Fuente: SearchSecurity.com

Para 2Checkout.com Inc., su rápido crecimiento llegó a un precio: el aumento en los fraudes. El problema fue el siguiente: el crecimiento de la compañía superó la capacidad de la empresa para crear herramientas contra fraude.

“Tuvimos la suerte de ver crecer nuestro negocio rápidamente, pero a costa de perder la dinámica de los instrumentos de fraude que una vez habíamos implementado”, dijo Sebbe Jones, gerente de fraude y disputas de la empresa de comercio electrónico basada en Columbus, Ohio. “Sin entrar en la logística, nos estábamos ahogando en cargos, reembolsos y devoluciones fraudulentas.”

Pero cuatro años después de la implementación de tecnología de identificación de dispositivos de 41st Parameter Inc., 2Checkout (2CO) está confiado en que pueden hacer negocios en cualquier parte del mundo, incluyendo los países con altos índices de fraude por Internet como Nigeria y Vietnam, dijo Jones. “Somos capaces de hacer negocios en estos países de “alto fraude” porque tenemos mayor visibilidad de los consumidores y / o estafadores”.

Muchas de las empresas en la lucha contra el fraude en línea, incluyendo minoristas y bancos, han recurrido a la tecnología de identificación de dispositivos – también denominado fingerprinting de dispositivos, dijeron expertos. Utilizando diversas técnicas, la tecnología identifica los dispositivos para ayudar a autenticar a los usuarios y parar el fraude por Internet.

Casi todos los sistemas de detección de fraude tienen algún aspecto que funge como identificador de dispositivos – geolocalización – dentro de ellos, dijo Avivah Litan, Vicepresidente y distinguido analista de Gartner Inc. Sin embargo, algunos proveedores, incluyendo 41st Parameter, Iovation Inc. y ThreatMetrix Inc., van más allá, buscando obtener más información acerca de los dispositivos, tales como los usuarios del sistema operativo, versión del navegador y el idioma.

“Ciertamente hay mucho interés en ello”, dijo Litan. “Muchos de los minoristas y los bancos están experimentando con la tecnología, o poniéndola en producción”.

Jonathan Penn, Vicepresidente en Forrester Research Inc., dijo que los bancos están usando la tecnología de identificación de dispositivos, ya sea solos o junto a otros mecanismos “para obtener una mejor garantía de que el cliente es quien dice ser, yendo más allá de un simple ID de usuario y contraseña”.

PCPrint, producto de 41st Parameter, compañía basada en Scottsdale, Arizona utiliza JavaScript desplegado en la página de acceso del cliente para recopilar información sobre los dispositivos de consulta que visitan el sitio, viendo informaciones como la zona horaria, la cabecera HTTP, la configuración de la resolución de la pantalla, y muchas otras cosas, dice Ori Eisen, fundador y presidente de 41st Parameter.

“Nos ayuda a construir un perfil del dispositivo”, dijo. “Vemos Mac, consolas de juegos como Wii y Playstations. Cualquier cosa que se conecta a través de HTTP está sujeta a ese script, y respondiendo a todas estas preguntas”, dijo.

Si un usuario actualiza o altera su dispositivo, PCPrint determina el grado en que el sistema pertenece al usuario con la cuenta, dijo.

La tecnología puede ser utilizada para la autenticación y detección de las cuentas comprometidas, pero el caso de uso más popular entre sus clientes de banca es la prevención de la apartura fraudulenta de nuevas cuentas, dijo Eisen. La identificación de dispositivos es muy popular en el nuevo proceso de apertura de cuentas, porque “los delincuentes suelen utilizar una PC para abrir varias cuentas… y le ayudará a identificar esto”, dijo Litan.

Las cookies son una forma de identificación de dispositivos, pero no son fiables, ni utilizados tanto por las empresas para detectar el fraude, dijo. En un informe de 2007, Litan escribió que bancos de EE.UU. se basaban en parte en las cookies como medio de proporcionar un segundo factor de identificación del usuario, pero señaló que hasta un 15% de las cookies se eliminan por los usuarios o por programas de antivirus y antispyware.

Una alternativa de identificación de dispositivos es el software de inspección de PC, que puede leer información del registro del sistema operativo y los números de serie de una unidad de disco duro, según Litan. Otro método utiliza objetos Flash en un PC para identificar a un usuario de la máquina, siempre que el cliente tenga el software de Adobe, dijo.

ThreatMetrix Inc., que se trasladó desde Australia a Los Altos, California a principios de este año, mide más de 100 parámetros diferente de forma transparente durante una transacción en línea con el fin de identificar los clientes que regresan y evitar el primer fraude de una cuenta, Taussig Reed, presidente y CEO, dijo en una entrevista en marzo. Los estafadores suelen encubrir su verdadera ubicación mediante el uso de proxies, pero ThreatMetrix puede “penetrar el proxy” y determinar la verdadera dirección IP y geolocalización del dispositivo, dijo.

La empresa mantiene una base de datos de 12 millones de dispositivos que se sabe que son fraudulentos, lo que permite a los clientes compartir información anónima de identidad de dispositivos y datos de fraude, dijo. ThreatMetrix ofrece su tecnología como una solución Software as a Service (SaaS) o los clientes lo pueden implementar localmente a través de un API simple.

La identificación de dispositivos es “imprescindible” para las empresas que toman en serio la detección del fraude en línea, Litan dijo, pero añadió, “Ciertamente no es perfecto. Los pueden lograr vencerlo. Pueden vencer casi cualquier cosa.”

En su informe de 2007, Litan escribió que la tecnología no impide ataques de “man-in-the-middle” o “man-in-the-browser” en los que el atacante introduce un programa que intercepta la comunicación entre el usuario y el dispositivo servidor de la empresa. Algunos programas de identificación de dispositivos pueden detectar ataques MITB, añadió.

Jones de 2CO dice que los defraudadores evolucionan continuamente sus técnicas, por lo que es imperativo que las empresas evolucionen también. Pero con sus habilidades, experiencia y herramientas, la empresa confía en que seguirá haciendo negocios para tener éxito en todo el mundo, dijo.