El uso de diferentes medios para aceptar pagos exige que cuentes con sistemas y canales seguros que transfieran a tus clientes la confianza de realizar negocios o compras contigo. Esto lo consigues teniendo una estrategia de negocios definida y seleccionando al proveedor de servicio correcto.
Tanto en el comercio electrónico como en el presencial, es crucial que se apliquen medidas de mitigación de riesgos, prevención, y seguridad que protejan a los usuarios, su dinero y sus datos financieros para evitar uno de los crímenes más comunes: el fraude.
Siendo el fraude un concepto bastante ambiguo lo podemos definir como el uso de engaños, hurto u otros medios para causar pérdidas a otra persona. Estos actos pueden ser cometidos por un individuo o un grupo cuyo fin es generar ganancias económicas injustas e ilegales.
Partiendo del concepto de fraude el proceso de definir un marco de mitigación de riesgos nos exige entender que el fraude puede venir de cualquier parte. El riesgo puede ser tanto interno como externo y estar siendo perpetrado por individuos conocidos al negocio como desconocidos.
Prevenir el fraude es el objetivo máximo en cualquier estrategia de negocio y entender las razones por las que se perpetra el fraude es el primer paso para prevenirlo. Existe una teoría del triángulo, creada por el criminólogo estadounidense Donald Cressey, que determina la potencialidad de que ocurra un fraude cuando existe la combinación de motivo, oportunidad y racionalización. El fraude no puede ocurrir cuando uno de los tres elementos no está presente.
Para realizar un fraude, el estafador debe contar con 3 elementos:
1. Motivo
es el elemento que causa que una persona reaccione o actúe ilícitamente. Puede implícitamente estar asociado a una emoción o deseo. Un motivo puede ser presiones financieras, avaricia o simplemente la satisfacción del hacer daño a otro.
2. Oportunidad
es la combinación de circunstancias que permiten que se cometa el fraude. Una oportunidad puede ser el acceso a los datos del tarjetahabiente, la falta de controles en la revisión de contracargos e incluso la falta de segregación de roles en el negocio
3. Racionalización
es la justificación de por qué el estafador comete el fraude a través del autoconvencimiento. Esto sucede cuando el individuo internaliza que el acto fraudulento no es malo o incorrecto, o que el fin justifica los medios.
En los tres elementos, la oportunidad es el área en la que puede sobresalir la prevención del fraude.
Eliminar o reducir la oportunidad de cometer fraude se da identificando las falencias en nuestra estrategia de negocio.
Mientras más oportunidades existan, más racionalización hay y este evento puede crecer al punto de generar pérdidas de miles o millones de dólares para las empresas. Por eso, es importante cerrar todas las vías posibles que un estafador pueda utilizar para cometer fraude.
Una forma de hacerlo es seleccionando el proveedor de servicios correcto al implementar los diferentes medios de pago en tu negocio. Parte de tu estrategia debe incluir la utilización de canales de pagos complementados con sistemas de monitoreo y prevención de fraude que faciliten identificar anomalías en el desempeño de tu negocio. Igualmente, debes tener procesos de control que permitan alertar sobre potenciales fraudes que se estén cometiendo en tu contra.
¿En qué punto son más vulnerables las empresas?
Las empresas suelen ser más vulnerables a partir del punto más débil de su cadena de operaciones. Como negocio debes conocer el entorno de tus sistemas, procesos y aquellos actores que interactúan con ellos.
Todos los puntos que interactúan en tu negocio deben adherirse a procesos que mitiguen eventos de fraude. Igualmente, el acceso a estos sistemas debe contar con controles que protejan la información que albergan y procesan. De esta forma te aseguras de que nadie pueda darles mal uso a los datos.
La carencia de conocimientos sobre los riesgos que potencialmente puedan amenazar tu negocio crea la oportunidad de que se cometa fraude. No implementar los controles y procedimientos necesarios puede generar pérdidas y afectar la reputación de tu empresa. Mientras te vuelvas más conocedor sobre las vulnerabilidades y potenciales riesgos que tiene tu negocio, podrás tomar medidas más asertivas para prevenir el fraude.
Al identificar los puntos más vulnerables de tu empresa, haz una lista de los servicios o productos que ofreces pensando en la totalidad de procesos que se realizan en tu negocio. Piensa en un comercio físico con presencia en el internet. Puede aceptar pagos en puntos de venta, posee caja registradora para pago en efectivo y a través de su página web permite que sus clientes hagan pagos utilizando tarjetas de crédito y débito. Este comercio tiene tres canales para aceptar pagos, sobre los cuales debe tener procesos y controles definidos que permitan prevenir el fraude en cada uno de ellos.
Entre los canales se debe identificar aquellos que tienen mayor riesgo, especialmente aquellos que permiten utilizar medios de pago como tarjetas de débito y crédito, y que permiten el procesamiento de estos sin que la tarjeta esté presente, como comercios en línea o transacciones manuales en puntos de ventas. Estos medios de pago requieren mayores controles y mejores mecanismos para autenticar la validez de la transacción, así protegiendo tu negocio de potenciales casos de fraude y contracargos que se traducen en pérdidas económicas.
¿Qué tipos de fraude en línea existen?
Existen innumerables esquemas de fraude utilizados por los estafadores en comercios en línea. Estaremos enfocados en aquellas modalidades más comunes y que han demostrado ser exitosas contra pequeños y grandes comercios en línea. Conocerlos ahora puede ayudarte a evitar que te conviertas en una víctima en el futuro.
Fraude de pruebas de tarjeta
El fraude de prueba de tarjeta es cuando alguien obtiene acceso a uno o más números de tarjetas de crédito o débito a través del robo o comprando datos de la tarjeta en la dark web. Aunque tienen los números de tarjeta, no saben si los números de tarjeta pueden usarse para completar con éxito una transacción o cuál es el balance disponible en esa tarjeta.
Los estafadores visitan el sitio de un negocio en línea, realizan pequeñas compras de prueba. A menudo usan scripts o bots para probar rápidamente múltiples números de tarjetas. Estas compras iniciales son extremadamente pequeñas, ya que todo el propósito es ver si la tarjeta se puede usar para completar transacciones. Una vez saben que un número de tarjeta de crédito funciona, comenzarán a hacer compras mucho más costosas.
En última instancia, estos eventos se quedan sin descubrir, ya que los montos de las transacciones son tan bajos que no se miran como potenciales riesgos. Aquellos afectados tienden a darse cuenta de que han sido víctimas de fraude en las pruebas de tarjetas cuando se realizan compras más grandes. Al llegar ese momento es posible que hayan podido realizar varias compras significativas utilizando la información de tarjeta de crédito robada. En muchas ocasiones, no se percatan hasta que la víctima del robo de tarjeta levanta un reclamo con su institución financiera o banco, y termina convirtiéndose en contracargos.
Fraude amistoso o contracargos
El fraude amistoso (también llamado fraude de contracargos) es cuando alguien compra un artículo o servicio en línea y luego solicita una devolución de fondos al procesador de pagos, alegando que la transacción no fue válida. Las compañías emisoras de tarjetas de crédito o débito devuelven el valor de la transacción al cliente, que aún debe pagar el comerciante.
En un fraude de contracargos, un cliente hace reclamos que parecen ser legítimos y honestos, y en algunos casos, ese cliente puede tener razón (por esto se llama «fraude amistoso»). Dicho esto, el fraude amistoso se puede usar para recibir artículos gratis. Por ejemplo, el estafador puede comprar un artículo en su tienda en línea y argumentar que el artículo nunca fue entregado, puede decirle al emisor de su tarjeta de crédito que devolvió el artículo al comerciante, pero que nunca se procesó un reembolso, o incluso pueden decir que cancelaron el pedido, pero aun así les fue enviado.
En cualquier caso, el fraude de contracargos ocurre cuando contactan al emisor de su tarjeta de crédito o débito para reclamar un cargo que realmente pretendían hacer.
Fraude de reembolso
El fraude de reembolso es cuando alguien usa una tarjeta robada para realizar una compra en un negocio en línea y luego de completada el estafador se contacta con el negocio y solicita un reembolso debido a un sobrepago accidental. Sin embargo, solicitan que el monto excedente deberá enviarse a través de un método alternativo, ya que su tarjeta está cerrada. En última instancia, esto significa que el cargo original de la tarjeta no se reembolsa y el negocio de comercio electrónico es responsable ante el propietario de la tarjeta por el monto total.
Es así que, con este tipo de fraude, el dueño del comercio en línea se ve atrapado en medio del escenario antes mencionado. Puede parecer que el estafador está haciendo un reclamo legítimo, pero en realidad, están tratando de robar dinero de su negocio.
De igual forma, se pueden presentar casos donde los reversos se inician sin previo contacto de un cliente a tarjetas que no han sido utilizadas en ventas previas. Comúnmente estos casos son iniciados por empleados del comercio que tienen acceso a realizar este tipo de transacción y desvían los fondos a cuentas donde sólo ellos tienen acceso.
Fraude de toma de cuenta o Account Takeover
El fraude de toma de cuenta, también conocido como Account Takeover, ocurre cuando alguien obtiene acceso a la cuenta de un usuario en una tienda o negocio en línea.
Esto se puede lograr a través de una variedad de métodos, incluida la compra de contraseñas robadas, códigos de seguridad o información personal en la dark web. Estos casos también se ven cuando se logra la implementación exitosa de un esquema de phishing o mediante el uso de otros mecanismos de ingeniería social donde se obtienen datos personales y/o de autenticación mediante la intimidación o coerción de un cliente en particular.
Una vez que han obtenido acceso a la cuenta de un usuario, el defraudador procede a realizar transacciones no autorizadas, cambia los detalles de la cuenta de la víctima, realiza compras, puede retirar fondos e incluso pueden obtener acceso a otras cuentas de este usuario a través de la cuenta intervenida.
El fraude de toma de cuenta es una forma grave de hurto de identidad, que tiene dos víctimas: el cliente que ha sufrido el compromiso de sus credenciales y el negocio que sufre daño a su reputación generando desconfianza en actuales y potenciales clientes. Los clientes que sienten que sus datos pueden ser vulnerables en su sitio en línea tienen menos probabilidades de utilizar este sitio y considerarán competidores que ofrecen medidas de seguridad más fuertes.
Fraude de intercepción
El fraude de intercepción es cuando los estafadores hacen compras en un negocio en línea y la dirección de facturación y la dirección de envío coinciden con la información vinculada a una tarjeta robada. Una vez realizada la compra el objetivo principal es interceptar el paquete y tomar los productos sin crear sospechas.
Esto se puede hacer de varias maneras:
- Pueden pedirle a un representante de servicio al cliente del negocio en línea que cambie la dirección del pedido antes de enviarlo. Al hacer esto, su objetivo es recibir los bienes mientras la víctima realiza el pago.
- También pueden contactar al acarreador (ya sea el servicio postal nacional, FedEx, UPS u otro servicio de mensajería) para redirigir el paquete a una dirección de su elección.
- Si viven cerca de la víctima, incluso pueden esperar la entrega física del paquete, firmar el paquete y tomarlo por sí
Fraude de triangulación
El fraude de triangulación envuelve tres actores: la persona que realiza el fraude, un cliente comprador y un negocio en línea.
El esquema surge de la siguiente manera. El estafador establece un negocio en línea que aparenta ser legítimo donde vende productos de alta demanda a precios competitivos. Este negocio en línea atrae una serie de clientes que realizan compras para aprovechar las ofertas. Una vez ha capturado suficientes tarjetas, el estafador utiliza los números de tarjetas robadas para comprar productos en un negocio en línea legítimo.
A diferencia de un esquema de phishing, que presentamos en el fraude de toma de cuenta, el fraude de triangulación se inicia bajo la asunción de una compra legítima que termina en el robo de la tarjeta de la víctima.
¿Cómo mitigar el fraude en mi negocio en línea?
Independientemente de la cantidad de fraude que ocurra en tu plataforma, este afecta los ingresos y resultados de negocio. Y aunque defender tu negocio de amenazas crecientes puede que parezca una batalla compleja, aquí te dejamos algunos pasos rápidos que puedes tomar para reducir el riesgo y luchar contra el fraude de comercio electrónico.
Al hablar de sistemas de prevención de fraude nos referimos a herramientas que se componen de consolas que permiten la creación de reglas de negocio que generan alertas basadas en un comportamiento o parámetros definidos.
Plataformas como RiskCenter 360™ por Evertec pueden combinar información de eventos financieros y no-financieros que permiten tener una visión holística de tu negocio, facilitando que tengas una estrategia de negocio y prevención de fraude integrada.
Al implementar un sistema de prevención de fraude que esté alineado a tu estrategia de negocio toma en consideración de lo siguiente:
1. Implementa mecanismos de toma de decisiones en tiempo real sobre transacciones críticas o de alto riesgo, esto implica cualquier artículo o servicio que fácilmente se pueda convertir en dinero en efectivo rápidamente, tales como:
- Ordenes con un valor total de compra alto para un mismo artículo o artículos de una misma categoría
- Artículos de gran valor de reventa en el mercado
- Compra de tarjetas o certificados de regalo
2. Identifica patrones de compra inusuales tales como:
- La dirección utilizada para el envío es diferente a la de facturación
- El medio de pago es de un emisor que pertenece a un país o región diferente al tarjetahabiente
- La compra se está realizando bajo modo de “visitante”, el usuario no se está registrando en el portal para futuras compras.
3. Cuenta con herramientas de autenticación de transacciones de tarjeta no presente para saber si el comprador es en efecto el tarjetahabiente
- Servicios como 3D Secure 2.0 permiten salvaguardar tus transacciones facilitando la autenticación con mínima fricción al tarjetahabiente.
- Tus ventas están seguras y reduces tu exposición a potenciales contracargos.
4. Utiliza blacklists cuando identifiques clientes que han realizado transacciones fraudulentas o que potencialmente estén utilizando tu comercio como un punto de pruebas para tarjetas robadas.
5. Implementa mecanismos para mitigar eventos de pruebas utilizando bots o scripts. Puedes utilizar retos en pantalla que requieran la entrada de datos (e.g. Captcha, re-Captcha, etc.) para determinar si el usuario es humano o no.
6. Toma acción sobre los contracargos que recibe tu negocio.
- Cada evento de contracargos repercuta en riesgos y potenciales pé
- Tener conocimiento sobre estos reclamos y accionar sobre ellos te permite realizar ajustes a los controles existentes en tu estrategia e implementar otros en los canales de pago.
- Igualmente, evitas tener fuga de ingresos, ya que al no responder sobre los contracargos tu banco adquiriente o procesador tiene el deber de reversar esos fondos a favor del cliente afectado.
7. Limita los accesos administrativos o con permisos especiales, tales como realizar devoluciones, cancelaciones de transacciones, entre otros, a recursos del negocio con roles gerenciales o supervisores. Igualmente, requiere que la devolución u otra transacción de esta naturaleza sólo sea completada mediante la introducción de una clave o código que confirme que la transacción es válida.
8. Déjale saber a tu cliente las medidas de seguridad (encriptación de datos, sesiones seguras, etc.) que toma tu negocio para procesar pagos. Esto es extremadamente importante al querer generar confianza con los clientes y promover que vuelvan a realizar compras con tu negocio en el futuro.
Mantén tu negocio seguro en todo momento
- Tu plataforma de procesamiento de pagos, canal de aceptación o proveedor de servicios deben contar con controles mitigantes sobre potenciales riesgos y proveer evidencia de estos tales como cumplimento con el Payment Card Industry (PCI) y sus estándares de seguridad para datos.
- El cumplimiento de PCI da como resultado precauciones de seguridad básicas, que incluyen cosas como crear un firewall entre su conexión a Internet y cualquier sistema que almacene números de tarjetas de cré En última instancia, el cumplimiento de PCI es obligatorio, por lo que debe asegurarse de cumplir con las pautas pertinentes de PCI para evitar sanciones o penalidades.
- Toma en consideración que existen otros mecanismos que podrían estar colocando a tu negocio en línea en riesgo. Debes monitorear el tráfico de tu sitio en línea para identificar incremento en las visitas de manera que puedas conocer si estás siendo víctima de un ataque cibernético.
Estos sistemas deben permitirte identificar incongruencias en las transacciones de tu negocio, tales como fluctuaciones en los volúmenes de ventas, capturar el exceso de devoluciones e incluso facilitar que se identifique un incremento en los contracargos.
Defenderte del fraude no debe ser complicado
Cada negocio es distinto y sus estrategias de prevención de fraude varían de acuerdo con su naturaleza. Sin embargo, hay medidas básicas que toda empresa debe aplicar para garantizar la seguridad de sus datos e integridad de sus pagos.
A la hora de buscar herramientas antifraude, muchas empresas se enfocan en la tendencia o en el fraude de moda, y olvidan que lo importante es encontrar una herramienta que se adapte a las necesidades del negocio y que los ayude a tomar mejores decisiones.
El fraude nunca se va a eliminar por completo, pero es necesario tener la información necesaria sobre los riesgos potenciales de tu negocio para poder mitigarlo. Para eso, es importante contar con aliados y proveedores confiables como Evertec que ofrezcan transparencia en sus negocios a los clientes y mecanismos de pago seguros. La buena noticia es que, si estás atento y sigues de cerca los métodos de prevención de fraude para negocios en línea podrías comenzar a prevenir el fraude en tu negocio.
Los estafadores son inteligentes y pueden ser muy creativos para lograr sus objetivos. Evertec, siendo un líder en tecnología y procesamiento en Latinoamérica, cuenta con RiskCenter 360™, un robusto servicio de prevención de fraude dirigido a dueños o administradores de un negocio de cualquier tamaño.
Cuando se trata de fraude, siempre es importante utilizar una aplicación de prevención de fraude que incorpore un sistema de detección y gestión como RiskCenter 360™; que te permita defenderte de estafadores y esquemas maliciosos. Los servicios de RiskCenter 360™ cuentan con análisis de comportamiento de tus clientes aplicando métodos como Inteligencia Artificial o modelos predictivos, acompañados por reglas de negocio robustas y procesos operacionales y controles que permitan crear un entorno seguro para tu negocio.
RiskCenter 360™, lanzada a principios de este año, es la evolución de la herramienta RiskCenter que la compañía tiene implementada en más de 50 instituciones y empresas en todo Latinoamérica. RiskCenter 360™ incorpora la modalidad software as a service o SaaS, que fue muy solicitada por los clientes y mercados dado que integra múltiples fuentes y canales de monitoreo, así como también permite la evaluación de eventos tanto financieros como no financieros, alcanzando, entre enero y abril de 2020, 130 millones de transacciones procesadas bajo la modalidad servicio adquirente. Esta aplicación alojada en la nube se adapta a las particularidades y necesidades de cada negocio y puede abarcar varios tipos de empresas creciendo contigo.
Ya sea que decidas trabajar con un proveedor externo como Evertec, implementar tu propio proceso o confiar en una combinación de ambos, te exhortamos a que comiences hoy a pensar cómo estas modalidades de fraude impactan tu negocio. Contáctanos en Evertec para conocer más sobre nuestras soluciones de Manejo de Riesgo y Prevención de Fraude. Comienza a ver los beneficios que puede traer a tu negocio la tecnología que Evertec tiene para ti.
Sobre el autor:
Antuam Traverso, CPM es el Gerente de Productos para Manejo de Riesgo y Fraude en Evertec. Es un profesional con sobre 8 años de experiencia en sistemas de pago, canales alternos, servicios digitales y operaciones de manejo de fraude y riesgo de la industria bancaria.