¿Qué es ARDID? Ardid es una herramienta avanzada que proporciona un enfoque integral para la detección y prevención de fraudes en las transferencias financieras.

A través, de un sofisticado sistema de reglas, inteligencia artificial y análisis comportamental, Ardid asegura que cada transferencia se monitoree y evalúe de manera precisa para proteger la integridad financiera de sus usuarios. La plataforma no solo facilita la identificación de actividades sospechosas, sino que también ofrece herramientas para gestionar y simular reglas, proporcionando a los administradores un control completo sobre la seguridad de las transacciones.

Como prevenir un fraude por ataque de robo de sesión o Accout Takeover (ATO)?

Un ataque de robo de sesión o Account Takeover (ATO) generalmente se produce porque le han robado la contraseña a un usuario o bien se la han adivinada utilizando fuerza bruta o algún mecanismo general. En estas situaciones un factor clave es la utilización de un dispositivo no habitual para el cliente.

También se puede dar el caso que le hayan robado el celular al cliente e intenten operar utilizando el mismo dispositivo. En estas situaciones, un factor clave para prevenir el fraude es el comportamiento del cliente en el uso de la aplicación, así como también los destinatarios e importes de las transferencias o pagos realizados, dado que los envíos o pagos se realizarán a cuenta no habituales para ese cliente.

Dado este escenario en ARDID se puede generar:

· Regla estándar que ante la ocurrencia de login fallidos, login satisfactorio e intento de pago.

· Regla estándar de cambio de dispositivo e intento de transferencia o pago.

· Regla de machine learning e IA relacionada con la habitualidad en montos y destinatarios.

· Regla comportamental de login y transferencia o login y pago.

En todos los casos, se puede configurar ARDID para que la transferencia se rechace la transacción, se solicite un 2FA o bien se bloquee la cuenta.

Qué pasa si ARDID bloquea el pago o transacción pero se verifica que la misma es correcta?

En el caso que ARDID haya rechazado una transacción o pago y se valida y verifica que la misma es correcta y se debe proceder a su ejecución, un operador debe ingresar a ardid al módulo de transferencias o pagos según corresponda, buscarla y marcarla como confiable y generar una excepción indicando el tiempo que durará la misma.

De esta forma, el cliente podrá realizar el pago o la transferencia y además se le indicará a ARDID que cometió un error del tipo al rechazar algo que era confiable, lo cual disparará el motor de IA que generará tantas simulaciones de reglas como sean necesarias y propondrá una regla nueva que optimice las actuales y minimice estos errores.

¿Cómo puedo saber si las reglas que voy a aplicar van a ser efectivas? Antes de aplicar una regla en producción es recomendable generar una simulación de la o las reglas a aplicar o modificar.

La simulación se genera indicando las reglas y pesos de cada una de las variables, se indica el rango de fechas a utilizar en la simulación y el momento en el cual se ejecutará la misma.

Una vez finalizada la simulación, se recibirá una notificación y al ingresar el módulo se podrá observar el resultado, indicando la respuesta real de ARDID ante cada transferencia o pago, así como también la nueva respuesta de ARDID utilizando las nuevas reglas simuladas.

En el dashboard se podrán ver como variaron los errores tipo I y tipo II y si están o no acorde a lo deseado.

En el caso que la regla satisfaga las necesidades, directamente se la puede poner productiva y sino se la puede eliminar.

¿Cómo puede hacer para detener ataques de robo de sesión o account takeover?

En el caso que los clientes de la entidad estén sufriendo intentos de ataques de account takeover, ARDID se dará, a través de su motor de IA y lo bloqueará.

Para esto, es necesario configurar las reglas de ráfagas en el módulo IA, especialmente la de login fallidos, de esta forma al identificar ARDID distintos login fallidos para un mismo cliente o para distintos, agregará los datos de esas conexiones a las blacklist correspondientes, de forma tal de retroalimentar en forma automática las reglas reputacionales y de esta forma evitar la ocurrencia de algún tipo de fraude.

¿Qué pasa si la regla de IA de ráfaga de ARDID identifica una cuenta destino sospechosa y la bloquea?

En el caso que el regla de IA de ráfaga detecte con una misma cuenta destino esta recibiendo muchas transferencias, ARDID automáticamente agregará esa cuenta en la blacklist, de forma que la regla de machine learning la identifique y bloquee cualquier nuevo intento de transferencia.

En el caso, que esa cuenta destino sea confiable, por ejemplo, una cuenta de recaudación de fondos para una obra de caridad, un analista debe ingresar al módulo de blacklist de cuenta y marcarla como whitelist. De esta forma, ARDID, aunque detecte nuevamente ráfagas de envío de dinero a esa cuenta, al saber que está en la whitelist no generará ninguna alerta ni la bloqueará.

¿Cómo saber si ARDID demora mucho en responder?

Tanto en el módulo de transferencias como en el de pagos, se puede agregar la columna Tiempo de Respuesta, donde se podrá observar cuánto demora ARDID en responder a cada requerimiento.

Los análisis de cada una de las reglas se realizan en tiempo real (real time) y están optimizados para no generar un overhead en la normal operatoria, esto se consigue gracias a los distintos procesos y servicios que se ejecutan en forma continuar en near real time, de forma de brindarla la información procesada al real time.

¿Cuál es la diferencia entre una regla comportamental y una de machine learning?

Una regla comportamental básicamente analiza como una persona usa una aplicación, y en base a ese análisis saca patrones de comportamiento, que luego se comparados en el patrón de la transferencia o pago que desea realizar y si tienen una distribución similar se considera que la persona que esta intentando realizar la acción es la titular de la cuenta.

Las acciones que determinan los comportamientos son 100% configurables para cada aplicación, una entidad puede tener muchas aplicaciones y cada una debe tener sus propias acciones.

Para que el comportamiento pueda ser analizado, ARDID disponibiliza un SDK que debe ser agregado en cada aplicación. Este SDK es invocado por la aplicación por cada acción que forme parte del comportamiento a analizar. El SDK envia esa información a APIs que luego analizarán los comportamientos, obtendrán las distribuciones y evaluaran cada una de las acciones recibidas. En el caso de detectar un outlier podrá generar una alerta inmediata que podrá ser enviada por email y/o a un grupo telegram, además de ser registrada en ARDID, a fin de identificar un potencial robo de sesión.

En cambio, las reglas de machine learning lo que analizan y evalúan es la habitualidad, es decir, que tan frecuente es que el cliente realice un pago o una transferencia considerando:

• Cuenta destino
• Geolocación
• Días de la semana
• Horas
• Días y horarios
• Dispositivo
• IP
• Importe
• Importe acumulado
• Importe acumulado por ciclos
• Importe y cuenta destino

En otras palabras, una regla de machine learning determina si la transferencia o pago es habitual (es decir, que ese cliente use realizar ese tipo de acciones), en cambio una regla comportamental intenta determinar si la persona que esta queriendo realizar la acción es el titular de la cuenta.

¿ARDID es una aplicación segura?

ARDID, cuanta con todas las consideraciones de seguridad que una aplicación bancaria/financiera debe contemplar, por ejemplo;

• 2FA para el inicio de sesión de los usuarios
• Cierre de sesión por inactividad
• Encripción de información sensible
• Perfiles de usuario tanto por acciones como por dato
• Perfiles definibles a la medida de cada Entidad
• Registro de auditoria de cada una de las acciones realizadas en el sistema
• Control por oposición entre el que crea una regla y el que la activa
• Deshabilitación de usuario por inactividad
• Apis autenticadas

Adicionalmente, en forma periódica se realizan pruebas de seguridad aplicativa a fin de identifica posibles vulnerabilidades, las cuales son corregidas previas al lanzamiento del nuevo release.

¿Cuál es la diferencia entre una blacklist tradicional y una regla reputacional?

Una regla de blacklist tradicional es aquella en la cual si un elemento esta en la lista se considera sospechoso y se rechaza en forma inmediata.

Este tipo de reglas de pasa o no pasa se analizan en forma individual, es decir, si se tiene una regla de backlist de geolocalización y una de dispositivo, si en la operación se esta realizando desde una geolocalización en la lista, automáticamente se rechazarán, sin considerar por ejemplo el dispositivo o el resto de los datos de la operación.

En cambio, una regla reputacional considera todos los elementos en conjunto para tomar una decisión si una operación puede ser fraudulenta o no, en el ejemplo anterior, si se intenta si un cliente quiere realizar una operación desde su propio dispositivo que siempre utiliza, pero por temas laborales tuvo que hacer una viaje de negocios y esta en una geolocalización que se considera sospechosa, al evaluar todo en conjunto se puede determinar que la operación es confiable aunque la geolocalización no lo sea.

¿Qué pasa si el cliente cae en una trampa de phishing y le roban el acceso a la cuenta?

Las trampas de phishing, pharming o whaling buscan acceder a la cuenta de los clientes para luego realizar compras o bien enviar el saldo de la cuenta al algún destinatario.

En estos casos ARDID puede identificar una anomalía en el uso de la cuenta y rechazar las transacciones o hasta bloquear la cuenta.

Por ejemplo, cuando un cliente es víctima de estas trampas, el primer síntoma que se detecta es que si bien la contraseña es correcta o no tuvo intentos fallidos de ingreso, el mismo se realiza desde un dispositivo, ip y geolocalización no habitual para ese cliente, ese es el primer indicio que esa transacción puede no ser legitima.

A eso, se le suma que en caso que intente vaciar la cuenta enviando el saldo a un destinatario externo, el mismo será uno nuevo para el cliente cliente, por lo que la sospecha se incrementa. Seguramente el monto no será el habitual y tampoco el horario, por lo que el motor de decisión de ARDID rechazará la transacción.

Para mejor la predicción, se puede usar que el uso de la aplicación por parte del cliente dueño de la cuenta, seguramente será distinta que la del atacante, por lo que no solo ARDID detectará esta situación, sino que al tener patrones de uso muy distintos (outliers) genera alertas y bloqueará al cliente.

Una situación similar ocurre con los pagos, los montos, importes, comercios, geolocalización y distancia entre los pagos serán sospechosos por lo que ARDID, protegerá la cuenta del cliente victima del ataque y también la reputación de la entidad.