Cómo asegurar su cuenta Payoneer

En Payoneer, somos conscientes de que nos dedicamos a actividades fiduciarias y de que gran parte de la confianza que nos tiene se debe a que sabe que sus fondos están seguros cuando trabaja con nosotros.

 La elección de un servicio de pagos es una decisión importante. Si bien las bajas tarifas, las opciones flexibles de pago y otros servicios de valor agregado son muy útiles, estas soluciones también deben estar acompañadas por una empresa que cuente con una sólida infraestructura de seguridad. Hay millones de clientes en todo el mundo que están recurriendo a Payoneer para administrar sus pagos internacionales y poder hacer crecer sus negocios; por lo tanto, nuestra máxima prioridad es garantizar la seguridad de su cuenta.

 La tecnología, las operaciones y la experiencia de Payoneer han demostrado ser invaluables a la hora de prevenir todo tipo de ciberataque dirigido a nuestros usuarios. Esto se evidencia claramente en nuestro enfoque de múltiples capas con respecto a la mitigación de la apropiación de cuenta (ATO), uno de los pilares de nuestra estrategia de ciberseguridad.

 Para que tenga una mejor idea de por qué tantos usuarios confían en Payoneer, aquí demostraremos cómo la combinación de herramientas de seguridad y capacidades de administración de riesgos lo protegen de los ataques de apropiación de cuenta.

 Pero, en primer lugar, veamos qué es la ATO y sus posibles consecuencias.

¿Qué es la apropiación de cuenta?

En la ATO, participa un atacante que roba las credenciales de inicio de sesión de un usuario para entrar en su cuenta, donde puede acceder a información privada. Existen varios métodos comunes que se usan para ingresar a una cuenta:

• Relleno de credenciales: en esta manera hay un atacante que accede a una cuenta con datos de inicio de sesión robados de una filtración de datos anterior.
• Ingeniería social: en este método hay un hacker que se hace pasar por administrador del sitio u otro rol de confianza y convence al usuario de que le proporcione sus datos de inicio de sesión. La suplantación de identidad en correos electrónicos y mensajes de texto es la manera más popular de ejecutar el ataque de ingeniería social.

Un ejemplo de suplantación de identidad en correo electrónico. Fíjese que en la ubicación de la URL no aparece un dominio de Payoneer.

• Ataques de fuerza bruta: en este ataque, se usa un bot para ingresar a una cantidad masiva de combinaciones de nombres de usuario y contraseñas en una plataforma hasta que finalmente se pueda infiltrar en una cuenta.

Los usuarios pueden seguir varios pasos para evitar la apropiación de cuenta. Los principiantes deben asegurarse de usar una única contraseña diferente cada vez que se inscriban en un nuevo servicio en línea. Esto significa que si se compromete una de sus cuentas, el atacante no podrá usar el relleno de credenciales para entrar a sus otras plataformas. Además, es importante controlar los correos electrónicos y mensajes que puedan ser parte de un ataque de ingeniería social y nunca facilitar las contraseñas a nadie. Recuerde que Payoneer JAMÁS le pedirá su nombre de usuario o contraseña por correo electrónico, teléfono o chat.

A continuación, se encuentran algunos pasos que sigue Payoneer para mitigar y detectar las ATO.

El enfoque de múltiples capas de Payoneer con respecto a la prevención y detección de ATO

Para evitar las apropiaciones de cuentas, utilizamos algunos métodos proactivos que evitan que los bots y los hackers lleguen a las cuentas de un usuario. Entre ellos, se encuentran los siguientes:

• Verificación en dos pasos – Payoneer utiliza la verificación en dos pasos para ayudar a garantizar que ningún interesado con malas intenciones logre introducirse en tu cuenta. La verificación en dos pasos añade un paso más para la ejecución de ciertas actividades relacionadas a la cuenta. En este paso se te envía un código a tu dispositivo móvil o se te llama por teléfono para proporcionártelo, y tú deberás introducirlo antes de que puedas continuar navegando por tu cuenta. *
• Solicitudes de CAPTCHA: usamos los desafíos de CAPTCHA en varios lugares del sistema, incluida la página de inicio de sesión. Esto evita que los bots ejerzan fuerza bruta en la cuenta de un usuario.

Un ejemplo de solicitud de CAPTCHA.

• Firewalls de aplicaciones web (WAF): Payoneer usa WAF internos y basados en la nube para detectar bots y evitar que lleguen a nuestro sitio.
• Software para la ubicación de bots: Payoneer usa un software que rastrea la actividad de los bots en nuestro sitio web según ciertos factores, como la velocidad de tipeo y los movimientos del mouse. Además, podemos codificar los campos de contraseña en los navegadores web para evitar que los bots registren las contraseñas del usuario.
• Rastreo de sitio duplicado: uno de los métodos que usan los atacantes para ejecutar una ATO es duplicar un sitio en un nombre de dominio diferente. Se usa el ataque de ingeniería social para engañar a los usuarios a fin de que visiten un sitio fraudulento e introduzcan allí sus datos de inicio de sesión. Usamos un software avanzado para rastrear los sitios duplicados y, luego de verificar que realmente son fraudulentos, los desactivamos.
• Búsquedas proactivas de cuentas de usuario: Payoneer usa múltiples servicios de ciberinteligencia para buscar proactivamente datos de cuentas de clientes que estén comprometidos, tanto en la web clara como en la oscura. Si se encuentra la información de inicio de sesión de un usuario, se lo notifica de inmediato y se cambia la contraseña.

Si bien los pasos anteriores pueden bloquear eficazmente muchos intentos de ATO, sabemos que no siempre son suficientes. Los hackers están constantemente desarrollando herramientas y métodos nuevos para ingresar a las cuentas de usuarios, lo que significa que no es suficiente solo prevenir los ataques. Además de los sistemas de prevención mencionados anteriormente, hemos implementado otras capacidades y herramientas sofisticadas para detectar los ataques:

1. El controlador de acceso: Autenticación adaptativa de RSA

La autenticación adaptativa de RSA es un sistema intuitivo de verificación de usuario que evalúa los factores de riesgo, por ejemplo, país, dirección IP y tamaño de la transacción para marcar cualquier anomalía en la cuenta. Después de detectar la actividad que pueda indicar una ATO, el sistema requiere que se completen pasos adicionales de identificación, como responder a preguntas de seguridad, para garantizar la protección de la cuenta.

 Nuestro sistema de detección de amenazas usa la última tecnología de aprendizaje automático de estadísticas. Esto nos permite adaptar y registrar las nuevas amenazas en tiempo real, y estar siempre un paso adelante de los hackers, lo que garantiza una protección completa de los datos para nuestros usuarios.

2. El selector: Monitoreo basado en reglas

Nuestro motor de monitoreo basado en reglas es una herramienta de soporte que usa reglas predefinidas para identificar un comportamiento sospechoso en la cuenta de un usuario. Una vez que se activa una regla, nuestros analistas forenses pueden investigar la situación para determinar si se ha producido una apropiación de cuenta.

 Por ejemplo, una transferencia de cuenta anormalmente grande, en especial a una cuenta nueva de Payoneer, es muy probable que active nuestro motor de reglas y requiera una investigación. Si se identifica una ATO, la actividad de la cuenta se suspende de inmediato y se notifica al propietario de la cuenta.

  3. El protector: Modelos de riesgos y perfil de comportamiento

Usamos programas complejos de modelo de riesgos y perfil de comportamiento para analizar transacciones sospechosas de usuarios. La información que recibimos a partir de estos análisis se usa para predecir un futuro comportamiento malicioso que pueda indicar una apropiación de cuenta.

 Por ejemplo, nuestros modelos de riesgos tienen en cuenta los datos relacionados con un comportamiento sospechoso, como una cantidad inusual de pagos internacionales a un país específico o volúmenes altos de transacción desde un nuevo dispositivo, y los utilizan para detectar cuentas que muestren el mismo comportamiento.

4. El resguardo: Comentarios del cliente

Sabemos que no importa cuán avanzada sea la tecnología que usemos, todavía no hay nada que sustituya la intuición de los seres humanos. Por lo tanto, mantenemos una línea abierta constante de comunicación con nuestros usuarios. Esto nos permite detectar rápidamente una actividad de cuenta sospechosa, que luego podemos marcar y someter a los pasos descritos anteriormente.

 La ATO es una amenaza inherente que requiere pasos de mitigación innovadores y proactivos por parte de los usuarios y los proveedores de servicios. Aunque no podamos divulgar todas nuestras medidas de seguridad aquí, podemos decir que nuestros métodos de mitigación bloquean activamente el acceso a datos confidenciales por parte de los bots y actores maliciosos, mientras garantizan que podamos abordar de inmediato cualquier actividad sospechosa para proteger su cuenta.

 Por esta razón y muchas más, algunas de las marcas digitales líderes del mundo, como Amazon, Airbnb y Google, junto con millones de PyMES a nivel global confían en Payoneer, saben que la seguridad de la cuenta siempre es la prioridad para nosotros. Si tiene alguna otra pregunta sobre la seguridad de la cuenta, comuníquese con el gerente de satisfacción del cliente o nuestro equipo de atención al cliente y estaremos encantados de ayudarlo.

* Actualmente, la verificación en dos pasos está disponible en Europa y en ciertos otros países no europeos, se espera que en los próximos meses se implemente en su totalidad.