceso. Si llevamos esta anécdota veinte años al mundo de hoy, vamos a ver que muchas cosas han cambiado. Los hábitos siguen siendo los mismos, nosotros seguimos entrenando en la mañana y preparándonos nuestro desayuno, pero muy seguramente, los resultados de nuestro entrenamiento los cargamos en una app. La receta de nuestro desayuno la consultamos en nuestro canal de Instagram, y en ese momento estamos consultando las entradas para el concierto al cual queremos ir el fin de semana. Empezamos a tener esas migajas de pan. Y ese día, veinte años después, hoy sí nos tomamos el café, solamente que ya no estoy dispuesto a entregar la hora de tiempo que entregaba hace veinte años, ahora solo estoy dispuesto a conceder un minuto, y ese minuto está repartido entre todas las tareas que tenemos en ese mismo momento. ¿Cuál es la invitación el día de hoy? Debemos mantener la confianza que teníamos hace veinte años en ese minuto, entender que el día de hoy la identidad financiera del usuario se inserta dentro de una identidad digital. Y lo que sucede muchas veces, desafortunadamente, es que, hoy por hoy, la mejor forma de evitar esos ataques es volver veinte años atrás, es ir a una sucursal física por los scams, por las estafas, por los diferentes tipos de ataques que tenemos el día de hoy. La idea no es regresar al pasado, la idea es insertarnos en el futuro y poder entender que podemos construir confianza, independientemente de que no estemos en una sucursal física. Y para eso, invitar a mi colega, para que tengamos un panorama respecto a las diferentes amenazas a las que nos enfrentamos en el mundo de hoy. Bienvenido, Jonathan, y adelante, por favor. Muchas gracias, este, Óscar. Sí, creo que pintaste, digamos, un un panorama excelente de la conveniencia de lo que es el mundo digital, de jugar, poder trabajar y comprar, y como bien dices, no vamos a ir hacia atrás, la el mundo, estamos todos en mejor posición gracias a ese mundo digital, pero al final tiene un lado oscuro el modo digital en que estamos, este, y creo que los datos lo captan mejor que nada. Ustedes ven un veintiún por ciento de incremento en fraude de en el proceso de para esos servicios digitales desde el año dos mil veinticuatro. Regionalmente, en particular, en LATAM es la región con tasa, con la tasa mayor de ciertos tipos nuevos de fraude, que ahora hablamos, a nivel del mundo, ganando nuestros colegas en Brasil. Y se ha creado, de hecho, un mercado de soluciones antifraude estimado entre uno punto dos millones de millones de dólares y cinco millones y millones de dólares. Adelante, por favor. El impacto financiero, vas al próximo slide, por favor. El impacto es, digamos, tiene varias capas, pero el el el la el impacto financiero es el más alto, este, diez millones de millones de dólares anuales derivados del cumplimiento de normas internacionales de delitos asociados con con fraude. Tres tres punto uno millones y millones, pérdidas anuales en todo el mundo respecto a una nueva categoría fraude que vamos a hablar, y entre trece millones de millones de dólares en dos mil veintitrés para otra. Al final, este es, el problema de fraude sí existe y está creciendo, vamos a la próxima, por favor. Pero al principio, si si se hablaba, digamos, de, si se hablaba de ciertas personas trabajando en particular, el fraude ahora es es, este, es es algo, no es episódico hoy en día. Hay mercados ilegales donde se comercializan identificaciones, historiales crediticios y otra información sensible. Estafas frecuentes telefónicas, involucrando los contact centers, y el uso de deep fakes en elecciones, en política, para suplantar identidades. Entonces, en resumen, hoy se tratan hoy de redes de fraudes industrializadas que usan herramientas de fraude sofisticadas y ampliamente disponibles. La IA y su lado oscuro acelera los ataques y su y su impacto, y es un mundo asimétrico, los estafadores solo tienen que encontrar una vulnerabilidad, mientras que las instituciones financieras tienen que ser impecables para proteger sus usuarios. Nosotros vamos hoy a hablar de cinco temas más comunes de fraude que ustedes ahora ven en pantalla. El primero es el robo de identidad. Eso es cuando cuando alguien consigue evidencias suficientes como para asumir la identidad de otra persona. ¿Cómo se hace? Se hace a través de robo típicamente de credenciales o de registro para servicios digitales, disimulando los datos de otra persona. Normalmente, es un es un paso como para realizar otra transacción u otro proceso siniestro. Número dos, account takeover, cuando un estafador consigue acceso a la cuenta de otra persona. Hay varias maneras de realizar ese ese fin, fishing, secuestro de sesión, recuperación de cuenta fallida y malware, ¿no? Y, claro, una vez asumida la cuenta, la persona va retirar fondos o puede hacer, este, otras otras transacciones malas. Ingeniería social es cuando una persona se convence tomar una acción por decepción sutil. Puede ser como consecuencia de robo de identidad, típicamente, tiene un fin en particular, como account takeover. Por ejemplo, convencer a alguien a votar por otra persona, ¿no? ¿Y cómo se hace? Comunicaciones falsificadas, control remoto de dispositivo y manipulación humana. Osco habló de la cuarta, que es, que son estafas. Una estafa también pasó hace veinte años, no es nada nuevo, pero en este mundo digital tiene sus propias dimensiones, ¿Qué formas tiene? Publicidad maliciosa, por ejemplo, para para hacer daño a la reputación de alguien, acoso sexual, comercios falsos, deep fakes y asesoramiento. Este, hay, para dar un ejemplo, en Estados Unidos, para con los ancianos, hay muchas estafas, por ejemplo, que le convencen a un a un anciano, por ejemplo, que su nieto o su nieta tiene un problema y hay que hay que, por ejemplo, enviar plata como para para darle socorro o apoyo a al nieto herido. Y, últimamente, como ya mencionamos, redes de fraude, propios negocios, similar, por ejemplo, en el mundo de drogas, a la fabricación y distribución de drogas, en términos de organización, sofisticación e ingresos. Este, las formas que tienen, como ustedes ven en pantalla, ataques de prueba de tarjetas, este, redes de bots, redes de mulas, etcétera, etcétera. Ok, vamos a pasar al próximo slide, creo que una un un una un ejemplo concreto, otro ejemplo concreto puede ser interesante. Nosotros, este, vamos a hablar un poco sobre los deep fakes, donde una persona intenta suplantarle a la identidad de otra persona. Tenemos aquí dos muestras, a y b. Este, vamos a tocar una unas grabaciones, este, y esas grabaciones pueden ser reales, es decir, de una persona real, o pueden ser de una persona falsa. Vamos a tocarla dos veces. El el la frase que que se va a decir en español, bueno, en inglés, es the journey of a thousand miles starts with a single step, que en español es el viaje de mil millas comienza con un solo paso. ¿Oscar, puedes tocar, este, muestra a, por favor? Muestra a. A journey of a thousand miles start it’s single step. Ok, este, ¿y muestra b? A journey of a thousand miles start with the single step. Ok. Este, solo para que la audiencia tenga la oportunidad de escuchar otra vez, ¿puedes puedes grabar, digo digo, tocar, muestra a otra vez? Claro. A journey of a thousand miles start to single step. Ok, y muestra b. A journey of a thousand miles start with the single step. Ok, Óscar, este, no no no puedes decir cuál es cuál, este, no tenemos manera realmente de de de de que la gente se se levante las manos en este momento, este, pero espero que escuchen o que que que se den cuenta, lo difícil es, este, poder distinguir si esa persona es real o no. Vamos a mostrar, este, los resultados, por favor. Muestra a es real, muestra b es, no es real. El setenta y cinco por ciento de la la gente informalmente, ¿no? Que vota, este, adivine de manera equivocada. Es muy, muy difícil, ¿no? Que los seres humanos ahora seamos capaces, en mayoría y a escala, de poder detectar sin apoyo los deep fakes. ¿Cómo se sabría que que, cómo cómo sabrían ustedes si les atacaran? Si se dan cuenta, vamos a poner, a a entonar otra vez, bueno, a la solución en un momento, pero quiero quiero mostrar, darles, este, un poquito. Hay un hay una indicación aquí, en este slide, bajo muestra a y muestra b, donde ustedes ven un mapa, y si ven en el mapa con ciertas soluciones que pueden detectar identidades sintéticas, pueden ver que el mapa, el mapa digital de cada muestra no es la misma, aunque se escuchen iguales, este, hay sistemas que sí pueden detectar con alta probabilidad, ¿no? Que una solución es falsa y otra no, pero por el momento continuemos, este, mirando los cinco temas y y y la solución. Ok, tenemos otra otra otro video, ¿no? Que queremos tocar, que tiene que ver con, menos con voz y más con esta idea de imágenes físicas y visuales de la IA. Adelante, Oscar. Ok, este es un empleado de Daon, ¿no? Y, como pueden ver, a la a la izquierda, abajo, ese es el el el empleado, y estamos, y está moviendo como si fuera este actor famoso que que ustedes ven en pantalla. Entonces, es muy difícil, por ejemplo, que yo, como, por ejemplo, empleado del banco o empleado de de una organización que quiera verificar la identidad de esta persona, que yo pueda distinguir que esa persona no es el actor famoso, sino el empleado de Daon, ¿no? Eso es diferente que, como mencionó Óscar, hace veinte años. Hace veinte años, si una persona pusiera una máscara o intentara disimular ese actor, sería un poco como, este, los los chicos que salen durante Halloween, ¿no? Mucho más mucho más fácil distinguir lo real de lo falso. Ok, adelante, Óscar. Ok, ¿qué qué podemos hacer nosotros hoy? Hemos pintado, digamos, un panorama un poco grave, pero la buena noticia es que sí hay soluciones para poder apoyar a a las instituciones financieras y las instituciones, este, que quieren, este, aprovechar, ¿no? De la de del mundo digital. Entonces, tema por tema. En en términos de la de la lucha contra robo de identidad, cuando hay maneras cuando hay maneras sin fin de realizar robo de identidad, la mejor defensa es la flexibilidad y la agilidad. Contar con herramientas que diseñen flujos en minutos cambian sin desarrollo técnico y se despliegan en horas, y hay sistemas que conectan sistemas a lo largo de del del ecosistema, no solamente de un solo proveedor. Este, esos sistemas cuentan con centenares de controles que en combinación protegen la institución. Esa solución nosotros lo llamamos orquestación y permite respuestas ágiles cuando hay intentos de robo de identidad. Este, próximo slide, por favor. Para account takeover, un patrón típico para el estafador es buscar la parte más débil de la cadena de controles de una institución para explotarla. Eso puede ser por el canal, por ejemplo, el contact center, por la web o por la app, y buscar el canal que menos controles o menos sofisticación tiene. Soluciones eficaces, realizan coordinación multicanal para cerrar esa vulnerabilidad y utilizan la IA, no solamente, este, que que se puede utilizar por lo mal, pero también por lo bien. La los las soluciones eficaces hoy realizan la IA para combatir la IA de una manera transparente y que conserve bien la privacidad de los datos de la de las personas. Próximo slide, por favor. Para ingeniería social, la la contraseña hoy se está dejando de usar como control principal en autenticación. Las contraseñas son inconvenientes y se explotan con frecuencia para muchas estafas. Soluciones eficaces hoy mitigan el fraude usando varias opciones con controles passwordless. También son controles pasivos que ayudan a proteger, pero no requieren comportamiento activo del lado del usuario. Típicamente, incorporan señales del dispositivo que ya ya tiene o trae el usuario, y y otras inteligencias que ayudan, este, a a la, a brindar una experiencia buena y también mitigar el fraude. Pasando al a la próxima, para combatir las estafas, los canales digitales están haciendo mejor preparación con controles en el contact center. Biometría de voz apalancado por la IA puede ayudar a proteger contra las estafas y brindar una experiencia invisible para el usuario. Aún aún en ambientes donde hay varios proveedores presentes con diferentes controles, Cuando se detecta una anomalía, es bueno contar con varias opciones de escalación, que nosotros llamamos step up, para asegurar que los usuarios debidos sí consienten a tomar una acción en particular antes de realizarlo. Y terminando con las redes de fraude, este, una cosa es disimular la identidad de de una persona, otra es crear una persona totalmente nueva, pero de manera eficazmente, que eficazmente disimule los sistemas de de validación de identidad. Esto se llama identidad sintética, como vimos con las grabaciones de voz, los sistemas eficaces hoy cuentan con maneras de detectar con alta probabilidad cuando una identidad presentada sea real o sintética o falsa, como como una parte clave de un flujo de negocio. Antes de continuar, este, bueno, este, te paso a ti, Óscar, para la encuesta. Muchas gracias, Jonathan. Y, bueno, en este punto de la presentación, habiendo colocado con claridad los diferentes vectores de fraude, quisiera preguntarle a toda la audiencia que nos está acompañando hoy, ¿cuál de estos cinco vectores de fraude expuestos consideran más crítico y complejo de combatir actualmente en su organización? Y para esto les propongo un modelo encuesta. Van a ver en la pantalla, en este momento, un QR, el cual pueden escanear, acceder al formulario y seleccionar uno de estos cinco vectores, aquel que consideran que es más crítico. Vamos a dar un minuto para que todos alcancen a hacer el ejercicio, y cuando terminemos, podemos comentar los resultados. Muchas gracias. Pueden escanear el QR con su teléfono móvil, o como les quede más más conveniente, y los va a dirigir a esta encuesta. Bien, ingresando las respuestas, ya hay una tendencia hacia ingeniería social, ochenta por ciento, en este momento, y un veinte por ciento account cover, robo de identidad. Muy bien, igual, sí, estamos viendo una tendencia interesante. Sí, mientras terminan, Oscar, no, este, yo comparto que, más o menos, yo creo que durante los últimos cinco años coincido con la audiencia, la ingeniería social suele ser el el la tendencia de fraude, no no solamente más frecuente, pero con más impacto, ¿no? Porque, pero no sé si igual con tus clientes y con y en tu en tu experiencia, este, esas tendencias también cuadran cuadran o no. Totalmente, muy alineado. La ingeniería social, claramente, es las más desafiantes, justamente porque el defraudador utiliza los mismos puntos de acceso que han sido autenticados previamente por parte de la entidad financiera. Estamos hablando del mismo dispositivo, el mismo patrón comportamental en muchos casos, bueno, no se aleja del patrón que conozco del usuario, todos esos aspectos hacen que sea uno de los vectores más desafiantes. Sí. Igualmente, el el robo de identidad también también lo vemos como un como un vector relevante, especialmente porque, una vez que logras obtener una identidad auténtica, eso te abre la puerta y te habilita como defraudador para empezar a hacer otro tipo de ataques, para poder organizar redes de fraude, para realizar ataques dirigidos, bueno, diferentes mecanismos. Sí. Pero sí. Sí, muy alineado con lo que comentas. Redes de fraude. También está muy ligado, por ejemplo, a la noticia que viste, Jonathan, respecto a los paquetes turísticos, por ejemplo. Se estos ataques se basan mucho de aspectos culturales o externalidades del ecosistema que no podemos controlar, ¿no? Finalmente, algo con lo que tenemos que convivir desde el punto de vista tecnológico. Sí, al final, factor humano es el más dinámico y el más difícil de prever, ¿no? Este, pero pero ahora, cuando cuando hay una organización comercial dedicada, dedicado al tema, este, en términos de madurar, el problema pasa a ser a otro nivel, y es por eso que queremos ayudar, queremos ayudar a las organizaciones, este, a a a a poder, este, utilizar estos servicios y proteger a sus usuarios, ¿no? Porque el no participar no es una opción, ¿no? Hoy en día, para para competir o para brindar los servicios en el mercado. Correcto, Jonathan. Y, bueno, con estos resultados, creo que podemos recoger un poco también lo que Jonathan nos explicabas al inicio de este kit de herramientas. Es muy interesante que actualmente tenemos un nutrido kit de herramientas para atender estos cinco vectores de fraude, incluyendo el vector de ingeniería social. Pero, en este punto, valdría la pena preguntar a la audiencia si consideramos suficiente tener una caja de herramientas, un kit, donde podamos tener una llave para aplicar un vector de corrección específico para cada vector de fraude, o si no, sería más conveniente pensar en un enfoque de orquestación, como el que comentó Jonathan al principio de su presentación, en el cual, en lugar de buscar la llave adecuada para el fraude, podamos encontrar un enfoque integral que vea el life cycle del cliente como un todo, y que podamos combinar diferentes herramientas para atender el fraude. Y ese es, justamente, el el concepto que queremos traer el día de hoy, y es un concepto llamado continuidad de la identidad, donde, básicamente, lo que buscamos es que podamos aprovechar la construcción continua de la identidad del usuario durante cada fase del journey o del viaje digital que ese usuario sigue en las aplicaciones móviles. Si empezamos a ver la experiencia del usuario como un todo, y no como ciclos de fraude independientes, vamos a tener más herramientas para poder prevenirlo de manera eficaz. Sin embargo, el día de hoy aún seguimos teniendo tres barreras o tres brechas que debemos empezar a a atender. La primera de ellas es, justamente, los sistemas legas y que actualmente tenemos actualmente, sistemas basados en reglas, reglas que son difíciles poder tener totalmente mapeado las diferentes variables del comportamiento humano, reglas que, finalmente, generan una brecha y una capacidad de aprendizaje y de adaptación muy rápida para el poder de cómputo y para los defraudadores de la actualidad. Por eso empezamos a pensar en pasar de reglas a modelos, pero un modelo estático tampoco es suficiente, porque, finalmente, es un modelo que no integra en el tiempo y que, solamente cuando empiezo a medir la degradación del modelo, empiezo a actualizarlo, y también le estoy dando puerta al defraudador para que se adapte y para que interprete y encuentre las brechas de cada modelo. Por eso, lo que buscamos es pensar en modelos iterativos, modelos adaptativos que empiecen a crecer y a desarrollarse conforme aumenta y mejora el comportamiento humano. Otra de las brechas que identificamos es que, normalmente, desde el punto de vista del viaje del usuario, vemos un onboarding, vemos un proceso de autenticación y vemos un proceso de monitoreo transaccional, pero desafortunadamente, esos tres procesos muchas veces están desarticulados, no tenemos sinergia entre los datos que podemos compartir entre ellos. Si hiciéramos un poco más de sinergia, podríamos tener capacidades adicionales para tener más elementos para prevenir a ese usuario durante el monitoreo transaccional de su día a día. Y el tercer elemento, como como bien mencionó Jonathan también, es combatir fuego contra fuego. Si la IA está al servicio del fraude, podemos utilizar la IA al servicio de combatir el fraude. De esa manera, podemos ver que tenemos tecnologías como el graph machine learning, que permite detectar redes y correlación de datos en casos de cuentas mula, o reglas de velocidad, donde podemos identificar patrones de comportamiento anómalos que no dependen de una persona, sino más bien de una máquina, o sistemas de detección de anomalías, todos estos protegidos y regulados a través de la IA. Una vez logremos manejar estas tres barreras, podremos tener este enfoque de continuidad de identidad, donde claramente tenemos que trabajar de manera específica en cada uno de estos tres momentos, pero combinados, de tal manera que pueda generar sinergias en los datos que pueda obtener de cada uno. En este punto, sería muy importante también empezar a ver qué podemos hacer mejor en cada uno de estos tres momentos del usuario, empezando por el onboarding digital, que es justamente donde podemos detener ese fraude de identidad, que fue uno de los vectores que fue resaltado por nuestra audiencia el día de hoy. ¿Qué podemos comentar del onboarding? El onboarding digital, como sabemos, se puede considerar como un momento de oro, como un golden moment, porque, normalmente, es el primer paso para establecer un vínculo de confianza con mi usuario. Normalmente, el usuario hace el onboarding para poder realizar un proceso posterior. Por lo tanto, el primer foco en ese onboarding es garantizar una experiencia de usuario fluida. ¿Qué tanto tiempo le estoy tomando al usuario de su día para completar ese proceso? ¿Qué tan intuitivas y fáciles de entender son las reglas o las instrucciones para un usuario que no necesariamente es un nativo digital? ¿Qué tan fácil para el usuario es hacer un proceso de captura de su foto, de una buena foto? Sin ir más lejos, ¿qué es una buena foto? ¿Cómo le explicamos al usuario qué es una buena foto? Todos esos aspectos son importantes tenerlos en cuenta a nivel de experiencia. El segundo factor es todo lo que el usuario no ve, y es toda la inteligencia que debe estar detrás de ese proceso para poder combatir los diferentes vectores que pueden ocurrir en un onboarding, vectores como la suplantación de documento, la alteración de documentos, las máscaras, los deep fakes, los ataques de bots, entre otros. Estos algoritmos deben estar probados, certificados y con capacidad de iterar en el tiempo para prevenir fraude, pero al mismo tiempo no afectar de manera drástica la experiencia. El tercer elemento es muy importante. No vamos a encontrar dos procesos de onboarding iguales. El proceso de onboarding es una huella de cada entidad, porque depende de los aspectos culturales, del nicho de mercado, de los tipos de validación, del apetito de riesgo de cada entidad. Por lo tanto, es fundamental tener una capacidad de autogestión a través de consolas de autogestión y de orquestación que me permitan diseñar el flujo a mi medida como entidad, y que me permitan iterar ese flujo en el tiempo sin necesidad de tener que utilizar código fuente. Y el cuarto elemento es bastante curioso, porque, normalmente, pensamos que el mejor aliado es aquel que trabaja en mi país, aquel que conoce mi documento, que conoce a mi nicho de mercado. Pero el fraude no conoce fronteras, el fraude es global, por lo tanto es muy importante pensar en tener cobertura global en las tecnologías que utilizo en el onboarding, poder tener un conocimiento claro de cómo el fraude se interrelaciona y se exporta entre diferentes países, y que mis algoritmos y mis tecnologías estén reconocidas internacionalmente por entidades como Gartner, NIS, Kubernix, iBeta, entre otros. Con estos cuatro elementos que nos llevemos el día de hoy, podemos asegurar que en ese onboarding podamos tener un golden moment. Pero el onboarding no solamente sirve para vincular un cliente, podría servirme también para entregarle al cliente un factor de autenticación robusto, como mencionó Jonathan en su presentación, que no dependa de contraseñas, que sea tolerante ante ataques de account take cover. Y en este punto es donde surge esta tecnología llamada passkeys, que estoy seguro que muchos hemos escuchado hablar en diferentes foros durante estos últimos meses. El passky es una llave de acceso, es una llave que permite tener una autenticación mutua entre un origen y un destino, sin depender de algo que sé, como una contraseña o algo que tengo. Es a través de su propia biometría, que el usuario pueda acceder a esa passky en un proceso de autenticación totalmente silencioso, transparente para el usuario final, pero muy poderoso, porque al final estoy teniendo autenticación mutua que yo quisiera tener en el mundo físico hace veinte años. Pero también es interesante, porque es un factor de autenticación que la entidad puede utilizar en cualquier momento del journey del usuario, al momento de realizar un pago, en una transferencia de alto valor, en una activación de un nuevo producto, en un proceso de compra en línea. En cualquiera de estos procesos se puede activar un password, y para eso basta con integrar unos unos componentes, tanto en la parte de front como en la parte de backend. Veamos un ejemplo de cómo vería el usuario el uso de un password. Pensemos, por ejemplo, en una experiencia de compra en línea, en la que el usuario está comprando un artículo en su portal de ecommerce, realiza un proceso de checkout, donde en el carrito de compras le va a pedir que ingrese los medios de pago. El día de hoy, ni siquiera es necesario ingresar los medios de pago. Hay una tecnología llamada que permite evitar este proceso, pero al final, el protocolo de three diez permite que el banco pueda hacer una validación de riesgo de esta transacción, y normalmente enviar un challenge que el usuario recibe por un OTP vía SMS o vía correo. Imaginémonos qué pasaría, que ese challenge, el usuario no lo reciba por un OTP, sino con una notificación directamente en su aplicación, y esa notificación la puede acceder únicamente a través de su biometría. En ese momento, autoriza la compra y realiza el proceso de autenticación. ¿Qué vio el usuario? No tuvo que consultar una bandeja de quinientos sms, donde seguramente el ochenta por ciento son mensajes en los que no confío. No tuve que irme a un correo electrónico y salir de mi momento de compra, sino que lo pude hacer directamente en mi aplicación, con algo tan nativo y tan intuitivo al usuario, como lo es el uso de su biometría. Esta misma experiencia la podemos tener en un login, la podemos tener en una actualización de datos, en una validación de una transacción de alto valor, y no le estamos robando al usuario más allá que simplemente el uso intuitivo de su biometría. El último concepto del día de hoy, y es cómo transformamos ese monitoreo transaccional de esos modelos estáticos a un modelo continuo, a un modelo potenciado por I a? Y ahí podemos empezar a pensar, por ejemplo, en el vector de ingeniería social que vimos durante la encuesta. Si empezamos a integrar tecnologías como la biometría comportamental, donde podamos ennotar cambios imperceptibles en el comportamiento del usuario cuando está siendo coaccionado por un tercero, cuando está bajo cierto nivel de estrés, pero si a eso le sumamos un modelo de IA secuencial que detecte secuencias no usuales en el comportamiento del usuario, y si a eso le sumamos una tecnología graph AI, en la cual podamos detectar correlaciones de atributos, no estoy dependiendo de una sola herramienta, estoy usando tres herramientas en el mismo punto, y esas tres herramientas, seguramente, me pueden permitir recabar evidencia, reentrenar el modelo supervisado que estoy teniendo para poder tener herramientas para, como entidad, proteger al usuario, pero como entidad también protegerme, de que utilicé todos los elementos que estuvieron a mi alcance para proteger al usuario en ese momento. De este modo, vemos que el fraude es transversal, como bien lo vimos anteriormente. Se puede materializar en cualquier momento del journey del usuario, por lo tanto, no basta con simplemente atacar el fraude en el momento en el que se materializa, debo dar un paso atrás, ver el bosque completo y ver que ese fraude tiene un contexto, tiene unos antecedentes que, si empiezo a medirlos, voy a poder determinar cómo prevenirlo de manera más efectiva. Y para eso, les traemos un último ejemplo. Pensemos en el fraude de account takover, que también lo vimos en la encuesta el día de hoy. Normalmente, ese account takover, ¿cómo empieza? El usuario descarga una aplicación, realiza un proceso de onboarding exitoso, excelente, el usuario quedó encantado con el servicio, y empieza a construir una identidad financiera. ¿Qué significa esto? Adquiere un producto, empieza a realizar transacciones, empieza a registrar nuevos dispositivos, se empieza a construir una identidad financiera de este usuario. Sin embargo, recordemos que ese usuario también tiene una identidad digital, y está marcada por las redes sociales que frecuenta, por los canales que utiliza, por los contenidos que visita, por sus hábitos de compra, e inevitablemente esta identidad digital va a empezar a dejar unas huellas que el defraudador siempre va a poder aprovechar a través de mensajes maliciosos dirigidos a ese usuario. Y siempre que pongo este slide, yo invito a la audiencia a que piense en que esta situación, uno siempre va a tener un amigo que dice, sí, a mi amigo le pasó, a mi papá se la hicieron, a mi novia le pasó. Y eso es justamente porque ese mensaje es cada vez más contundente y más insertado en la cotidianidad del usuario. Ese mensaje seguramente lo recibimos cuando está próximo a vencerse nuestra póliza de vehículo, o cuando acabamos de completar un proceso de compra en línea y empezamos a recibir unos mensajes de DHL indicando que tenemos un envío listo para recoger. O cuando estoy visitando un sitio para realizar compras para un concierto, Es un mensaje cada vez más insertado en la cotidianidad del usuario. Por lo tanto, no es de extrañar que siempre uno tiene un amigo, la esposa, la novia, el papá, la tía, a la que le pasó, y una vez que le pasa, se materializa el fraude. Cuando se materializa este fraude, normalmente, el defraudador obtiene las credenciales o obtiene los datos del usuario. Normalmente, como como siempre comento en estos foros, cuando algo es gratis, el producto eres tú, por lo tanto, el defraudador ya tiene tus datos, y con eso puede empezar a alimentar esas redes de fraude. ¿Cuál es la solución para esto? No pensar únicamente en la línea roja. Pensemos que, una vez que la identidad financiera se construya y sea la identidad del defraudador, yo voy a poder tener contra qué comparar, porque hubo una línea azul, antes de esta línea roja, donde yo conocía la biometría comportamental de mi usuario, y la puedo comparar con la biometría comportamental del defraudador. Una línea azul donde había una identidad financiera clara, que puedo comparar con esta identidad financiera después de que se materializó el fraude. Y, finalmente, hagámosle la vida más difícil al defraudador. No confiemos únicamente en credenciales o en contraseñas, fortalezcamos este proceso con un Un passky, finalmente, está basado en la biometría del usuario, por lo tanto, es mucho más difícil de ser suplantado, de ser obtenido por un tercero. Algunas conclusiones. Finalmente, recordemos que no basta solo con tener un kit de herramientas. La mejor manera de prevenir el fraude digital es basado en un enfoque continuo, donde podamos combinar diferentes herramientas, siempre teniendo una visión holística del fraude. Segundo elemento, recordemos que el onboarding digital es un golden moment. Solamente se hace un onboarding después de una gran cantidad de transacciones. Por lo tanto, el uso de IA, la flexibilidad, la cobertura global y la capacidad de orquestación son fundamentales en un proceso de engorde. Tercero, no olvidemos que las passkeys pueden alimentar múltiples casos de uso. Es una poderosa herramienta de autenticación que el banco puede utilizar en cualquier momento del journey. Y cuarto, recordemos que el monitoreo transaccional es continuo, y no solamente me debo concentrar en esa línea roja cuando el fraude se materializa, sino ver el todo del journey del usuario, y, de esa manera, voy a tener muchos más elementos para alimentar mi propia IA y poder proteger al usuario y generar ese vínculo de confianza. Estimada audiencia, con esto terminamos esta fase de de nuestra presentación. Quiero agradecerles a todos por su participación, y vuelvo contigo, TrustX, para que, por favor, me indiques, estamos dispuestos a a responder cualquier pregunta o comentario que surja por parte de la audiencia. Adelante, y nuevamente gracias, Jonathan, por tu participación y gracias a todos por su atención. Muchas gracias, vamos a a esperar a ver si si en la audiencia alguien se se anima a hacer alguna pregunta, este, de mientras, si no, yo te voy a ir haciendo algunas preguntas. Claro que sí. Este, un momento. Yo, mi primer pregunta sería, si si si estoy en el mercado de fintech y soy un procesador, ¿por dónde empiezo o cuál sería el primer paso que me recomendarían dar? Y y como un roadmap de de más o menos, pues, si no tengo nada y tengo que empezar desde cero, ¿qué sería lo primero que tendrían y por qué y y y luego qué más? Ok. Ruben, este, también quiero agradecerte y y y a todos, este, por por la oportunidad de presentar hoy. Si si si gustas, Óscar, yo inicio y después me Claro. ¿Vale? Por supuesto. Este, mira, yo creo que, en en cierto sentido, nosotros hemos escuchado esta pregunta con varias instituciones, por ejemplo, los fintech, ¿no? Por ejemplo, que están iniciando casi de cero y no tienen no tienen nada o tienen muy poco, y también con corporativos muy grandes, que ya cuentan con con varios sistemas. Y lo mismo, o sea, nuestro enfoque en GID y en Daon es siempre empezar con el problema de negocio o el objetivo de negocio inicial, ¿no? Por ejemplo, si están, si si están, por ejemplo, ya tienen, por ejemplo, onboarding digital y hay ciertos casos de fraude o ciertos ciertos casos de uso donde hay un gran valor o se o se necesita un enfoque en particular, este, entonces, podemos mapear una solución para esa necesidad, y hay patrones de integración que, por ejemplo, se pueden implementar, por ejemplo, utilizando soluciones cloud o soluciones ágiles, solo para para probar, por ejemplo, el diez por ciento de de de la del monto de transacciones utilizando una nueva herramienta, solo para probar si tiene o no tiene sentido, y poder trabajar de manera interactivo, Rubén y y Óscar, para para ver si está dando valor o no. Si sí tiene éxito, entonces, por ejemplo, se puede ampliar del diez por ciento de las transacciones al veinticinco, y más, y más, y más, hasta poder, hasta, por por ejemplo, terminar con una un nuevo flujo integrado de manera fácil y y, pero pero que tiene éxito, y, si hay un problema, ¿no? Resolverlo con menos tráfico. Y así, típicamente, es, nuestras soluciones son así, se se trata de una plataforma con varios módulos, ¿no? Como dijo Óscar, que no, que que pueden implementarse sin, este, contar con con código fuente, integración de desarrollo, y y, por tanto, en horas y en días, poder ver si trae valor una nueva solución o no, y poder medirlo de manera muy clara. No sé si me quieres complementar, Óscar. No, totalmente, Jonathan. Creo que el el primer paso consiste en hacer ese diagnóstico de potenciales brechas y también de potenciales capacidades que puedo tener ya e integrar dentro de mi propia estrategia. Muy muy de acuerdo con lo que comentas. Creo que hay una, veo una pregunta, este, Rubén. Exacto. Sí, adelante. ¿Qué qué tan preparados están los modelos de detección para identificar las las sesiones legítimas comprometidas frente a patrones de coerción o manipulación en tiempo real? Este, yo creo que hay, yo creo que tendríamos que mirar exactamente qué queremos entender sobre coerción o manipulación en tiempo real. Normalmente, los sistemas, los sistemas de autenticación y y los de detección de fraude van a poder entender muy bien cuál es la línea base, ¿no? De una sesión legítima, ¿no? Por ejemplo, qué tan qué tan rápido se podría, se se se realiza, por ejemplo, una transacción o, por ejemplo, si estamos estamos viendo, por ejemplo, un patrón de autenticaciones de la cuenta de oscar, vamos a poder ver si en tiempo, cuántas veces al mes está, en qué día, a qué hora, ¿no? Y y para qué caso de uso. En términos, si hay anomalías, ¿no? Nosotros podemos nosotros podemos detectar ese tipo de anomalía bastante rápidamente, si, y como como dijo, este, Óscar, el diagnóstico puede ser, tiene mucha muchas causas raíz. Ahora, que sea, por ejemplo, algo de coerción o de de de, eso es un poco más difícil, el intento, ¿no? De la anomalía va a depender, va a depender de varios variables, pero manipulación hemos visto hoy varios varias, este, varios tipos de manipulación en términos de manipulación de voz, pero también hay manipulación de video, manipulación de documentos, de identidad, eso sí es, este, parte del modelo, ¿no? De de poder, no solamente detectar que hay anomalía, pero en qué parte del proceso y y cuál de los controles se haya manipulado. De acuerdo. Y y veo que también complementa, justamente, que es algo que ven muy común, el comportamiento conductual no habitual, y, en línea con lo que dice Johnathan, también algo que podemos sumar es empezar a entender cuál es el comportamiento habitual y ver qué patrones secuenciales pueden llevar a pensar que el usuario está siendo coaccionado. Otra de las aplicaciones que hemos visto en este campo radica en el uso de agentes basados en IA, que empiezan a recabar información para tratar de entender si el usuario está siendo coaccionado, porque, normalmente, en un ataque como estos, de ingeniería social, el usuario sabe que va a recibir una respuesta positiva, porque es lo que normalmente hace. Entonces, el agente lo que empieza a hacer es empezar a preguntar y a tratar de obtener más información del contexto de la transacción, llamadas entrantes, cambios sutiles en su comportamiento, aspectos secuenciales del paso a paso que sigue el usuario. Y, seguramente, en estos casos, te puede pedir un segundo factor de autenticación o puede recabar información para poder identificar que, efectivamente, esta conducta está alejada de la habitualidad que conozco del usuario. Esa es otra de las aplicaciones que también hemos visto desde el punto de vista de monitoreo. Sí. Sí, sí, adelante, adelante. No, este, ya puse en el chat otra otro comentario, que porque hablábamos de de señales, como parte de de la plataforma, de de del uso de señales, eso también se llama la biometría conductal, y no sé si te referiste a eso, Isaac, pero eso sí es parte parte de, digamos, de la la defensa en profundidad, ¿no? De cualquier solución eficaz contra el fraude. Veo que hay otra pregunta, Ruben, de de de Gustavo, ¿no? Es correcto. Desde el punto de vista legal, ¿hacia dónde apunta en latinoamérica la tipificación de estos delitos y qué evidencias pueden ser utilizadas y aceptadas como estándares de de prueba en un proceso penal. Ok, bueno, Gustavo, este, consta decir que yo no soy abogado, pero te puedo dar mi mi mi mi punto de vista desde de una empresa global. Nosotros tenemos despliegues en los seis continentes globales, incluyendo en Europa, ¿no? Entonces, Europa es donde más, digamos, hay más soluciones normativas con respecto a al uso de de soluciones digitales y soluciones antifraudulentas. Yo, lo que yo veo en América Latina, realmente, es que hay, bueno, hay tres tipos, hay tres tipos de de enfoque en el mundo respecto, con con respecto a a ese tema. Europa, que es más, digamos, de estructura y tiene más enfoque hacia la privacidad del del del usuario. Hay hay, este, hay gobiernos, por ejemplo, de autoridad, ¿no? Por ejemplo, donde hay control y surveylance, ¿no? Total, ¿no? De la de de parte del gobierno hacia la audiencia, y hay lo que nosotros llamamos en inglés el wild wild west, como casi casi libertad total, ¿no? Comercio libre. En latinoamérica, yo creo que hay, este, una buena mezcla entre la la el mercado libre y el enfoque hacia Europa, ¿no? Por ejemplo, en Argentina vemos más un un enfoque hacia Europa y las tendencias de Europa. En México vemos más, digamos, un poquito más de enfoque hacia, este, el lo de libre comercio. Aunque bien en México eso está cambiando con, por ejemplo, la CURP, la CURP biométrica y otras regulaciones que se están saliendo. En general, yo creo que el mundo va más hacia donde está Europa ahora. No sé si contesté la duda o no, pero, y no sé si me quieras, este, complementar, Óscar. No, totalmente de acuerdo, Jonathan. Tal vez, en en Latinoamérica, a nivel legal, lo que lo que solicitan las legislaciones de protección al consumidor es, primero, que las entidades tengan mecanismos de no repudio, es decir, que puedan registrar los eventos que ha realizado el usuario, y también incorporar segundos factores de autenticación. En regulaciones como en Colombia, a través de la última circular cincuenta y siete, cincuenta y nueve, disculpen si se me pasa un poco el número, o en Perú, se pide tener un segundo factor de autenticación para ciertos procesos. Creo que hasta ahí es donde he visto que que que llega al ámbito legal para proteger al consumidor en estos casos, pero sí, es es es un punto bastante interesante. Hola a todos. El tema de passkeys es muy bueno, pero ¿cómo ha sido la curva de adopción en la banca? Porque todo bien las aplicaciones normal de banca, TI, etcétera, se basa en contraseña, biometría u OTP, en recuperación de contraseña. Muy, muy buena pregunta. Este, podría ser podría ser otro webinar en en total. Les doy mi mi, nuestra experiencia y la experiencia de GID, sobre todo en Europa y en Estados Unidos. Este, para para soluciones de pagos digitales, ¿no? Tal, un poco, como lo que demostró oscar, estamos viendo un alto crecimiento y e incorporación de passkeets, ¿no? En parte, por la normativa, ¿no? Porque porque tienen que hacerlo, y porque, este, hay mucha fricción, como dijo Óscar, en el envío y la recepción de de OTP. En en otras instituciones financieras, ha habido un poquito más de atraso detrás de retail. Retail ha sido, digamos, el first mover, los que primero incorporan, pero estamos, de hecho, desplegando ahora con soluciones, este, soluciones de passkeys a nivel corporativo. ¿Cuál es la diferencia? Normalmente, las las instituciones financieras no quieren utilizar terceros, como Microsoft, Google, este, y Apple, para guardar sus passkeys, quieren tener una solución, como la solución de nosotros y de de GID, controlada por ellos, para poder gestionar las identidades y incorporar un enfoque de continuidad de identidad, como habló Óscar, porque tienen más control y pueden incorporar y brindar mejor servicio, por un lado, y y incorporar esas esas esas credenciales en un enfoque multicanal, no solamente en en el web, donde suelen estar los passkeys. Oscar, te doy la última palabra, so, para esa pregunta. Gracias, Johnathani. Totalmente de acuerdo contigo, muy interesante el punto de augusto. El concepto de viene de la alianza FIDO, que se fundó en el dos mil trece. Es una tecnología que claramente toma un tiempo de maduración mientras se empiezan a sumar esos serial adopter que empiezan a identificar casos de uso. Nuestra lectura es que, en este momento, estamos viendo en Latinoamérico un mayor apetito para entender esta tecnología, y es un buen momento para empezar a integrarla, porque ayuda a reducir el nivel de hartazgo que actualmente existe a nivel de contraseñas, y se ha podido identificar que se puede integrar a múltiples casos de uso, siempre y cuando sea el banco el que controle en qué momento invocar el password. Entonces, creo creo que estamos en un muy buen momento. Como como bien mencionas, Augusto, ya se ha detectado que hay una oportunidad de mejora en la contraseña, y el passky está emergiendo como esa tecnología que puede cerrar ese vínculo de confianza en el proceso de autenticación. Entonces, creo que a nivel de latinoamérica estamos en un muy buen momento para empezar a explorar con más detalle el passky. Muy bien. Este, quería hacer una última pregunta, ya ya no tengo más preguntas de del panel, pero quisiera hacerles una última para cerrar, y y es, bueno, regresando un poco a la a la encuesta y a lo que hablaban en la presentación, ustedes en lo personal, ¿cuáles creen que que sea la tendencia de fraude más importante en lo que queda de este año y y a futuro corto? Adelante, adelante vos, este, Óscar. Tú primero. Es, en este momento, tal vez la la tendencia que más está creciendo, no tal vez la más grande en este momento, pero la que más está creciendo es, justamente, los deep fakes. Hay estadísticas que son lo que, justamente, Jonathan nos presentó al inicio, que están mostrando que cada vez se pueden generar ataques a mayor escala y con mayor contundencia a nivel de deep fakes. Pensaría que en este momento podría ser la tendencia que más crecimiento está teniendo. Johnathan Estoy totalmente, estoy de acuerdo, Óscar, y y es donde más, digamos, porque esa esa tendencia se usa para las otras, es decir, se usa el deep fake para account takeover, para estafas, para ingeniería social, o sea, es un mecanismo que habilita las otras tendencias. Y creo que muchas personas no saben que hay soluciones, hay soluciones que pueden incorporar y detectar estos deep fakes, este, no cien por cien, pero pueden utilizar la IA para combatir la IA, pero si no se usan y no se incorporan, las instituciones y la gente, ¿no? Va a quedar atrás. Entonces, eso para mí es lo más destacante, ¿no? Pero también es para dar esperanza a la gente que es algo que sí se puede prevenir, sí se puede mitigar, pero hay que incorporar buena buena tecnología para dar un paso adelante. Gracias, Jonathan. Estamos viendo mucha muchos agradecimientos Muchos agradecimientos. Sí. Bueno, gracias a ustedes. Y y, bueno, creo que cayó una última pregunta, no sé si si rápido la responden antes de de cerrar. Este, ¿cómo aseguran que las passkeys y la biometría conductual no excluyan a los usuarios? Con hardware menos potente, ¿hay un benchmark al mercado de LATAM? Muy buena pregunta. Este, para mí sería interesante ver si hay un caso en particular, donde, porque no hemos visto muchos casos de usuarios excluidos por un passky, este, pero yo no, o sea, no dudo que exista eso, pero normalmente un passky podría utilizarse, por ejemplo, en portátiles, ¿no? Podría utilizarse en tabletas y en smartphones, ¿no? Entonces, no no es una no es, por ejemplo, como la biometría de voz, donde la calidad del micrófono hay, digamos, hay un nivel mínimo que se requiera para para el micrófono o para la cámara, ¿no? Hace diez años, hace cinco años, este, algunos teléfonos no tan inteligentes no tenían cámara suficiente como para capturar la cara, ¿no? De de una persona. Los taskis no son así, es es un, digamos, este, es es cifrado de datos, ¿no? La, como bien bien dijiste, son números, más que nada. Entonces, no hemos visto eso como, digamos, un blocker, ¿no? Algo que impida la la solución a escala, pero sería interesante, no sé, Oscar, si en en América Latina, este, hayas visto algo diferente. Sí, sí, de hecho, Jonathan, tenemos conocimiento de algunos benchmark, donde actualmente superior al setenta y ocho por ciento de los dispositivos en latinoamérica ya son compatibles con la tecnología de passkeys. También, justamente, porque hay un mayor nivel de madurez en términos de dispositivos. También ayuda el hecho de que, pues, hubo actores como Google o como Amazon, que se sumaron de manera temprana y masificaron este caso de uso. Entonces, pues eso hace que, a nivel de sistema operativo, cada vez haya mayor compatibilidad, especialmente en el caso de Android y iOS, justamente porque Apple forma parte de la alianza FIDO, donde actualmente no lo vemos en este momento como un como un punto bloqueante, porque, como bien dices, son tecnologías que no exigen un excesivo poder de cómputo en la parte de dispositivo. Sí, al final, mucha, a muchas personas, este, les gusta el poder dejar atrás la contraseña, que que es un una inconveniencia bastante grande para muchas personas. Sí, de acuerdo. Sí, completamente de acuerdo, este, pues muchas gracias por por su tiempo y y por una extraordinaria presentación, este, y y pues bueno, próximamente estaremos anunciando nuevos webinars y inclusive con con G y D, muchas gracias Jonathan y muchas gracias Oscar por participar. Gracias, Rubén, y gracias, Oscar, gracias a todos. Jonathan, y gracias a toda la audiencia por sus preguntas y por su participación. Feliz resto de día.