Prevención sobre riesgos de los Usuarios Financieros en …...En México, durante 2017, 33 MILLONES...
Transcript of Prevención sobre riesgos de los Usuarios Financieros en …...En México, durante 2017, 33 MILLONES...
Prevención sobre riesgos de los
Usuarios Financieros en
México Fraudes Financieros tradicionales
y Cibernéticos (Tecnologías Financieras )
FRAUDES
CIBERNÉTICOS
A NIVEL MUNDIAL
80 millones
ATAQUES EN REDES SOCIALES De Perfiles Falsos en Facebook, Twitter e Instagram*
1,590 millones de usuarios activos (*) Fuente: El Pulso del cibercrimen 2017 EASY SOLUTIONS
4 de 5 USUARIOS DE
CONTAMINACIÓN DE ANUNCIOS EN MOTORES DE BUSQUEDA Usan los resultados de Adwords*
Los cibercriminales están aprovechando los avisos pagados en
buscadores para dirigir los usuarios a sitios de phishing.
(*) Fuente: El Pulso del cibercrimen 2017 EASY SOLUTIONS
3.3 MILLONES
APLICACIONES MÓVILES FALSAS Aplicaciones de Android fueron clasificadas como malware*
Las tiendas de aplicaciones no oficiales carecen de fuertes controles de seguridad y hay millones de aplicaciones falsas que pueden robar credenciales e instalar malware.
(*) Fuente: El Pulso del cibercrimen 2017 EASY SOLUTIONS
127% Ha crecido
RANSOMWARE ha sido el incremento de los ataques de ransomware durante el último año*
(*) Fuente: El Pulso del cibercrimen 2017 EASY SOLUTIONS
Los cibercriminales infiltran los sistemas de una organización o de una persona para tomar datos sensibles como "rehenes" hasta que se les pague un rescate. El rescate debe ser pagado en una moneda específica: los bitcoins.
978 MILLONES DE
USUARIOS
USUARIOS AFECTADOS (21 países) Afectados por el cibercrimen en el último año*
(*) Informe de Norton sobre ciberseguridad 2017
En México, durante 2017, 33 MILLONES DE CONSUMIDORES por Internet fueron víctimas de ataques cibernéticos, 47% más que en 2016.
Fuente: Informe de Norton sobre ciberseguridad 2017
En el mundo*
689 978
-
200
400
600
800
1,000
1,200
2016 2017
10.2 Millones
22.4 Millones
2.4 13.8 Millones 1.7
Millones
Comparativo 11 países:
22
33
-
5
10
15
20
25
30
35
2016 2017
En México
Millones de personas afectadas
Millones de personas afectadas
Millones de personas afectadas
Millones de personas afectadas
El incremento a nivel mundial fue del 42%
(*) 20 países.
+47% +42%
Éstos representan el 48% de los cibernautas**
(**) Cibernautas mayores de 18 años (2016: 46 millones; 2017:51.6 millones).
Éstos representan el 64% de los cibernautas**
Comportamiento de las personas:
Las personas deben limitar sus comportamientos de riesgo, lo que constituye una forma de protegerse a sí mismos de fraudes.
20% 20%
15%
27%
18%
23%
16%
23%
14%
18%
10%
22%
9% 12%
7%
15%
8% 10%
5%
11%
EU MX CA BR EU MX CA BR EU MX CA BR EU MX CA BR EU MX CA BR
No bloquear el teléfono
inteligente al dejar de usarlo
Tirar a la basura papeles o
Documentos con números de
cuentas
Usar la banca en línea o comprar en
Internet sin un software de
seguridad o en café internet
Anotar el PIN y llevarlo consigo o
guardarlo junto con la tarjeta
Responder e-mails o llamadas telefónicas
y proporcionar datos de cuentas
bancarias
COMPARATIVO
INTERNACIONAL
EN MATERIA DE
CIBERSEGURIDAD
6.6 Calificación
Índice Mundial de CiberSeguridad
México ocupa el lugar 28 de 193 países; Se evaluaron: medidas legales, técnicas, organizacionales, generación de capacidades y cooperación.
México
9.3
9.2
8.9
8.7
8.5
8.3
8.2
8.2
8.2
8.2
7.9
7.9
7.9
7.8
7.8
7.7
7.6
7.4
7.3
7.3
7.2
6.9
6.9
6.8
6.8
6.8
6.8
6.8
6.7
6.6
6.5
6.4
6.3
6.2
6.2
1.2
1.1
1.1
1.0
1.0
Sin
ga
pu
r
Esta
dos U
nid
os
Mala
sia
Om
an
Esto
nia
Mau
ritius
Au
str
alia
Ge
org
ia
Fra
ncia
Cana
dá
Ru
sia
Ja
pó
n
No
rue
ga
Rein
o U
nid
o
Ko
rea
Eg
ipto
Hola
nd
a
Fin
lan
dia
Su
ecia
Su
iza
Nueva
Ze
lan
da
Isra
el
Latv
ia
Ta
ilan
dia
India
Ale
man
ia
Qa
tar
Irla
nd
a
Be
lgic
a
Méxic
o
Uru
gu
ay
Au
str
ia
Italia
Ch
ina
Po
lon
ia
Bo
sn
ia
Gre
na
da
Gu
ate
ma
la
Ku
wa
it
De América Latina, México es el mejor evaluado
(*) Fuente: Unión Internacional de Telecomunicaciones (UIT)
41 Países
-
3er Lugar en
OBSERVATORIO DE LA CIBERSEGURIDAD EN AMÉRICA LATINA Y EL CARIBE
Banco Inter Americano de Desarrollo (BID) y la Organización de Estados Americanos (OEA)
Ciberseguridad
(*) Fuente: BID y OEA 2016
Se evaluaron 49 indicadores en 5
temas para determinar el
NIVEL DE CAPACIDAD DE
SEGURIDAD CIBERNÉTICA de cada país.
NIVELES
Política y estrategia
Cultura y Soc.
Educación
Marcos Legales
Tecnologías
Uruguay Brasil México
1 2 3 4 5
1
Inic
ial
Fo
rma
tivo
Es
tab
lec
ido
Es
tra
tég
ico
Din
ám
ico
2 3
4 5
(De 32 países)
1 2 3
NIV
ELE
S D
E
MA
DU
RE
Z:
Puntaje óptimo: 25 16 de 25
1 2 3 4 5 1 2 3 4 5 1 2 3 4 5
32
Nicaragua
13 de 25 11de 25 5 de 25
3er Lugar en
OBSERVATORIO DE LA CIBERSEGURIDAD EN AMÉRICA LATINA Y EL CARIBE
Banco Inter Americano de Desarrollo (BID) y la Organización de Estados Americanos (OEA)
Ciberseguridad
(*) Fuente: BID y OEA 2016
El BID y la OEA evaluaron 49
indicadores en 5 temas para
determinar el NIVEL DE
CAPACIDAD DE SEGURIDAD
CIBERNÉTICA de cada país.
NIVELES
Política y estrategia
Cultura y Soc.
Educación
Marcos Legales
Tecnologías
Uruguay Brasil México
1 2 3 4 5 1 2 3 4 5 1 2 3 4 5
1
Inic
ial
Fo
rma
tivo
Es
tab
lec
ido
Es
tra
tég
ico
Din
ám
ico
2 3
4 5
(De 32 países)
1 2 3
NIV
ELE
S:
Muchos países de la región SON VULNERABLES A ATAQUES CIBERNÉTICOS potencialmente devastadores. Cuatro de cada cinco países NO TIENEN ESTRATEGIAS DE CIBERSEGURIDAD o planes de protección de infraestructura crítica. Dos de cada tres NO CUENTAN CON UN CENTRO DE COMANDO Y CONTROL de seguridad cibernética. La gran mayoría de las fiscalías CARECE DE CAPACIDAD PARA PERSEGUIR los delitos cibernéticos.
AMÉRICA LATINA Y EL CARIBE Resultados globales de la evaluación:
La baja madurez de seguridad cibernética en algunos
países puede generar un efecto dominó en la Región.
PRINCIPALES
FRAUDES
MÉXICO
TRADICIONALES CIBERNÉTICOS
Correo basura o spam: Mensajes enviados a varios destinatarios (virus que roba la info. del equipo de cómputo). Smishing: Msj SMS al teléfono móvil (visitar página web fraudulenta). Phishing: suplantación de identidad (hacerse pasar por una IF). Phishing telefónico (vishing): simulan ser empleados de un banco. Pharming: redirigir a una página de Internet falsa. Fraude en comercio electrónico: sustracción de datos y no recepción pro.
Créditos exprés: falsas empresas que ofrecen préstamos Pirámides: Cadenas de ahorro que ofrecen ganancias elevadas. Ahorro informal: Tandas (dejar al usuario sin su dinero en cualquier momento). Trashing: Busqueda de información valiosa en la basura. Alteración de cheque: le compran al usuario su cheque para alterarlo. Tallado de tarjetas: engaños en los ATMs cambiándole al usuario su plástico y obteniendo su Nip.
Estafas con PRESENCIA FÍSICA de la victima y defraudador (el delincuente generalmente engaña y emite falsas promesas).
Estafas que UTILIZAN LA RED para realizar transacciones ilícitas. Los delincuentes se aprovechan del desconocimiento o poco cuidado que se tiene al utilizar los servicios financieros en línea.
CASO REAL: CHEQUE ALTERADO
Fraude tradicional: el delincuente se acerca al cliente que está en la fila del Banco y ofrece comprarlo para que no pierda tiempo en la sucursal. El delincuente altera los conceptos nombre, monto y endoso:
CASO REAL: VISHING
Fraude Cibernético: • La usuaria recibe un mensaje de texto de su Banco con una supuesta
compra en Palacio de Hierro $15,000.00 y le indican que en caso de no reconocer la compra responda el mensaje con la palabra “NO”.
• En minutos, la usuaria recibe la llamada de un ejecutivo de su Banco. • Este ejecutivo le envía un mensaje de texto con un “link” al cual debería
de acceder para proceder a la cancelación del cargo de referencia; • La usuaria llena el formulario con sus datos (nip, contraseñas, etc). • Le informan que dicho cargo ha sido cancelado. --------------------------------------------------------------------------------------------------
• Con lo anterior, en un LAPSO DE 3 HRS. el delincuente:
• Solicitó 1 crédito personal ($186 mil). • Solicitó 2 disposiciones de efectivo inmediato ($37 mil y $173 mil). • Transfirió los fondos a Bancoppel a través de SPEI.
En suma, el fraude fue por $425 mil pesos.
CASO REAL: VISHING
Mensaje de Texto
Estado de Cuenta
1: crédito personal
IMPACTO DE LOS
FRAUDES
MÉXICO
2011 2012 2013 2014 2015 2016 2017
1,382,526 1,427,318 1,385,157 1,479,877 1,547,899 1,940,582 2,152,777
2,847,846 2,811,545 2,949,049 2,890,693
3,922,913
5,297,509
6,546,136
67% 66% 68% 66%
72%
73%
75%
(4,370,570) (4,334,206) (4,238,863) (4,230,372)
Fraudes
(Total: 8,698,913) (7,238,091) (5,470,812)
Movimientos operativos de la Banca
En 2017, se registraron 8.7 MILLONES
•De éstas, el 75% fueron por un posible Fraude +25% Respecto
2016
Mutación del fraude
Tradicional Cibernético (Presencia física de la Tarjeta) (Sin la Tarjeta física)
• Comercio Electrónico
• Comercio por Teléfono
• Operaciones por Internet
• Banca Móvil
• Pagos por Celular
• Terminal Punto de Venta
• Cajeros Automáticos
• Sucursales
• Corresponsales
2011 2012 2013 2014 2015 2016 2017
2,453,118 2,339,492 2,266,481 2,077,022 2,635,710 2,904,157
2,298,710
279,216 355,918 580,489 673,838
1,157,990
2,223,099
4,082,155
4.1 MILLONES FUERON FRAUDES CIBERNÉTICOS (éstos representaron el 64%, antes 10%).
10% 13% 20% 24%
31%
43%
64%
(2,753,936) (2,856,974) (2,727,052) (2,756,677)
Cibernéticos Tradicionales
(Total:6,407,911) (5,133,942) (3,794,011)
+84% Respecto
2016
2011 2012 2013 2014 2015 2016 2017
2,453,118 2,339,492 2,266,481 2,077,022 2,635,710 2,904,157
2,298,710
279,216 355,918 580,489 673,838
1,157,990
2,223,099
4,082,155
4.1 MILLONES FUERON FRAUDES CIBERNÉTICOS (éstos representaron el 64%, antes 10%).
13% 20% 24%
31%
43%
64%
(2,753,936) (2,856,974) (2,727,052)
Cibernéticos Tradicionales
(Total:6,407,911) (5,133,942) (3,794,011)
+84% Respecto
2016
279,216
4,082,155
2,453,118
2,298,710
2011
2012
2013
2014
2015
2016
2017
Tradicional Vs Cibernético
TRADICIONAL
CIBERNÉTICO
(comportamiento uniforme con caída
en el último año)
(comportamiento exponencial en los últimos 3
años)
Evolución
En 2017, lo cibernético rebasó a lo tradicional.
Medio donde se originó el posible fraude con Tarjeta de Crédito y Débito.
Comercio Electrónico
Comercio x Teléfono
3.3 millones 727 mil
(51%) (11%)
De las 6.4 millones:
Cifras enero-diciembre. Nota: Otros medios en TDC y TDD: 55,439 reclamaciones
Banca por Internet
88 mil
(2%)
Terminal punto de
venta
Cajero Automático
221 mil
(3%)
2.1 millones
(32%)
CIBERNÉTICO TRADICIONAL
Por todo lo anterior, la CONDUSEF
sugiere tomar en cuenta las
siguientes recomendaciones para
prevenir un fraude o robo de
identidad:
¿Cómo proteger tu identidad?
• Evita proporcionar información personal o
financiera por teléfono.
• Al acudir al cajero automático revisa que no
cuente con dispositivos extraños en el lector de tarjetas y cuando teclees tu NIP, ten cuidado con
las personas que se encuentran a tu alrededor.
• Al pagar con la tarjeta no la pierdas de vista,
solicita que te lleven la terminal al lugar donde te encuentres.
• Revisa constantemente tus estados de cuenta para que verifiques que los cargos correspondan a los que hayas realizado.
• Protege tus contraseñas, no las escribas en tu celular o en algún lugar visible para otras personas.
• Haz caso omiso de mensajes en los que te comuniquen que has ganado un premio o te
hacen una oferta especial.
¿Cómo proteger tu identidad?
Para proteger tus cuentas y dispositivos electrónicos:
• Evita usar computadoras públicas para acceder a tu información
personal y limpia el historial del navegador.
• Entra solo a links seguros y protegidos en internet.
• Nunca proporciones tus contraseñas, número de cuenta, correos,
teléfonos, etc.
• Protege tu computadora, teléfono o tablet con un software de
seguridad (antivirus) y contraseñas seguras.
• Descarga aplicaciones de tiendas oficiales y de desarrolladores
oficiales.
• No confíes en correos apócrifos, si desconfías de ellos comunícate
directamente con la institución financiera.
1 Se realizó una CAMPAÑA DE DIFUSIÓN
NACIONAL sobre Robo de Identidad. Se crearon 3 MICROSITIOS informativos (Robo de Identidad, Comercio Electrónico y Educa tu Cartera). Se implementó el PROTOCOLO DE
ATENCIÓN PORI (Robo de Identidad). Se actualizó en 4 ocasiones el BEF con información relevante de reclamaciones: posible fraude, robo de identidad, fraude cibernético y banca móvil.
2 3 4 5
ACCIONES REALIZADAS POR CONDUSEF:
NUEVO CUADERNILLO DE FRAUDES FINANCIEROS
Campaña de Fraude Cibernético en redes sociales y medios digitales.
Fortalecer los procedimientos y mecanismos que las instituciones utilizan para IDENTIFICAR A LA PERSONA QUE CONTRATA CON ELLAS, con el fin de coadyuvar a prevenir, inhibir y, en su caso, detectar la suplantación de identidad; Verificar LA VIGENCIA, INFORMACIÓN Y DOCUMENTACIÓN para cerciorarse de la identidad de la persona: INE, pasaporte y CURP; Definir la forma y mecanismos para otorgar CERTEZA EN LA CONTRATACIÓN “SIN PRESENCIA FÍSICA”. Establecer la obligación de que las instituciones cuenten con un REGISTRO DE RECLAMACIONES de sus clientes. Obtener el número de teléfono móvil o email del cliente a fin de RECIBIR LAS NOTIFICACIONES Y ALERTAS. Brindar a las IF la posibilidad para que generen una BASE DE DATOS DE HUELLAS DACTILARES.
QUÉ DEBEN HACER LAS INSTITUCIONES DE CRÉDITO PARA PREVENIR EL ROBO DE
IDENTIDAD
Fuente: Disposiciones de Carácter General aplicables a las Instituciones de Crédito en materia de Robo de Identidad (CNBV):
El Fraude Financiero en México no es un mito, es una realidad que hemos afrontado con mayor conocimiento y responsabilidad para no ser parte de la estadística. Todos hemos hecho algo en el tema de seguridad
financiera. El Gobierno, las Empresas, las Instituciones y por supuesto los Ciudadanos.
Pero no debemos bajar la guardia, sino todo lo contrario, ya viene un BRINCO GENERACIONAL entre el nacimiento de la tecnología y el uso de la
misma como herramienta necesaria para el desarrollo de todas las actividaes humanas.
RETOS DE LA CONDUSEF
FRENTE A LAS FINTECH
Otorgar un marco regulatorio en el que la innovación a través de tecnologías en los servicios financieros se desarrolle y evolucione, de acuerdo a las tendencias mundiales, bajo la figura general de las ITF.
Permitir a las autoridades mitigar los riesgos y promover su expansión en un ambiente competitivo, reconociendo la aportación que brinda la tecnología.
Atender los principios de inclusión financiera, protección al consumidor, transparencia, promoción de la competencia, prevención de lavado de dinero y de financiamiento al terrorismo.
Autorización y Supervisión De las ITF
Serán reguladas y supervisadas fundamentalmente por la SHCP, Banxico, CNBV y CONDUSEF, en el ámbito de sus atribuciones.
Para operar requerirán de una autorización de la CNBV, la cual se otorgará previa revisión de la información y documentación que se menciona en la ley Fintech y con aprobación del Comité Interinstitucional.
También deberán reportar información relacionada con sus actividades y operaciones a las autoridades que determinen mediante disposiciones de carácter general.
1
DIVULGAR los riesgos de hacer operaciones con activos virtuales, ya que no es una moneda de curso legal y que las operaciones autorizadas son irreversibles.
Que están autorizadas, reguladas y supervisadas.
El Gobierno Federal NO ES RESPOSABLE de garantizar los recursos de los usuarios, ni asume la responsabilidad de obligaciones contraídas de las operaciones que realicen.
El valor de los activos virtuales es ALTAMENTE VOLÁTIL.
Destacar que, las expresiones “Instituciones de Tecnología Financiera, Financiamiento Colectivo o Fondos de Pago Electrónico”, quedan RESERVADAS.
2
3
4
5
Atribuciones específicas
de la CONDUSEF
En materia de protección Al usuario en operaciones con las ITF:
CONDUSEF deberá emitir regulación secundaria relacionada con la formalización de las relaciones jurídicas y la solución de controversias.
Se establece que aplicará integralmente su marco normativo (LPDUSF), así como la Ley para la Transparencia y Ordenamiento de los Servicios Financieros (LTOSF), ya que la ITF se incorpora de pleno a la esfera de sus atribuciones, sin hacer distingo alguno, respecto a otro tipo de Institución Financiera.
La ley plantea grandes retos en materia de protección al usuario, porque pone al mismo nivel las operaciones de la ITF con las Entidades Financieras Tradicionales.
Disposiciones secundarias CONDUSEF cuenta con un plazo de 12 meses para emitir 2 nuevas Disposiciones:
1 Una disposición “ad hoc” para las ITF en materia del proceso de atención de reclamaciones y de cumplimiento a los diversos Registros de esta Comisión: SIPRES, REUNE, RECA, REDECO Y BEF (LPDUSF).
Otra en materia de Transparencia Financiera relacionada con Contratos de Adhesión, Estados de Cuenta, Comprobantes de Operación, Sanas Prácticas, Clausulas Abusivas, Publicidad, entre otros.
Aunque resulte difícil, una SOFOM ENR podría establecer un Modelo Novedoso, para lo cual, tendríamos que emitir la disposición correspondiente.
Adicionalmente se deberán hacer precisiones menores en las siguientes Disposiciones de Carácter General y Reglas: cláusulas abusivas, programas de auto corrección, SINE, Bases y Criterios para otorgar la Defensoria Legal Gratuita, Arbitraje, REUS, RECO.
Disposiciones secundarias 2 Otra en materia de Transparencia
Financiera relacionada con el ofrecimiento y contratación de productos y servicios financieros:
• Contratos de Adhesión, • Estados de Cuenta, • Comprobantes de Operación, • Publicidad, entre otros (LTOSF), y además • Sanas Prácticas (LPDUSF).
Elementos normativos En materia de Evaluación y Supervisión
El marco jurídico actual permite a CONDUSEF revisar al menos 169 elementos normativos en la documentación contractual de las Entidades Financieras tradicionales, cuyo incumplimiento son motivo de sanción y corrección.
Documento/concepto Número de
elementos
Contrato 61
Carátula 23
Estado de Cuenta y/o comprobante de operación
35
Página Web 23
Folleto Informativo 15
Publicidad 12
Total 169
Para el sector FINTECH habrá que definir nuevos elementos o
bien adecuar algunos, así como implementar
mecanismos de supervisión, atendiendo a la naturaleza
propias de sus operaciones.
Ejemplos:
Elementos normativos Ejemplos
1. En un contrato de adhesión tradicional se revisa la
tipografía (tamaño y fuente), en el sector FINTECH sería verificar la resolución y tipo de archivo.
2. En las sucursales deben estar los Carteles de las UNES, BEF y Comisiones con los requisitos que la norma dispone, en el sector FINTECH no sería aplicable.
3. La publicidad en página web deberá contener más elementos a supervisar, ya que será el canal a través del cual los usuarios se informarán y contratarán los productos que se ofrecen (advertencias de uso, riesgo y reclamación).
Consideraciones finales Para el caso de CONDUSEF
La defensa del usuario se debe realizar bajo un esquema distinto y con alcance acotado.
En materia de educación financiera, se deberá de intensificar campañas, programas y acciones para el acceso más seguro a estas nuevas figuras y plataformas.
En materia de protección, a diferencia de las operaciones tradicionales, dos elementos cobrarán mayor relevancia:
a) El contenido de sus portales de Internet, interfaces o medios de
comunicación electrónica o digital que utilicen en el ofrecimiento y prestación de
sus servicios y,
b) La publicidad que utilicen, ya que prácticamente cualquier interesado en
realizar algún tipo de operación lo haría solamente a través de estos medios,
por lo que deberían de conocer ante todo y con la claridad suficiente el modelo
de operación y los factores de riesgo que conllevan.
EN CONCLUSIÓN Cualquier país que pretenda regular a las Fintech debe cubrir tres grandes frentes: Riesgos sistémicos: "inestabilidad del
sistema financiero, potencialmente catastrófico, causado por eventos idiosincráticos o condiciones en los intermediarios financieros"
Protección al consumidor: eventos significativos de estafas o fraudes.
Actividades ilegales y lavado de dinero.
GRACIAS Lic. Gerardo García Escobedo
Director de Información y Estadística [email protected]