El proyecto OpenGateway tiene APIs que están siendo las más utilizada en casos de uso, especialmente para luchar contra el Fraude, y son Device Location Verification, SIM Swap, Device Status y Number Verify. Unas APIs de OpenGateway que permiten saber si un terminal móvil se encuentra en una determinada ubicación sí o no, si está en roaming, y qué número se encuentra en una determinada conexión de Internet móvil, además de si el número ha sido portado recientemente.
Y como esto se hace desde la red, su información es oro puro para evitar el robo de cuentas, el robo de dinero mediante transferencias bancarias fraudulentas, o aplicar soluciones de Geo-Fencing.
APIS de Open Gateway para luchar contra el Fraude
El funcionamiento de Device Location Verification es bastante sencillo. Puedes preguntar por una tarjeta SIM en una determinada ubicación con un radio que permite gestionar el grado de protección de la privacidad que se quiere dar a una determinada persona. La gracia de esa información es que viene desde la red, y por tanto no se puede utilizar ningún Fake GPS para engañar al dispositivo y pretender estar en una ubicación en la que no está. Y con sólo eso, se pueden evitar muchos problemas de robo de cuentas y de transferencias fraudulentas haciendo Geo-Fencing.
En el caso de Number Verification, lo que sabemos es qué número de teléfono está detrás de una determinada conexión móvil, sabiendo si una determinada app está autenticada por la red con un número de teléfono móvil.
También tenemos SIM Swap, que permite saber si una determinada SIM ha cambiado de operadora por un proceso de portabilidad en las últimas horas, que es una práctica habitual de robo de tarjetas SIM.
Figura 5: API de SIM Swap en Telefónica
La última de ellas, Device Status, te permite saber si un terminal está en Roaming (fuera de su país) o no, así que preguntando a la red se puede saber si la persona está en su ubicación habitual o no.
Haciendo un uso de esta información, es fácil saber si una cuenta ha sido robada o no, si una persona está haciendo las transferencias desde su ubicación habitual o autorizada, y dificultar en cualquier caso cualquier robo de cuenta.
Protección contra el robo de cuentas
Detectar que una cuenta ha podido ser robada, o evitar que lo sea, puede ser tan fácil como comprobar si la cuenta está iniciando sesión en la ubicación en la que normalmente inicia sesión desde el número de móvil del que normalmente lo hace. Y si no es así, bloquear el acceso, subir el nivel de riesgo, o bloquear determinadas opciones como el cambio de contraseña, el cambio de correo electrónico de recuperación, etcétera.
Solo con eso, ya se podrían evitar muchos problemas al no permitir que se modifiquen las opciones de seguridad importantes, como se está empezando a realizar ahora en las cuentas de AppleID o GoogleID para evitar que se robe una contraseña y se cambie todo el perfil de seguridad de una identidad.
Protección contra transferencias fraudulentas
Esto es algo que están incorporando entidades bancarias, y es tan sencillo como que en el perfil de transferencia autorizada deba cumplir que:
- La tarjeta SIM del 2FA no ha sufrido SIM SWAP recientemente.
- La tarjeta SIM está en la ubicación autorizada (oficinas de la empresa)
- La app móvil del banco que autoriza el 2FA está conectada a la red móvil por el número de la SIM autorizada.
Number Verification no funciona en conexiones WiFi, y en ese caso habría que hacer una verificación de la SIM con un OTP vía SMS o usando Mobile Connect con SIM+PIN para ponerlo más difícil.
Device Location Verification y reducir la superficie de exposición con Geo-Fencing
En cualquier caso, poder preguntar a la red si una SIM está en una ubicación autorizada, como un país, una ciudad, o una zona en un radio concreto de una ubicación GPS y que no pueda ser falseada en el dispositivo reduce masivamente el fraude que viene desde cibercriminales remotos, ya que la transferencia está acotada a unas verificaciones de SIMs, de autenticaciones de red y de ubicaciones concretas.
En este ejemplo se ve como una SIM la tenemos acotada en Madrid. Reducimos el radio y acotamos la zona en la que la preguntamos, y de los cuatro posibles centros, la SIM se encuentra sólo en el que está pintado de verde.
Figura 9: Device_Location_Verification con un radio de 5Km.
Está en el círculo verde superior deecho.
Si seguimos reduciendo el radio - en este ejemplo lo hemos llevado a un círculo de 2Km -, vemos en qué zona de la ciudad está la SIM. Si la ubicación autorizada esta dentro de ese círculo, la app está conectada con el número de la SIM y no ha habido portabilidad recientemente, entonces se autoriza la transferencia, el login, o el cambio de opciones de seguridad, si no no.
Figura 10: Device_Location_Verification con un radio de 2Km.
Para hacer Geo-Fencing en una ubicación concreta.
Como podéis ver, aunque podrían existir esquemas de ataque más complejos, estas APIs ayudan a poner mucho más difícil cualquier intento de fraude remoto de cibercriminales, y por ello están siendo tan utilizadas por entidades bancarias hoy en día.
¡Saludos Malignos!
Autor: Chema Alonso (Contactar con Chema Alonso)
No hay comentarios:
Publicar un comentario