Crece el fraude en compras 'online': ¿puede este físico leonés acabar con el problema?

La "mente maravillosa" del matemático John Forbes Nash perfeccionó el armazón de la teoría de juegos. Desde los años cincuenta, sus aplicaciones han aparecido en infinidad de ámbitos, tan cercanos como la negociación salarial entre una empresa y su empleado, tan complejos como la biología evolutiva o el estudio de los oligopolios.

Aunque a día de hoy sigue empleándose para modelizar —en sentido general— el desenlace de una competición entre varias partes, la teoría de juegos clásica tiene sus limitaciones. Por ejemplo, que "recae en una asunción bastante fuerte, que los jugadores se conocen entre sí y conocen sus intenciones de forma perfecta, es lo que se llama la asunción del conocimiento común", explica a Teknautas Roi Naveiro, un físico teórico entre matemáticos.

TE PUEDE INTERESAR

El negocio cautivo de manuales de la UNED: un mercado de 20 M para catedráticos

Daniele Grasso Rafael Méndez

Naveiro, enrolado en el Instituto de Ciencias Matemáticas (ICMAT), investiga en herramientas de 'machine learning' (aprendizaje automático) que detecten y prevengan el fraude en pagos 'online', un delito que según los últimos datos de Europol supone ya el 66% de los realizados mediante transacciones con tarjeta de crédito.

Es decir, en dos de cada tres casos, la tarjeta ni siquiera está presente. La agencia policial europea ha definido este tipo concreto de fraude como una de sus prioridades en materia de cibercrimenes. Sin ir más lejos, el pasado viernes fueron detenidos dos ciudadanos españoles de origen indio: padre e hijo operaban una red paneuropea de fraude y lavado de dinero mediante comercio electrónico con la que se pulieron unos 60 millones de euros.

Volviendo a la teoría de juegos, el problema del cibercrimen es que, a priori, nadie conoce a los delincuentes ni sus intenciones por lo que las enseñanzas clásicas de Nash no sirven de mucho. Una nueva realidad necesita una nueva teoría, y ahí entra en juego el llamado Análisis de Riesgos Adversarios: "Esta teoría pretende deshacerse de la asunción de conocer a los otros jugadores", dice Naveiro, "nos aporta un mecanismo para predecir los intereses y las acciones de los adversarios y poder así tomar decisiones de una manera más inteligente".

Sus adversarios son los que tratan de sacar tajada en una compra 'online' mediante un robo de identidad o copiando una página web de comercio electrónico como Amazon o Alibaba, pero otros investigadores de su grupo se centran en terroristas más convencionales, convencidos de que las matemáticas aplicadas tienen las respuestas que la policía necesita para anticiparse a un atentado.

Pregunta. Explíqueme, pero muy despacio, cómo se pasa de escribir un algoritmo a detener estafadores 'online'.

Respuesta. En escenarios de ciberseguridad, esta asunción del conocimiento común nunca se cumple. Si alguien quiere 'hackear' algo, nunca conoces sus intereses o sus estimaciones acerca de la realidad o de cómo te vas a proteger. Por eso tienes que hacer una predicción. Yo trabajo en cómo modificar estos algoritmos de 'machines learning' cuando existen adversarios que intentan engañarlos.

El problema de los algoritmos actuales es que son estáticos y no prevén que alguien vaya a cambiar su comportamiento para evadir ese algoritmo y no ser detectado: en lugar de hacer una transacción de un millón, las hace más pequeñas.

P. Pero entonces el fraude tendría que ser recurrente, ¿qué ocurre si alguien planea dar un único gran golpe?

R. Lo que ocurre es que la gente tiene patrones, también a la hora de defraudar, y esos son los que captan los algoritmos. Son capaces de captar formas de comportamiento que se repiten en diferentes personas.

P. Así dicho, parece una tarea... increíblemente complicada de realizar.

R. Lo es, porque no solo hay aspectos de análisis de datos, también de psicología o de teoría de decisiones. En el equipo del DataLab tenemos físicos como yo, matemáticos, informáticos, economistas...

P. En el caso del fraude, al final pueden ustedes estudiar estos patrones porque las transacciones bancarias dejan rastro, pero el terrorismo opera más sigilosamente y a veces fuera de la red, ¿cómo se predice un ataque en estos casos?

R. No es exactamente mi área, pero hay gente en mi grupo que lo estudia, como David Ríos. Hasta donde yo sé, existe toda una teoría para obtener información de los expertos, que suele ser la más útil. Preguntas a los expertos y conviertes esa información en probabilidades y utilidades, es decir, intereses de los terroristas y estimaciones de cómo se van a comportar.

P. Hasta aquí suena bastante tradicional.

R. Lo que se hace es, a través del análisis de riesgos adversarios, influir en la toma de decisiones. Con los datos que sacamos obtenemos unas decisiones más óptimas que si hubieran sido tomadas al azar o basadas solamente en la experiencia.

P. Pero esas decisiones nunca apuntan a "según los datos analizados habrá un atentado en esta ciudad y este día", ¿no?

R. No, es más... al menos en nuestro caso, cuando tomamos decisiones de ciberseguridad, apuntamos a hasta qué nivel protegernos, cuánto invertir en cada una de las posibles defensas... cómo decidir esas inversiones, no gastar demasiado y sobreprotegernos o gastar demasiado poco y quedar expuestos.

Roi Naveiro, nacido en 1993, es el más joven de los cinco investigadores del ICMAT en organizar el congreso BYMAT, acrónimo en inglés de "Reuniendo a Jóvenes Matemáticos", que se celebra estos días en el centro. La conferencia, que cuenta con apoyo económico de la Fundación BBVA, ha atraído a Madrid a casi 200 jóvenes matemáticos de todo el mundo.