En el espacio fintech, la lucha contra el fraude es una batalla interminable. Y ha habido desarrollos recientes que están sesgando el campo de juego a favor de los estafadores. Las empresas Fintech no pueden hacer esto por sí mismas, necesitan la ayuda de expertos que estén completamente dedicados a hacer que el fraude sea lo más difícil posible.

Mi próximo invitado en el podcast Fintech One-on-One es Kevin Gosschalk, CEO y fundador de Laboratorios Arkose. Kevin ha construido Arkose Labs para abordar el fraude en línea de frente, habiendo creado un conjunto de herramientas utilizadas por fintechs y otros que operan en línea.

En este podcast aprenderás:

• El concepto simple detrás del enfoque de Arkose.
• El estado del juego en el espacio del fraude hoy en día, tal como se aplica a fintech.
• Cómo trabaja Arkose Labs con fintechs en la actualidad.
• Cuánto cuesta comprar una identidad válida en la dark web.
• Qué es el ciberdelito como servicio y por qué es un gran problema.
• Cómo las fintech pueden intentar detener el ciberdelito como servicio.
• Cómo equilibrar el aumento de la fricción y la reducción del fraude.
• Una explicación del relleno de credenciales.
• Por qué ofrecen una garantía de $1 millón para el relleno de credenciales.
• Por qué Arkose Labs creó MatchKey para reemplazar CAPTCHA.
• Cómo adaptarán MatchKey para garantizar que tenga longevidad contra los delincuentes.
• Cómo se están preparando para futuros ataques de fraude.

Conéctate con Kevin en LinkedIn
Conéctese con Arkose Labs en Twitter

 Descargue una Transcripción en PDF del episodio 408 – Kevin Gosschalk o Léalo a continuación

PODCAST UNO A UNO DE FINTECH NÚM. 408-KEVIN GOSSCHALK

Bienvenido al Podcast Fintech One-on-One. Este es Peter Renton, presidente y cofundador de Fintech Nexus.

He estado haciendo estos programas desde 2013, lo que lo convierte en el programa de entrevistas uno a uno de más larga duración en toda la tecnología financiera. Gracias por acompañarme en este viaje. Si te gusta este podcast, deberías ver nuestros programas hermanos, PitchIt, Fintech Startups Podcast con Todd Anderson y Fintech Coffee Break con Isabelle Castro o puedes escuchar todo lo que producimos suscribiéndote al canal de podcast Fintech Nexus.  

(musica)

Antes de comenzar, quiero hablar sobre nuestro evento boutique de reuniones, Dealmakers East, que tendrá lugar en el Ritz Carlton South Beach los días 7 y 8 de febrero. Dealmakers East tiene que ver con las reuniones, no hay conferencias magistrales, ni paneles, está 100% enfocado en reuniones seleccionadas a mano, ya sea que esté buscando conocer a directores ejecutivos de fintech, banqueros o inversores, lo tenemos cubierto. Nuestros eventos Dealmakers siempre han sido nuestros eventos mejor calificados, así que visite fintechnexus.com para obtener más información e inscribirse.

Peter Renton: Hoy en el programa, estamos hablando de la lucha contra el fraude. Estoy encantado de dar la bienvenida al CEO y fundador de Arkose Labs, Kevin Gosschalk, al programa y vamos a hablar sobre las diferentes formas en que los estafadores operan hoy, cómo están evolucionando, cómo se están volviendo más inteligentes y este nuevo concepto de Cybercrime-as-a-Service y cómo eso ha cambiado el juego y lo que significa para las fintechs. Entonces, hablamos sobre los diferentes tipos de fraude que estamos viendo, cómo las fintechs deberían abordarlo y hablamos sobre algunas de las formas en que Arkose Labs puede combatir a algunos de los estafadores. Hablamos de la fricción entre una buena experiencia de usuario y medidas sólidas contra el fraude, también hablamos de cómo será en el futuro, de dónde puede provenir la próxima ola de ataques. Fue una discusión fascinante; Espero que disfrutes el espectáculo.

¡Bienvenido al podcast, Kevin!

Kevin Goschalk: Gracias, Peter, bueno estar en.

Peter: Genial tenerte. Entonces, comencemos con brindarles a los oyentes un poco de información sobre usted, sé que, como yo, usted es de la tierra de Down Under, así que ¿por qué no nos cuenta un poco de su historia y qué lo trajo inicialmente a esto? país.

Kevin: Entonces, soy una especie de ingeniero de oficio, un jugador bastante fuerte también, ahí es donde comencé mi vida jugando videojuegos y amando la tecnología. De hecho, estudié en la Universidad Tecnológica de Queensland en Brisbane, Australia, estudié la Licenciatura en Juegos y Medios Interactivos como un campo muy izquierdo considerando que ahora dirijo una empresa de seguridad, pero sí, hay algunas cosas que hice que fueron muy diferente de los juegos, diría yo. 

Entonces, lo primero que hice fuera de la universidad fue ayudar en un estudio de investigación que buscaba marcadores tempranos en la diabetes, de todas las cosas, así que en realidad ayudé a desarrollar tecnología que les permitiría mapear los nervios en el ojo y resultó con un aumento de 500 veces. que es un aumento bastante grande, diría yo. Los nervios en realidad son muy buenos indicadores de si un paciente tiene diabetes o no. Entonces, si tiene un sistema nervioso saludable, no tiene diabetes, los nervios giran juntos, como si fuera muy distinto, es muy obvio, puede verlo limpio y claro como el día. Para alguien que tiene diabetes, se rompieron, en realidad no convergen como un torbellino. Entonces, solo mirar el ojo puede realmente decir la diferencia entre alguien con diabetes o sin ella y esa técnica funciona dos años antes que los pinchazos de sangre tradicionales y otras técnicas que usan. 

Entonces, ese estudio estaba buscando marcadores tempranos para la diabetes y estaban tratando de averiguar cómo construimos software o alguna forma de mapear esto porque el problema de poner una cámara en el ojo de alguien, necesita tomar fotos como una porción muy grande del ojo antes de poder construir un mapa. Y la gente estaba muy nerviosa con los ojos y si alguien mueve los ojos con un aumento de 500 veces en algún otro lugar del universo, básicamente. Entonces, construí una técnica utilizando una especie de tecnología de juego y un software interactivo que nos permitía mapear los ojos y luego escribí un software que les permitía unir automáticamente la fotografía, así que usamos un software de visión por computadora y aprendizaje automático que hizo eso. Entonces, lo hice durante aproximadamente dos años, así que construí la técnica pionera en la que realizaron un ensayo clínico de siete años y ahora usan ese software en el Reino Unido para ayudar a diagnosticar a las personas. Esa fue una especie de pequeña contribución a la salud. 

Después de eso y de hecho en secuencia a eso, estaba trabajando en un proyecto de becas con la Fundación Endeavor, que es una gran organización sin fines de lucro en Australia para personas con discapacidades intelectuales. Querían conseguir algo que despertara y activase a la gente. Así que, de nuevo, como que volví a mis raíces de jugador y lo combiné con medios interactivos, como medios tangibles, cosas como palancas y engranajes, y cosas que puedes jalar para que algo suceda. De alguna manera construí este sistema prototipo, obtuve una beca de $ 5,000 que me dio algo de dinero para comprar algunas cosas de una ferretería y la tienda electrónica y cosas que tipo de jurado arreglan algo juntos. Construimos este tipo de piso interactivo de 2 x 3 metros para que fuera como un iPad gigante en el suelo. 

La forma en que lo hice funcionar realmente es que tengo un montón de sensores que colocas debajo de tu tapete para que cuando pises el tapete active la alarma de la casa, esto fue antes de que las cámaras y esas cosas fueran una cosa y obtuve 60 de esos, Los conecté en una matriz y donde sea que pises, básicamente actuaría como un botón gigante, así que sabría que estás pisando esta superficie gigante de 2 x 3 metros y pondría un proyector sobre eso y luego puedo proyectar como un juego. tipo de experiencia como caminar a través de un charco, una piscina o un teclado gigante. Comercializamos esto con la ayuda del gobierno australiano en realidad como una subvención de comercialización de investigación, lo han renombrado varias veces, según el gobierno que esté en el poder, es Aceleración de la comercialización o Comercialización de Australia o algo así, no lo sé. , siguieron renombrándolo. 

Pero efectivamente financia la investigación innovadora en el nuevo tipo de tecnologías, y terminamos comercializándola, trabajamos en asociación con Microsoft y fuimos los primeros terceros en usar tecnología de PC para Microsoft Connect, que es como un sensor de profundidad para determinar qué tan lejos o qué tan cerca estabas de un objeto. Entonces, tengo mucha experiencia como investigación de visión por computadora y cosas así y, en última instancia, obtuvimos la licencia de uno de los proveedores de educación más grandes en APAC y en realidad ahora todavía tienen esa tecnología que, ya sabes, terminamos girando. un poco en esa educación temprana porque era una tecnología realmente atractiva y puede hacer actividades de aprendizaje y otras cosas con ella. 

Entonces, tengo mucha experiencia en qué máquinas son buenas para reconocer y comprender y luego cambiar eso al campo inverso, que es la web de seguridad. Ahora estamos tratando de evitar que los bots ingresen a servicios y sitios web y creen cuentas y comprometan cuentas y tomamos el conocimiento de crear ese tipo de software para luego comprender cómo alimentar ese tipo de software y así evitar que esas fuentes comprendan y reconozcan y superar las cosas. Esa es la idea pionera detrás de Arkose, que hemos tenido un éxito increíble y lo seguimos siendo hoy con nuestro tipo de enfoque allí. Sabes, el objetivo clave del producto Arkose es básicamente hacer que el costo para los adversarios sea mayor que sus ganancias, resulta que si haces eso, se detienen, así que ese es un concepto bastante simple, ¿verdad? 

Sí, ese es el tipo de enfoque que tomamos para el tipo de producto que construimos y, como australiano, ¿quién mejor para dirigir una empresa de seguridad, todos somos convictos de nacimiento? (ambos se ríen) ¿Quién mejor para explicar la mente criminal, verdad? Me mudé a los EE. UU. hace unos cinco años y eso fue realmente porque todas las empresas con las que trabajábamos, ya sabes, algunos de nuestros primeros clientes eran empresas como GitHub y Dropbox, ya sabes, Roblox fue uno de los primeros clientes, todos muy grandes en EE. UU. negocios con productos globales y son los más lucrativos para los atacantes. Realmente quieren ir tras grandes bases de usuarios y cosas por el estilo, así que, ya sabes, somos realmente un buen socio, una buena opción para esas empresas. Iba en un avión todos los meses………

Peter: Oh Dios mío.

Kevin: ………moviéndose de un lado a otro entre Australia y los Estados Unidos. En cierto punto, era bastante obvio que no tenía que hacer eso nunca más.

Peter: (Risas) Correcto. Sí, de hecho, está bien. Entonces, tal vez, demos un estado del juego para lidiar con los estafadores. Quiero decir, ¿cuáles son los mayores desafíos hoy en día cuando se trata de ataques de fraude, particularmente si se miran a través de una lente fintech?

Kevin: Entonces, vimos un cambio realmente grande en la dinámica, diría que en los últimos 12 meses, que ahora realmente favorece a los delincuentes, desafortunadamente. Creo que está empeorando y creo que va a ser muy difícil en los próximos años. Entonces, los casos de uso que protege una operación y el tipo de nuestra perspectiva, así que trabajamos con algunas de las fintech más grandes del mundo, obviamente las más grandes de los EE. UU., también trabajamos con muchas no fintech, el video comerciantes de juegos, trabajamos con las grandes compañías tecnológicas como Microsoft, trabajamos con grandes plataformas de viajes, los grandes minoristas, así que realmente lo vemos todo. 

Para una fintech, el objetivo, por supuesto, es el dinero porque eso es lo que tienen las fintech, realmente hay dos áreas que protegemos que serían relevantes, crear nuevas cuentas, por lo que es algo que abusa de la experiencia de su nueva cuenta, abrir tarjetas, tomar Aproveche las promociones en las que está financiando, tal vez unos pocos dólares en una nueva cuenta, lo que sea, por lo que obviamente es un área importante. Luego, el otro importante es la apropiación de cuentas, por lo que esa es una de las áreas, la apropiación de cuentas tiene dos tipos de ataques, uno es el relleno de credenciales donde están reutilizando nombres de usuario y contraseñas porque, desafortunadamente, eso es lo que probablemente haga, y todo eso. los oyentes, desafortunadamente, probablemente lo hagan… idealmente no deberían hacer eso. El otro componente es la ingeniería social, ahí es donde los estafadores hablan o envían algo, hacen que alguien haga clic en un enlace, sea lo que sea, y comprometen la cuenta de esa manera. 

En el contexto de fintech, las cuentas comprometidas pueden convertirse en dinero, ¿verdad? Entonces quieren comprometer una cuenta que tiene fondos, o pueden convertirse en fraudes de microdepósitos en los que financian cuentas o crean cuentas cuyo objetivo es básicamente hacer que la gente deposite unos centavos en su cuenta bancaria real para verificar que eres el dueño de esa cuenta bancaria, ya sabes, depositar unos centavos y lo hacen cientos de miles de veces y ganan unos miles de dólares al día haciendo este tipo de ataques. 

Entonces, hay diferentes tipos de técnicas de ataque y, de nuevo, por supuesto, todo es con fines de lucro, por lo que los adversarios están tratando de averiguar cómo escalar estos ataques, cómo hago estos ataques de una manera que sea más barata que mi costo. . Las tarjetas de crédito, por ejemplo, puede omitir por completo KYC simplemente comprando una identidad válida, pasará KYC si tiene una identidad válida, ya sabe, entre $ 7 y $ 17 puede omitir por completo KYC. Bueno, no lo pases por alto, lo estás pasando correctamente, tienes una identificación válida como en realidad, ya sabes, el trabajo de KYC es validar si la identificación es legítima, es legítimo, desafortunadamente, eso funciona, pero podrían poder ganar $ 500 al pasar un proceso KYC, por lo que la barrera de entrada para evitar este tipo de delincuentes debe ser bastante alta. Y lo que realmente es el favorito de los delincuentes es compartir nodos, por lo que hay muchas comunidades como Telegram, Discord, etc. donde los delincuentes comparten conocimientos sobre cómo realizar estos ataques, quiénes son objetivos débiles, cuáles son las buenas técnicas, estoy siendo bloqueado por esto, ¿qué debo hacer? Y están más que felices de compartir ese tipo de información. 

El otro problema es un gran aumento de lo que se denomina ciberdelincuencia como servicio, por lo que estos son tipos de kits que están listos para usar, que pueden eludir las defensas, que pueden clonar sitios proxy, básicamente hacen todo por el estafador. el estafador mismo no tiene que hacer mucho más que decir, aquí está mi víctima a la que persigo, aquí está mi cuenta bancaria, vaya a llenarla, compraré el software y hay desarrolladores que básicamente construyen ese software. Y este es un gran problema porque la dinámica de costos es bastante diferente cuando un grupo de personas juntan su dinero para una fuente de desarrollo, en comparación con un estafador que ataca y trata de averiguarlo por sí mismo. Creo que realmente cambió el equilibrio dramáticamente, a favor del adversario.

Peter: ¿Quién es el comprador de esto como, ya sabes, Hacking-as-a-Service, son estos solo, porque me imagino que las grandes operaciones tienen las suyas propias, pero estas? ¿Hay alguien que busca convertirse en un delincuente o ya es un delincuente y está buscando expandir su negocio, es decir, quién lo compra?

Kevin: Sí. Este tipo de servicios son demostrativamente mejores que cualquiera de estos otros que los precedieron, incluso los grandes instaladores ahora usan los servicios en lugar de mantener su propio software.

Peter: Interesante.

Kevin: Es algo así como SaaS impactó en el mundo real, es algo similar en el mundo del cibercrimen, es como oye, estoy construyendo cosas internamente y mi costo es este, mi efectividad es esta. Si lo subcontrato, mi costo disminuye, la efectividad aumenta, ¿por qué no lo haría? Eso es algo de lo que estamos empezando a ver hasta el punto en que, ya sabes, solíamos ver adversarios dedicados cliente por cliente. Hace dos años, hace tres años, hace cuatro años, eso era más o menos lo que era, mientras que ahora, principalmente tenemos que vencer a las plataformas de ciberdelincuencia como servicio.

Peter: Entonces, es por eso que dijo que está empeorando, ¿verdad? El hecho de que estos delitos cibernéticos como servicio son más efectivos en general.

Kevin: Son más efectivos y las comunidades son más grandes y las comunidades son buenas para compartir cómo usar los servicios, ese es el tipo de pegamento que también lo mantiene unido. Hay una cantidad increíble de conocimiento compartido por parte de los estafadores que, desafortunadamente, no hacemos en nuestra industria y eso es una gran desventaja para las personas que intentan prevenir a los delincuentes.

Peter: Bueno. Entonces, la pregunta, obviamente, lo ha preparado, pero ¿cómo se detiene este delito cibernético como servicio?

Kevin: Sí. Quiero decir, esa pregunta es lo que todos están tratando de resolver, correcto, porque creo que si estás tratando de construir defensas internamente, vas a retrasar muy rápidamente la rapidez con la que se adaptan, como si se adaptaran en cuestión de horas. como que pueden reconstruir herramientas de ataque de defensa en horas, así de rápidos son, son muy emprendedores, están felices de trabajar muchas horas, muchos días. Los vemos tomarse los fines de semana libres, en realidad es un poco divertido en Navidad, vimos una gran cantidad de ataques, ya sabes, un cliente que estaban tratando de aprovechar, como 70 millones de cuentas es lo que estaban tratando de crear, estos son grandes números, ¿verdad?

Peter: ¡Wow!

Kevin: Solo este fin de semana, dejaron de atacar durante dos días y esta es una caída masiva en los intentos, es interesante ver eso porque los ataques no tienen éxito, pero continuamente intentan cosas diferentes y seguimos viendo como... porque usamos sus servicios, les compramos, cierto, compramos estos servicios para ver su efectividad y los usamos para descubrir cómo mitigarlos y cosas así, en realidad es algo fascinante, nuestros esfuerzos de investigación en este tipo de cosas. Por lo tanto, siempre estamos monitoreando para ver cómo se quejan de que su enfoque contra Arkose funciona o no funciona. No estamos viendo mucho de eso de las otras compañías y sitios a los que se oponen, así que solo puedo imaginar que la efectividad es realmente bastante alta como estándar. 

Entonces, creo que realmente va a volver a lo básico, que es que tienes que construir algo que inherentemente sea más costoso de atacar que para que un estafador se beneficie. Eso puede ser un montón de cosas, no es solo usar un Arkose, puede construir el producto de una manera que es naturalmente difícil para un estafador ganar dinero, retener reembolsos si es como el comercio electrónico. En el contexto de fintech, retenga las aprobaciones en ciertos escenarios hasta que lo investigue más porque todo eso disminuye su motivación y sus márgenes de ganancia, así que ese es realmente el nombre del juego, es como ¿cómo construyes algo que inherentemente como un producto no es bueno para un estafador. Desafortunadamente, debido a la naturaleza de cómo a fintech le gusta crecer, a todos les gusta crecer muy rápido, están incentivados a regalar una gran cantidad de dinero por créditos promocionales similares, ya sabes, comienza y obtén "x" dólares, eso es como, como puedes imaginar, bastante atractivo para los delincuentes.

Peter: Poner estos obstáculos en su lugar para los delincuentes también puede generar una experiencia de usuario deficiente, por lo que puede agregar fricción y tener un fraude muy bajo o puede tener ninguna fricción y un fraude mayor, ¿cómo equilibra eso? ¿Cuáles son algunas de las cosas que ve y las mejores prácticas con fintechs?

Kevin: ¡Esa es una afirmación verdadera! Si desactivas el registro, no tendrás fraude, ¡es genial! (Peter se ríe) Tampoco recibe quejas de los clientes, ese es otro buen beneficio. Por lo general, tiene algunos problemas de ingresos en ese caso, pero todo tiene que estar basado en el riesgo, tiene que hacer todo en un modelo basado en el riesgo, ese ha sido nuestro enfoque desde el principio. Es de bajo riesgo, simplemente lo dejas entrar, como si se ve bien, parece bueno, ya sabes, probablemente deberías arriesgarte porque de lo contrario no vas a tener tanto negocio, ¿verdad? Pero luego tiene para escalar y sus defensas también tienen que escalar. 

Cuanto más, seguro de que es algo malo como, por ejemplo, normalmente puede ver una tonelada de fraude de una región del mundo, tal vez como EE. UU. ve poco fraude, pero tal vez de Vietnam está viendo un alto grado de fraude, por lo que simplemente puede tener diferentes conjuntos de reglas para esas dos regiones, correcto, tal vez en los EE. UU. sea un poco más indulgente, mientras que en Vietnam en el momento en que ve algo que es un poco extraño, lo golpea hasta como la próxima marcha, a la derecha. O, si ves un gran volumen de cosas realmente malas, en una región de riesgo ya conocida, lo pones súper alto, como tal vez una revisión manual del tipo de nivel de fricción, ¿verdad?

Peter: ¿No estarían usando VPN para enmascarar su ubicación?

Kevin: Ellas hacen. Hay formas de detectar ese tipo de cosas, por ejemplo, la coincidencia de la zona horaria es algo que encontramos muy interesante, por lo que, por lo general, la VPN y la zona horaria de las coordenadas geográficas, la dirección IP es diferente de la zona horaria del dispositivo. eso es usarlo.

Peter: Derecha.

Kevin: Esas cosas se pueden enmascarar. Creo que con ataques sofisticados, como ataques automatizados y cosas por el estilo, eso generalmente está enmascarado, pero con una especie de fraude manual de menor volumen donde es como si una persona lo estuviera haciendo, podrá detectar algunos de esos tipos de cosas porque no suelen ser tan sofisticados. Si están usando su propio teléfono, no pueden cambiar fácilmente la zona horaria y, ya sabes, difiere según el tipo de fraude, pero tienes razón. Quiero decir, en última instancia, cualquier dato que le envíe el cliente puede ser falsificado si así lo desean.

Peter: Bueno. Entonces, solo quiero hablar sobre el relleno de credenciales, que es un término relativamente nuevo para mí y el hecho de que, ya sabes, tienes esto... Creo que tienes una garantía en tu sitio web.

Kevin: una garantía

Peter: Sí, sí. Una garantía de alrededor de un millón de dólares de Credential Stuffing, así que díganos, ¿qué es Credential Stuffing y cuál es su garantía y cómo puede proporcionarla?

Kevin: Sí. Entonces, el relleno de credenciales es... debido al hecho de que las personas reutilizan contraseñas en múltiples productos, aplicaciones, sitios web, esto no es un secreto. Sabemos que la gente lo hace, los datos están ahí fuera, es muy desafortunado, pero es más o menos lo que es. Una vez que un sitio web se ve comprometido, lo que, como todos sabemos, sucede con bastante frecuencia, se han filtrado más de 11 mil millones de nombres de usuario y contraseñas a través de compromisos, por lo que es solo esta cantidad ridícula de combinaciones que son bastante conocidas, lo que hacen los atacantes es toman esos nombres de usuario y contraseñas previamente filtrados y luego van a cualquier página de inicio de sesión de alto valor donde quieren ingresar a las cuentas porque hay algo de valor. 

Obviamente, las fintech tienen mucho valor en las cuentas, usan software automatizado, por lo que usan un bot, hay herramientas que hacen esto, hay una herramienta llamada Openwall, es una pieza de software de código abierto y automáticamente hará estos ataques por usted. . Solo pones algunos nombres y contraseñas y hará los ataques, pero básicamente prueba la combinación, por lo que está buscando combinaciones válidas, por lo que continuamente ingresa esos nombres de usuario y contraseñas y está metiendo las credenciales en la página de inicio de sesión, por así decirlo. No quiere eso porque eventualmente encontrarán combinaciones que son válidas y entrarán en la cuenta, por lo que hay una serie de estrategias para mitigar eso. 

El multifactor es muy común en la industria fintech, por lo que la razón por la que tiene que hacer multifactor es por el relleno de credenciales, de lo contrario, no tendría que hacer multifactor que hizo que ese tipo de requisito sea realmente importante. solo porque es tan fácil romper nombres de usuario y contraseñas hoy en día. No todas las fintech lo exigen porque es realmente una gran fricción, multifactor es un gran esfuerzo para habilitar, es un gran esfuerzo para hacer cada vez que inicia sesión. Y también está más diseñado para prevenir la ingeniería social y hay mejores defensas para detener el relleno de credenciales que son menos fricciones, obviamente Arkose Lab es uno, pero también hay muchos otros. Ese tipo de la suma de relleno de credenciales. 

En términos de la garantía y por qué ofrecemos eso, en nuestro espacio, ya sabes, detener los ataques a, ya sabes, inicios de sesión, registros y cosas así, realmente cuando trabajas con un proveedor es un gran esfuerzo. , realmente no sabe si podrá detener el ataque, realmente no sabe por cuánto tiempo funcionará, por ejemplo, un atacante podría crear un conjunto de herramientas que hace que sus proveedores no funcionen después de seis meses, como simplemente pasará por alto al proveedor. Solo tienes que ser realmente bueno para parecer lo suficientemente humano para que básicamente diga que pueden dejarlos entrar. Entonces, esa es una carrera armamentista que, desafortunadamente, tiene ese tipo de consecuencias si no tienes las herramientas adecuadas, que en realidad van a superarlo por completo. 

Tenemos la convicción y la confianza, nuestro enfoque, herramientas, tecnología y nuestro equipo del centro de operaciones de seguridad que revisa las cosas para prevenir cualquier ataque como este, punto. Y hemos sido capaces de mantener eso durante muchos años. Básicamente, lo que decidimos fue destacarnos en una industria en la que nadie iba a respaldar o certificar que su producto funcionaría, vamos a salir al mercado con una garantía. Esa garantía establece efectivamente que si el producto Arkose en algún momento no puede evitar este tipo de ataques, no solo cubriremos hasta un millón de dólares en pérdidas si algo se nos escapa, sino que en realidad es una oportunidad para el cliente. para reevaluar ¿queremos seguir trabajando con Arkose? 

No hay otro proveedor en esta industria que tenga una cláusula como esa en su contrato, simplemente no existen, y hemos tenido esta garantía en nuestro mercado durante casi un año y nadie se ha sentado a la mesa con nada incluso cerca de él dentro de nuestro espacio y eso realmente debería hacer que las empresas piensen en a quiénes eligen como socios. Creo que elige a un compañero que esté contigo para ganar o elige a alguien que se esfuerce al máximo porque eso es realmente lo que está en juego en este momento en el espacio en el que estamos. De hecho, estoy un poco decepcionado de que no estemos viendo a nadie. de lo contrario lanzar algo como esto en nuestro espacio.

Peter: Bueno. Bueno, quiero hablar sobre CAPTCHA, eso existe desde hace mucho tiempo y me molesta cuando tengo que hacer coincidir los semáforos o el puente o lo que sea y es un poco molesto y se te ocurrió un sistema mejor. . Cuéntanos sobre Arkose MatchKey y por qué es mejor que CAPTCHA.

Kevin: Sí. Permítanme primero describir CAPTCHA. Entonces, CAPTCHA es una prueba de Turing pública completamente automatizada para diferenciar a las computadoras de los humanos, eso es lo que significa. Entonces, la intención es, digamos, una prueba automatizada para que un bot cree la prueba y la prueba esté destinada a poder validar si usted es un ser humano o un bot. Así que es una máquina que valida tu autenticidad. Es una especie de concepto extraño, pero esa es efectivamente la intención de lo que debe ser un CAPTCHA. 

Ahora, la efectividad del CAPTCHA en sí depende de una serie de variables, qué tan bien una máquina realiza las actividades que se le pide que haga, cosas como etiquetar fotos. Solo que la IA se ha vuelto tan buena en eso ahora que eso realmente ya no funciona como una forma de probar si es una máquina o un ser humano porque las máquinas son mejores para etiquetar datos que las personas en la mayoría de los casos, siempre y cuando tengan un gran suficiente inventario de ejemplos para trabajar a partir de los cuales, obviamente, en este momento en Internet, lo hacen absolutamente. Entonces, este tipo de herramientas como seleccionar el letrero de la calle, como que la tecnología es bastante anticuada, como si tuviera seis o siete años ahora. Si esa es su defensa principal, eso ya no funciona. Si un atacante quiere pasar, hay muchas maneras de automatizar más allá de eso, las máquinas lo descubrirán a lo largo de los años. 

Realmente, para ser efectivo en el juego de pruebas para automatización con una prueba, tienes que construir algo que inherentemente las máquinas no son buenas para hacer y no tiene ningún valor en que lo hagan bien porque si lo hay, obviamente, eventualmente la IA se pone al día. y la herramienta ya no funcionará. Entonces, la estrategia que implementamos desde el punto de vista del desafío es solo eso, construyamos algo que inherentemente solo está diseñado como una prueba de seguridad y simplemente está diseñado para ser, en ese momento, mejor que lo que el software comercial puede reconocer desde una computadora. punto de vista de la visión que es una especie de problema técnico y complejo, pero algo importante para construir un buen software en este espacio. Y el reto, lo usaremos solo en tráfico riesgoso o tráfico claramente abusivo, no quieres usar fricciones así en buenos usuarios, obviamente, como dijiste, molestos y engorrosos, todo ese tipo de cosas. 

Sin embargo, la alternativa es que si no tienes a alguien como CAPTCHA que está bloqueando el tráfico, dime qué es peor, que te bloqueen por completo para que no te registres o resuelvas un pequeño rompecabezas. Ahí es donde estamos en este momento desde la defensa contra la automatización, realmente no ha cambiado, pero los acertijos en sí mismos han empeorado con el tiempo porque las máquinas han mejorado. Ves cosas como chatGPT como si la IA estuviera haciendo cosas fantásticas ahora, como si ya no pudieras confiar en estas defensas más antiguas, así que construimos esta nueva. Lo que hace es usar dos modelos 3D y generamos una pregunta y luego generamos un rompecabezas visual dinámicamente y el objetivo, nuevamente, es construir algo que sea realmente costoso para los adversarios para escribir software que pueda reconocer cómo superarlo. 

Esta nueva tecnología MatchKey, está haciendo coincidir una imagen clave, una denominación muy creativa, es probablemente la mejor que hemos diseñado y mucho mejor que cualquier cosa que hayamos visto antes en la historia de CAPTCHA en Internet, hasta ahora. , hasta la fecha en que realmente sobresale en el lado de la usabilidad, por lo que ha tomado nuestro conocimiento durante los últimos siete años de construir defensa en el espacio en torno a qué tipo de problemas son realmente costosos y difíciles para los adversarios versus no lo que es difícil para la IA porque eso La pregunta ha cambiado casi mensualmente en los últimos 12 meses, correcto, y use ese conocimiento para construir esta nueva tecnología. 

Realmente es un reinicio para los adversarios que apuntan a Arkose porque es solo este enfoque de cambio de juego completo en el que tienen que pensar en cómo atacarnos con el que no tienen que lidiar. Es básicamente como un nuevo cambio de categoría en este espacio con una empresa que ha estado haciendo esto durante siete años, lo cual es bastante inusual, es raro ver a los titulares obtener el tipo de experiencia, construimos algo que es un cambio de paradigma en el espacio de seguridad. 

Es una gran ventaja para nuestros clientes tener ese tipo de actualización completa, diría, como defensa, algo así como lo que podría ser si trae nuevas herramientas, funcionará muy bien cuando lo traiga por primera vez porque nadie sabe cómo lidiar con eso. Y así es como tienes que pensar en el espacio de la seguridad como si tuvieras que innovar continuamente y construir nueva tecnología como esta, de lo contrario, tu plataforma se cansa y los atacantes descubren cómo atravesarla y luego, ya sabes, regresas a los mejores esfuerzos y simplemente no son lo suficientemente buenos si los atacantes saben cómo atravesar las cosas.

Peter: Derecho. Por lo tanto, me imagino que eventualmente esta gente de Ciberdelincuencia como servicio encontrará una manera, la implementarán en su próxima versión de su software. Entonces, obviamente, debes estar pensando en lo siguiente, ¿verdad?

Kevin: Es una carrera armamentista, eso es correcto, y el objetivo es simplemente hacer que sus negocios no valgan la pena. Entonces, ya sabes, cuando implementamos este tipo de defensa, porque estamos en sus comunidades, estamos leyendo lo que dicen sus usuarios, estamos leyendo sus reseñas. Las reseñas se vuelven increíblemente negativas cuando su servicio deja de funcionar y cuando las reseñas se vuelven negativas, dejan de usar el servicio y luego pasan a un nuevo servicio y luego algo que simplemente desaparece. 

Lo hemos visto una y otra vez, puedo decirles que hemos aplastado muchas empresas criminales y tenemos una larga lista de todas las que hemos tratado y todas las que hemos demolido a lo largo de los años, desde ser parte de sus comunidades hasta simplemente hacer nuestro trabajo día a día. Realmente, el objetivo es simplemente llegar al punto en que su producto sea tan poco confiable e inutilizable que la comunidad deje de comprarles y luego, de repente, vaya a otra persona y luego, ya sabes, se repite. Entonces, estamos en el negocio de matar negocios criminales que se sienten como, eso es lo que hace el equipo.

Peter: Entonces, ¿cuál es el ciclo de vida de algo como MatchKey? ¿Estás viendo esto como si fuera a durar un año, dos años y qué piensas al respecto?

Kevin: Sí. Lo genial de cómo construimos la tecnología es que está diseñada para ser dinámica. Entonces, es una plataforma, no es solo un solo desafío, por lo que puedes hacer muchas cosas con ese formato de desafío, por lo que el formato está diseñado para durar bastante tiempo y los rompecabezas que aún no hemos pensado encajarán en ese formato existente. . Esa es realmente la gran innovación con la forma en que construimos desafíos en Arkose, es tan dinámico y sin siquiera necesitar resultados de ingeniería, podemos cambiarlo por completo, la cuestión de plantear el tipo de contexto, todo y eso nos permite, ya sabes, nosotros tener artistas 3D y cosas así que están construyendo defensas. 

Es muy extraño, es muy raro que seamos una empresa de diseño que se dedica a la seguridad, pero realmente nos permite innovar con bastante rapidez construyendo nuevas defensas y cosas por el estilo y ni siquiera conocemos los límites de esa tecnología todavía porque innovamos basado en lo que hacen los atacantes y aprendemos cuando los atacantes nos persiguen, y ese es realmente el tipo de juego que jugamos. Es realmente difícil pensar en lo que deberíamos construir a continuación hasta que veamos qué intentan hacer los atacantes, así que eso es realmente una parte importante de esto. 

No podría entrar en este panorama e intentar construir una solución completamente ecológica sin experiencia porque no funcionaría muy bien, como si eso fuera lo fascinante del espacio en el que estamos, como la experiencia que hemos construido. en lo que hemos aprendido realmente es lo que nos permite construir, pensar e innovar mejor que todos los demás que están tratando de hacer algunas de las cosas.

Peter: Derecho. Entonces, cuando miras hacia el futuro, sabes, dijiste que estás en estos foros de Discord y qué, todos comparten información, como cómo te estás preparando para los ataques que van a ocurrir en 2024, ¿cómo ayuda a sus clientes a prepararse para la próxima ola?

Kevin: Sí. La estrategia que tenemos, que es consistente, y realmente es cómo hacemos las cosas nuevamente, se trata de aumentar el costo y el esfuerzo del adversario. Por lo tanto, estamos creando una nueva tecnología que nos permite obtener puntos de datos adicionales, diferentes señales, cosas que son realmente costosas para los estafadores y que nos permiten continuar elevando esa barra de costos, como si fuera un proceso muy importante, eso es lo que realmente todos nosotros puede hacer. Todo lo que realmente puede hacer es, en última instancia, hacer que no valga la pena, si lo hace, se detendrán y también lo hemos visto muchas veces, pero ese es el propósito clave desde el punto de vista de la hoja de ruta del producto. 

Ya sabe, lanzamos esta nueva tecnología MatchKey el mes pasado, tenemos un nuevo producto que lanzaremos a principios del primer trimestre en torno a diferentes tipos de fuentes de reputación a partir de los datos que analizamos, lanzamos una nueva defensa contra el phishing el año pasado que nos permite buscar en los sitios que están configurados para representar su sitio, así que evite los factores múltiples y todo este tipo de cosas. 

Entonces, siempre estamos mirando cuáles son las nuevas técnicas que están haciendo los adversarios, tratando de reducir el costo de su lado para aumentar su margen de ganancias, cómo hacer lo contrario, cómo restablecemos ese saldo en el ¿A favor de la fintech o del comerciante o de quienquiera que estemos trabajando para, en última instancia, hacer que su servicio esté más protegido? El otro componente es que trabajamos muy de cerca con los clientes, no se trata solo de "aquí está la tecnología, buena suerte..." Tenemos un equipo de servicio administrado que se adapta, revisa y ajusta constantemente las cosas según sea necesario, pero también proporciona información y trabaja con el cliente. en eso. 

Ya sabes, si estás lanzando una promoción y resulta que es tan lucrativa que realmente no puedes defenderla, porque básicamente están dispuestos a hacer lo que sea necesario para superarla, es posible que desees re- piense en cómo está estructurada la promoción y cosas por el estilo también, así que incluso alguna orientación sobre, ya sabes, ese tipo de cosas con las que ayudamos a nuestros clientes porque realmente no es algo en lo que la gente piense cuando piensa en hacer crecer un negocio. Realmente no piensan en lo que alguien va a hacer para abusar de ellos y aprovecharse de ellos, lo cual, desafortunadamente, es mucha gente que busca hacer precisamente eso.

Peter: Bien bien. Bueno, tendremos que dejarlo ahí, Kevin, muy interesante. Quiero decir, esta industria en la que estás luchando contra los estafadores no crees que vaya a desaparecer nunca, habrá malos actores dentro de 50 años tratando de atravesar el sistema de seguridad, así que es un gran trabajo el que estás haciendo. Gracias de nuevo por venir al programa.

Kevin: Genial, gracias, Peter, por recibirme.

Peter: Si te gusta el programa, continúa y dale una reseña en la plataforma de podcasts de tu elección y asegúrate de contárselo a tus amigos y colegas.

De todos modos, en esa nota, cerraré la sesión. Te agradezco mucho que me escuches y te veré la próxima vez. Adiós.

(musica)

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
• Fuente: https://news.fintechnexus.com/podcast-408-kevin-gosschalk-of-arkose-labs/