Las plataformas de pago en tiempo true ofrecen efectivo rápido y …


Los servicios de pago en tiempo actual como The Clearing Property y Zelle borrarán completamente las transacciones en un instante … pero los atacantes de adquisición de cuentas adoran esa velocidad tanto como tú.

Las transferencias ACH y las tarjetas de crédito han ofrecido formas para que las personas paguen sin efectivo o cheque durante años. Sin embargo, ese tipo de transacciones a menudo toma tiempo, incluso varios días, para autorizarse oficialmente, lo que retrasa el acceso de los titulares de cuentas de consumidores y empresas a los fondos. No es así con los sistemas de pago en tiempo genuine (RTP). Los sistemas de pago en tiempo genuine permiten la transferencia inmediata o casi inmediata de fondos a través de una pasarela de pago segura, y están respondiendo a la llamada para pagos más rápidos y acceso a fondos.

Sin embargo, el beneficio mismo de RTP, la velocidad, es lo que también lo hace más inseguro, dicen los expertos.

(imagen de BillionPhotos.com, a través de Adobe Stock)

(imagen de BillionPhotos.com, a través de Adobe Inventory)

«Lo que hace que (las transacciones RTP) sean vulnerables y atractivas para los piratas informáticos son las mismas características que los hacen populares entre el público, que son transacciones rápidas, simples y fáciles de usar», dice Atif Mushtaq, CEO de SlashNext. «La vía más well-known para los ciberdelincuentes es la violación de datos para el robo de credenciales que les permite realizar rápidamente adquisiciones de cuentas y drenar cuentas bancarias».

«La naturaleza instantánea o casi instantánea de RTP significa que, en muchos casos, cuando se retira dinero de una cuenta, será muy difícil recuperarlo», dice Richard Henderson, jefe de inteligencia de amenazas globales de Lastline. «La rápida compensación de los pagos significa que los bancos realmente tendrán que asumir la carga del riesgo cuando se trata de proteger a los clientes cuando ocurra lo peor y una amable mujer jubilada sea engañada por decenas de miles de dólares».

Qué son y qué no son los servicios RTP

La mayoría de los consumidores han oído hablar de servicios de pago móviles como Zelle y Venmo. Pero existe cierta confusión sobre qué servicios realmente ofrecen pagos en tiempo authentic.

Muchos servicios de pago populares requieren un período de tiempo antes de que se liberen los fondos. Conocidos como sistemas basados ​​en billetera, algunos servicios, Venmo es uno, están a cargo de empresas de tecnología de servicios financieros, no de bancos, y los usuarios deben abrir una cuenta en la crimson de pago para poder usarla. En el caso de Venmo, los pagos realizados dentro de la red, en transacciones de persona a persona o para comprar servicios de comerciantes participantes, no están restringidos, pero no pueden transferirse oficialmente a cuentas fuera de la pink, como cuentas bancarias, hasta que los fondos han despejado, lo que podría llevar varios días. (Sin embargo, Venmo ahora ofrece transferencias en tiempo authentic de fondos de la billetera Venmo de un usuario a su cuenta bancaria conectada).

Los verdaderos servicios de pago en tiempo genuine son operados por bancos e instituciones financieras. La purple de pagos en tiempo real de la cámara de compensación, accesible solo para instituciones financieras aseguradas por la FDIC, es un ejemplo. Y la conocida Zelle, una fuerte competidora de Venmo en el mercado de aplicaciones de pago móvil de persona a persona, también proporciona pagos reales en tiempo real, porque utiliza la purple de The Clearing House.

Otros ejemplos existentes de RTP son el Servicio de pagos (FPS) y la Liquidación bruta en tiempo true (RTGS). La Reserva Federal de EE. UU. Dijo a principios de este año que los bancos de la Reserva Federal planean desarrollar un nuevo servicio de pago y liquidación en tiempo actual, llamado Servicio FedNow.

El dinero transferido a través de un verdadero servicio RTP se mueve de cuentas bancarias de miembro a miembro. El banco emisor garantiza que los fondos estarán disponibles, que todas las transferencias de fondos se debitarán o acreditarán adecuadamente, y que las transferencias de activos entre las instituciones que poseen cuentas se realizarán para respaldar las transferencias.

Cómo las plataformas RTP escatiman en seguridad

Sin embargo, en un reciente entrevista con el banquero estadounidense, Stephen Lange Ranzini, CEO de University Financial institution en Ann Arbor, Mich., Describió las muchas formas en que las plataformas RTP establecidas, incluyendo RTP y Zelle de The Clearing Home, no cumplen con los requisitos básicos establecidos por la Fuerza de Tarea de Pagos más Rápidos de la Reserva Federal y la Fuerza de Trabajo Federal de Pagos Seguros.

Los tres criterios pasados ​​por alto que son más preocupantes para Lange Ranzini incluyen:

1.) Todos los datos con información de identificación individual (PII) deben encriptarse

2.) Los sistemas necesitan un proceso de inscripción robusto

3.) Los sistemas necesitan un proceso de autenticación sólido cada vez que un usuario intenta iniciar una transacción.

Los sistemas actuales de RTP no cumplen completamente ninguno de estos criterios, dijo. Y hay momentos durante el ciclo de vida del pago cuando los datos involucrados en la transacción están «en claro», señala, lo que significa que no están encriptados.

Adquisición de cuenta una estrategia prison común

Debido a que los RTP reducen la cantidad de tiempo que habitualmente se puede dedicar a prevenir el fraude, los ciberdelincuentes pueden aprovechar al cometer ataques de adquisición de cuentas (ATO) más eficientes. Con acceso ilimitado a la cuenta bancaria, los atacantes pueden mover el dinero de la víctima a voluntad y los titulares de cuentas que no revisan su cuenta regularmente pueden no tener concept de que los fondos se han ido.

De alguna manera, estas ATO son exactamente las mismas que sin RTP: los atacantes comprometen las cuentas al usar la misma ingeniería social y trucos de piratería con los que los profesionales de seguridad han estado lidiando durante años.

«Hay múltiples formas en que estos ataques pueden ocurrir para los usuarios de RTP, incluso a través de correo electrónico, mensaje de texto SMS o incluso por teléfono», dice Mushtaq. «El propósito es el mismo, que es tratar de que los usuarios entreguen su información».

Una vez que los estafadores tienen acceso a los detalles de la cuenta, pueden transferir fondos a cuentas controladas por los atacantes, y las instituciones financieras oficialmente liquidarán la transacción en tiempo genuine. Y (como señaló Henderson anteriormente), una vez que se retire el dinero de una cuenta, será muy difícil recuperarlo, porque la cuenta legítima de la víctima autorizó el pago y la institución financiera lo autorizó. Pone en riesgo tanto a los consumidores como a los atacantes.

“Los atacantes se centrarán en el own de contabilidad de las empresas e intentarán robarlos. Esto no es nuevo «, dice Henderson. “Será esencial que las empresas comiencen a desarrollar procedimientos muy sólidos sobre cómo envían y reciben pagos. Usar una computadora dedicada para nada más que pagos en contabilidad que ha sido reforzado por su own de seguridad será muy importante.

«No pague facturas de proveedores en el extranjero si hay un cambio en cómo le han pedido que envíe fondos hasta que pueda verificar usando canales alternativos que es legítimo. Las firmas múltiples sobre una cantidad establecida deberían ser la norma «.

Contenido relacionado:

Joan Goodchild es una veterana periodista, editora y escritora que ha estado cubriendo la seguridad durante más de una década. Ha escrito para varias publicaciones y anteriormente se desempeñó como editora en jefe de CSO On the web. Ver biografía completa

Más ideas





Enlace a la noticia original