¿Cómo garantizar eficazmente la seguridad de tu cadena de pagos?

El fraude en los medios de pago está creciendo exponencialmente a nivel mundial y España no es una excepción. El riesgo de fraude en los pagos de las empresas es una preocupación creciente de los directivos, por lo que cada vez se destinan más recursos para garantizar la seguridad en la cadena de pagos.

 

El cyberfraude en los pagos es una actividad muy rentable que se aprovecha de las vulnerabilidades que tienen las empresas. Las técnicas de desvío de fondos son cada vez son más sofisticadas y las empresas deben reforzarse ante este riesgo real.

Las empresas deben replantearse todo el proceso de pagos. Lo que servía hace unos años o unos meses, ya no es válido en estos momentos.

Ante esta amenaza, todos los integrantes de la empresa, y no sólo los del departamento financiero, deben ser conscientes de la importancia de garantizar la seguridad en la cadena de pagos.

La responsabilidad en la lucha contra el fraude en los pagos es de todos los empleados de la empresa. La fuga que puede permitir ser objeto de un ataque puede ser producida por el descuido de cualquier integrante de la misma.

 

Fraudes más comunes en la cadena de pagos

Entre los fraudes más comunes en la cadena de pagos de las empresas nos podemos encontrar los siguientes.

  • Phishing: Es una de las técnicas más utilizadas y consiste en suplantar la identidad de algún directivo de las empresas o de otra persona para conseguir que se realicen pagos de forma fraudulenta.  Para ello, los estafadores intentan “pescar” datos confidenciales, tales como contraseñas, información sobre tarjetas de crédito o cualquier otro tipo de información susceptible de poder utilizar para sus fines fraudulentos.

Para conseguir sus fines, los ciberdelincuentes se hacen pasar por una persona o empresa de confianza en una aparente comunicación por correo electrónico, mensajes de texto o llamadas telefónicas.
Algunos de los fraudes más utilizados son: suplantar la identidad del banco de la empresa, suplantar la identidad de un proveedor y solicitar el cambio de los datos bancarios, suplantar la identidad del CEO y ordenar la realización de pagos, etc.

  • Botnets: Infectando los ordenadores o teléfonos móviles con virus que se ejecutan de manera autónoma y automática para obtener datos que permitan realizar pagos o compras no autorizadas. Se estima que pueden existir millones de botnets por la red. Un creador de botnets puede controlar todos los ordenadores, teléfonos o servidores infectados de forma remota
  • Fraude interno: Si determinados archivos no se encuentran bien protegidos y controlados, la empresa está expuesta al fraude interno. Como, por ejemplo, la modificación de las cuentas bancarias en sus pagos electrónicos. Esto es tan fácil como modificar en el fichero de una remesa de pagos un IBAN, por no tener bien protegida la carpeta donde se guardan los ficheros de pago antes de enviarlo al banco.

Qué hacer para garantizar la seguridad en la cadena de pagos

En apenas unos años, el fraude en los pagos se ha convertido en una auténtica lacra para las empresas. El número de ciberataques no para de crecer y las empresas tienen que protegerse.

Para garantizar la seguridad en la cadena de pagos puedes dar los siguientes pasos:

  • Formar e informar a los empleados: Se debe informar a los empleados de estos riesgos y darles formación sobre las normas de seguridad que deben cumplir.
  • Implantar unos protocolos estrictos y rigurosos. Se deben implantar tanto en materia de transacciones como de transferencias y validación.
  • Prevenir: Anticiparse a los riesgos es la clave para contar con una política de seguridad eficaz, que haga posible una reducción importante de los riesgos de fraude en los pagos.
  • Tokeniza tus datos sensibles: La tokenización es un sistema que transforma automáticamente los datos financieros sensibles en cadenas numéricas aleatorias, con el fin de garantizar la confidencialidad de los datos.
  • Utiliza tarjetas virtuales: Estos medios de pago digitales suponen que la empresa no utiliza el número y el CVV de su tarjeta de crédito. De esta forma, cada pago que se realice con la tarjeta es completamente seguro, no puede replicarse y los datos no pueden robarse para otro uso.
  • Utiliza un software contable y de gestión que te dé la máxima seguridad. Todos los programas de Sage cuentan con las máximas garantías en materia de seguridad para proteger tus remesas de pagos.

Autenticación reforzada para evitar fraudes

La autenticación reforzada (SCA) se aplica desde la entrada en vigor de la nueva directiva de servicios de pago y es conocida coloquialmente como PSD2 por ser la segunda en esta materia.

La Autenticación Reforzada del Cliente tiene por objeto dotar de mayor seguridad los servicios de pago electrónico, para evitar los peligros relacionados con diversos tipos de fraude. Algunos de estos peligros son el robo y la suplantación ilegítima de la identidad.

PSD2 es un nuevo marco legal para asegurar que quien efectúa determinadas operaciones como acceder a una cuenta de pago online o la realización de un pago electrónico sea quien dice ser. Además, se aplicará en cualquier otro canal remoto en el que exista riesgo de algún tipo de fraude o abuso.

La ley española en materia de servicios de pago define la autenticación como un “procedimiento que permita al proveedor de servicios de pago comprobar la identidad de usuario de un servicio de pago o la validez de la utilización de determinado instrumento de pago, incluida la utilización de credenciales de seguridad personalizadas del usuario”.

 

Cómo funciona

Para garantizar la seguridad en la cadena de pago, la SCA refuerza la seguridad principalmente mediante el envío de códigos a los teléfonos móviles.

Para generar este código deben utilizarse al menos dos de los siguientes elementos de autenticación basados en el conocimiento, la posesión o la inherencia.

  • Algo que posee el usuario: token o teléfono móvil.
  • Algo que sabe el usuario: clave o PIN.
  • Algo inherente al propio usuario: huella digital o biometría.

El código de autenticación debe ser un código de un solo uso, obtenido a partir de los elementos de autenticación y debe cumplir los siguientes requisitos:

  • Si se divulgase el código, a partir de él no se debe poder obtener información sobre los elementos de autenticación.
  • No debe ser posible crear un nuevo código a partir de uno anterior.
  • Tiene que ser imposible falsificar el código.

Por lo tanto, para evitar fraudes en la cadena de pagos, las empresas deben reforzar sus procedimientos de control y, en particular, garantizar la integridad de los datos de terceros que intervienen en los pagos. Intentar asegurar estos procesos sin una solución de gestión empresarial específica hace casi imposible poder defenderse eficazmente de estos ataques.

Sabemos que eliminar totalmente el riesgo es casi imposible, pero reducir el porcentaje de vulnerabilidad es factible, y el objetivo tiene que ser mejorar continuamente.

 

Jose Ramón Fernández de la Cigoña

Reconocido blogger, experto en temas sobre contabilidad, finanzas y aspectos legales de la empresa.