Kyle, el guardián de la Seguridad en N26

Kyle, director del área de Trust & Safety en N26,  y su equipo, rastrean diariamente la web en busca de posibles amenazas. Así, están especializados en recabar, analizar y proporcionar información sobre estafas y ciberataques, tecnologías financieras y otros servicios digitales a los distintos equipos de N26 velando y maximizando la seguridad de nuestros procesos y productos.

Kyle, el nombre de tu equipo combina dos requisitos fundamentales para todo banco: la confianza y la seguridad. ¿Qué es exactamente lo que hacéis en vuestro día a día?

En N26, hacemos todo lo posible para garantizar la seguridad de las cuentas bancarias de nuestros clientes y nuestros sistemas. La seguridad de los productos desempeña un papel fundamental, pero también contamos con personas que supervisan la transición entre su diseño y el uso por parte de los clientes; y es ahí donde entra en juego el equipo de Trust & Security.

En pocas palabras, somos los encargados de proteger a los clientes de N26 de los fraudes, normalmente, a manos de ciberdelincuentes que intentan entrar en las cuentas o estafar a las personas para hacerse con su dinero. Todos hemos leído historias de personas que reciben una llamada de alguien que afirma trabajar en su banco y acaban perdiendo miles de euros: ese es un ejemplo de lo que tratamos de evitar.

Para ello, realizamos un seguimiento constante de la red en busca de phishing y cualquier tipo de vulneración de nuestra marca; es decir, todo lo que parezca N26 pero no lo sea, y se pueda desorientar a nuestros clientes. Este tipo de ciberataques puede darse, por ejemplo, a través de mensajes de texto que los timadores envían a los clientes haciéndose pasar por empleados de N26 e instándoles a pulsar en un enlace, llamar a un número de teléfono o responder indicando su PIN o sus datos de acceso. De este modo, los timadores pretenden obtener los datos personales de los clientes y entrar en sus cuentas. 

También llevamos a cabo una investigación más amplia para detectar nuevos tipos de ataques de phishing, estafas y fraudes. Es necesario hacer un seguimiento constante, ya que los criminales, por desgracia, son muy innovadores y sus métodos cambian con frecuencia.

¿Qué hacéis con la información que recogéis?

Para entendernos, el área de Trust & Security es como una agencia de inteligencia. Por ejemplo, suministramos la información sobre posibles ciberataques a los equipos de desarrollo de productos, quienes la utilizan para incrementar la seguridad de la app N26; con el objetivo de que los nuevos productos se adelanten a las amenazas emergentes antes de que lleguen a manos de los clientes. Por otra parte, la información sobre las últimas tendencias en fraudes y estafas ayuda a nuestros equipos a detectar más rápidamente las actividades sospechosas en las cuentas de los clientes. 

También ayudamos a informar a los clientes de N26 directamente acerca de la seguridad en la banca online y prácticos consejos a través de nuestros propios canales como el blog, newsletters informativas y nuestros perfiles en redes sociales.

Dado que los ciberdelincuentes suelen mantener en secreto sus estrategias, ¿cómo detectáis los fraudes y las estafas?

Es sorprendente la cantidad de pistas que los estafadores diseminan en Internet alardeando sobre sus métodos y «logros».  Nosotros utilizamos varias fuentes: para saber qué tipo de estafas denuncian los clientes de N26, investigamos en las redes sociales, buscamos en la deep web y la dark web, y estamos permanentemente en contacto con el servicio de atención al cliente. Además, estamos muy bien conectados con compañeros/as de otras empresas a nivel internacional para intercambiar información, protegernos los unos a los otros, y que no se nos escape nada.

Estar constantemente atento a todo tipo de estafa que pueda afectar a un banco como N26 parece todo un desafío, pero al mismo tiempo, debe de ser muy gratificante. ¿Qué es lo que más te gusta de tu trabajo?

El fraude online experimenta un cambio constante y, como cada vez dependemos más del entorno digital, la ciberdelincuencia se ha incrementado enormemente a lo largo de los últimos años. Vemos cómo los criminales reaccionan e intentan eludir los muros que levantamos para proteger a los usuarios. Resulta fascinante investigar quiénes son estas personas, cuáles son sus motivaciones y observar sus reacciones ante las medidas de mitigación que adoptamos. Al mismo tiempo, supone todo un desafío debido a la naturaleza y la rapidez con la que cambian e innovan en sus estrategias.

Desde tu punto de vista, ¿en qué aspecto marca la diferencia N26 en materia de seguridad bancaria?

Lo que realmente hace único a N26 es que situamos la seguridad de los clientes en el centro de todo lo que hacemos y de todo producto o función que desarrollamos. Esto nos permite prevenir la posibilidad de que se produzcan fraudes, ya que tomamos las medidas adecuadas de antemano.

¿Has detectado alguna tendencia nueva en cuanto a los tipos de estafa y fraude online? ¿De qué forma ha evolucionado esta forma de engaño durante los últimos años?

El fraude, y en especial el fraude online, es algo que está en constante evolución. Los consumidores están cada vez mejor informados acerca de este tipo de prácticas pero, a consecuencia de ello, los delincuentes también están elaborando estafas más sofisticadas e innovadoras. Algunas de las estrategias de las que más oímos hablar son las falsas tiendas en línea o el vishing, es decir, cuando los timadores contactan con los consumidores por teléfono o mediante mensajes de voz para hacerse con sus datos personales y, en última instancia, con su dinero. Pero​ la principal tendencia que me gustaría destacar es la del fraude de los pagos automáticos autorizados.

Al igual que en otro tipo de estafas, en esta, los delincuentes engañan a los consumidores para que realicen voluntariamente un pago a una cuenta controlada por los estafadores. Esto puede ocurrir de muchas formas. La particularidad del fraude de los pagos automáticos autorizados es que se orienta a los pagos en tiempo real. Como estos pagos son inmediatos e irrevocables, las víctimas no pueden revocar el pago cuando se dan cuenta de que las han estafado. Por eso, en N26 recomendamos a los clientes que, por lo general, eviten hacer este tipo de pagos en tiempo real a nadie que no sea de su confianza.

¿Qué es lo más importante que los clientes deben saber acerca de la seguridad en internet? 

Es importante entender que la seguridad en internet es tan importante como la seguridad en el mundo físico. Así que, por encima de todo, el consejo que les daría a los usuarios es que no se fíen absolutamente de nadie. Sé que suena duro, y te aseguro que no quiero que los clientes se vuelvan paranoicos. Pero si alguien te contacta para pedirte algo, sobre todo en internet (ya sea una persona que afirma representar un producto o servicio que consumes, un empleador en potencia o alguien en una app de citas), párate un momento y reflexiona sobre lo que te está pidiendo. Aunque a los estafadores se les da bien convencer a sus víctimas de manera que estas actúen irracionalmente por medio de técnicas de ingeniería social, las cosas que piden no suelen tener mucho sentido si te paras a pensarlas dos veces. Una dosis razonable de desconfianza siempre viene bien.

También me gustaría añadir otros consejos:

• Si recibes un correo o un mensaje de texto de tu banco, proveedor de pagos o cualquier otra empresa que te pida hacer algo de forma urgente, ándate con ojo. En algunos casos, puede que el mensaje provenga de un delincuente. N26, por ejemplo, solo comunica contenido que incluya datos personales a través de la bandeja de entrada de la app N26 y les pide a los usuarios que respondan únicamente a través de la app (no por correo electrónico, mensaje de texto ni por teléfono). Por otra parte, siempre puedes contactar con el servicio de atención al cliente a través del Chat de Ayuda si quieres asegurarte de que la persona que ha contactado contigo realmente representa a N26.
• Si a pesar de todo, resultas ser víctima del phishing y un delincuente se hace con tu dirección de correo electrónico y la contraseña de algún servicio, asume que esa persona podrá acceder a tu cuenta en ese servicio. Y, la mayoría de las veces, ese delincuente utilizará tus datos para probar suerte en otro sitio web. ¡Así que no utilices los mismos datos de acceso para varios servicios!

Si sospechas que has sido víctima de un timo o estafa de este tipo, presenta una denuncia ante las autoridades policiales. Las empresas no tienen potestad para hacerlo en tu nombre, ya que no son la víctima desde el punto de vista jurídico. Aunque la policía puede tener dificultades para investigar los ciberdelitos, el número de casos denunciados de una estafa concreta marca la diferencia, ya que les ayuda a identificar el modus operandi y también les puede permitir dedicar más recursos a una investigación concreta.