El fraude con tarjetas de crédito va en aumento y según estudios, se prevé que alcance la asombrosa cifra de 38.500 millones de dólares en 2027. Entonces, ¿cómo se detecta el fraude con tarjetas de crédito? ¿Y por qué es tan común?
¿Qué es la detección de fraude con tarjeta de crédito?
La detección de estafas con tarjetas de crédito es un conjunto de métodos y técnicas diseñados para bloquear las compras fraudulentas, tanto en línea como en las tiendas. Esto se hace respondiendo a dos preguntas clave:
- ¿Estoy tratando con el titular de la tarjeta correcto?
- ¿Parece que la compra es legítima?
Dependiendo del tipo de herramientas de detección que utilice la empresa, puedes responder a estas preguntas en tiempo real o de forma retroactiva. En este sentido, la detección de fraude con tarjetas de crédito puede ser una medida de prevención o una forma de investigar transacciones anteriores.
¿Cómo se produce el fraude con tarjetas de crédito?
Las estafas con tarjetas bancarias puede producirse por una de estas dos razones
- Un delincuente se ha hecho con los datos de la tarjeta de crédito de otra persona.
- El titular de la tarjeta no está siendo honesto.
Esto último se llama fraude amistoso y puede ser difícil de detectar. En algunos casos, el titular de la tarjeta dirá que se la han robado cuando, en realidad, fue él o ella quien hizo la compra, pero afirma lo contrario.
Si esto ocurre con demasiada frecuencia, puede dar lugar a elevadas tasas de devolución de cargos.
¿Cómo consiguen los defraudadores los números de las tarjetas de crédito?
Adquirir números de tarjetas de crédito en internet es más fácil y barato de lo que se piensa. Hay miles de mercados dedicados a venderlos y comprarlos, tanto en la clearnet como en la darknet. De hecho, informes afirman que se pueden encontrar precios tan bajos como 17 dólares por tarjeta.
La razón por la que hay tantos conjuntos de números disponibles es que los delincuentes tienen muchas opciones para adquirirlos.
Robo
El primer método es el robo simple, los delincuentes roban o acceden a las tarjetas físicas y las utilizan.
Los pagos sin contacto no requieren verificación, por lo que es fácil utilizar la tarjeta de otra persona sin necesidad de un PIN o una firma. Los delincuentes también venden los datos de la tarjeta de crédito en internet.
Clonación
La clonación de tarjetas es el acto de hacer copias no autorizadas de los datos de las tarjetas de crédito. Esto se hace con un equipo especial conocido como skimmer.
La máquina skimmer está diseñada para capturar los datos de las tarjetas y puede instalarse sobre un lector de tarjetas legítimo. Una vez capturados los datos, pueden utilizarse para realizar compras en línea o duplicados físicos de la tarjeta original.
Según reportes, la clonación de tarjetas cuesta a los titulares una media de 28.650 millones de dólares al año.
Robo de cuentas
El robo de una cuenta se produce cuando un defraudador obtiene acceso no autorizado a la cuenta de otra persona. El problema es que la cuenta puede tener una tarjeta de crédito vinculada y a partir de ahí, los defraudadores pueden extraer los datos e iniciar fraudes de pago en línea.
El problema es aún mayor si la cuenta actúa como monedero electrónico. Acceder a una cuenta de BNPL, cripto o neobanco, por ejemplo, significa que los defraudadores pueden retirar o transferir fondos casi directamente.
Ingeniería social
La ingeniería social es un método diseñado para aprovecharse de las personas con el fin de extraer información clave. Cuando se trata de los datos de las tarjetas de crédito, pueden ser robados mediante el envío de correos electrónicos o SMS de apariencia oficial.
Los mensajes piden a los titulares de las tarjetas que compartan los datos de las mismas, que realicen un pago urgente o que actualicen su información. Así, los defraudadores roban los datos y los utilizan en otros lugares.
El phishing sofisticado adopta muchas formas hoy en día, incluyendo tiendas online enteras falsas. Los delincuentes montan operaciones completas de comercio electrónico con precios atractivos para hacerse con los datos de las tarjetas de crédito de clientes desprevenidos.
Infiltración en tiendas online legítimas
Otra forma avanzada de robo está ganando popularidad entre los defraudadores online, infiltrarse en tiendas online legítimas.
Mediante la inyección de scripts en los sitios web de las tiendas online existentes, los delincuentes han conseguido capturar los datos de las tarjetas de crédito. Se trata de una forma de robo en línea, que puede realizarse con herramientas sofisticadas como MageCart.
Métodos de detección de fraude con tarjetas de crédito
Dado que los defraudadores disponen de muchas formas de adquirir los datos de las tarjetas de crédito, ¿cómo pueden saber las empresas cuándo les han robado estos datos? Con las siguientes herramientas y técnicas.
Elementos de seguridad de las tarjetas
Las redes de tarjetas de crédito han desarrollado una serie de elementos de seguridad diseñados para evitar las compras fraudulentas. Entre ellas se encuentran:
- Servicio de Verificación de la Dirección (AVS): Un servicio diseñado para confirmar la identidad del titular de la tarjeta mirando su dirección registrada. La dirección se confirma con los registros del banco.
- 3-D Secure (3DS): Una capa de seguridad que pide a los usuarios que introduzcan un código para completar una compra. Los distintos operadores de tarjetas ofrecen el servicio con diferentes nombres, como Visa, Mastercard o American Express.
- CVV: El CVV o valor de verificación de la tarjeta, es un número de tres dígitos situado en la tarjeta. Está diseñado para verificar que la tarjeta está efectivamente en posesión del cliente en el momento de la compra.
Hay que tener en cuenta que estos elementos de seguridad de las tarjetas añaden un cierto nivel de fricción. Por eso, Amazon, por ejemplo, no pide el CVV en la fase de pago, ya que la empresa ha determinado que ralentiza el proceso, repercute negativamente en la experiencia del cliente y dispone de otras defensas para asegurarse de que eres quien inicia la sesión.
Puntuación de riesgos
La puntuación de riesgos es un método estándar de gestión, que utiliza reglas para calibrar el riesgo. Ayudan a hacer conjeturas sobre una determinada acción del usuario. Por ejemplo, puedes utilizar una puntuación de riesgo para determinar si se debe permitir un pago en tu sitio web o no.
Para la detección del fraude con tarjetas de crédito, la puntuación de riesgo tiende a basarse en reglas heurísticas, también conocidas como heurística. Se trata de atajos diseñados para tomar decisiones rápidas utilizando la lógica «si-entonces». Por ejemplo:
Si la dirección IP apunta a una ubicación diferente de la dirección de envío, entonces la puntuación de riesgo debería subir 1 punto.
Cuando la puntuación de riesgo alcanza un determinado umbral, un sistema automatizado puede decidir bloquear o permitir la transacción.
Una forma más avanzada de regla de riesgo es la llamada regla de velocidad, que examina los puntos de datos dentro de un marco temporal determinado para puntuar el comportamiento humano. Por ejemplo:
Si el usuario no introduce la contraseña correcta cinco veces en un minuto, entonces la cuenta debe bloquearse temporalmente.
Al combinar varias reglas de riesgo, se pueden crear árboles de decisión que permiten una mayor precisión en el sistema de puntuación.
Hay que tener en cuenta que la puntuación del riesgo puede ser transparente u opaca. Es decir, los gestores de riesgos pueden controlar y personalizar las reglas, o confiar en algoritmos preestablecidos. El primero se denomina sistema whitebox, el segundo blackbox.
El hecho de que se prefiera un sistema whitebox o blackbox depende de la capacidad de controlar la detección de tarjetas de crédito.
Las empresas con menos recursos pueden preferir confiar en una solución whitebox. Las que cuentan con un equipo de gestión de riesgos dedicado tienden a favorecer los sistemas whitebox, ya que permiten una mayor personalización y flexibilidad.
Puedes leer más sobre las reglas de riesgo y las mejores prácticas en nuestro post sobre el fraude con tarjetas no presentes.
Enriquecimiento de datos
¿Cómo se confirma la identidad de alguien en línea antes de una transacción? Puedes pedirle que presente documentos de identidad. Puedes utilizar la verificación por video. Pero, ¿merece realmente la pena para una transacción de poco valor?
Este es el principal reto al que se enfrentan las empresas que necesitan detectar pagos fraudulentos con tarjeta de crédito, verificar a los clientes sin aumentar la fricción. Demasiados obstáculos entre los clientes y sus compras crearán una pérdida de clientes, y los compradores se irán a la competencia.
Por eso el enriquecimiento de datos es una de las formas más interesantes y eficaces de confirmar una identidad. Es una capa de seguridad invisible que funciona obteniendo más información de un solo punto de datos. Por ejemplo:
- La huella digital del dispositivo: Se puede saber si el usuario se ha conectado a tu sitio con el mismo dispositivo en el pasado. ¿Intenta falsear sus datos de conexión?
- Análisis de IP: ¿La conexión procede de una VPN o un proxy sospechoso?
- Búsqueda de BIN: ¿Es la tarjeta de pago el tipo correcto? ¿Tendría sentido que un cliente tuviera una tarjeta de prepago?
- Búsqueda inversa de redes sociales: ¿Se ha utilizado el número de teléfono o la dirección de correo electrónico para registrarse en un sitio web de redes sociales? ¿La biografía del usuario parece coherente con los detalles de la transacción?
El punto principal es construir un perfil de usuario sin pedirle al cliente información adicional. A continuación, puedes introducir todos estos datos en tu sistema de puntuación de riesgos, que te ayudará a determinar si es probable que se trate de una estafa con tarjetas de crédito o no.
El enriquecimiento de datos también ayuda a registrar más información sobre los usuarios. Esto puede resultar útil a la hora de disputar una devolución de cargo y presentar pruebas de fraude amistoso.
Recibe las mejores noticias diariamente en tu celular. Sólo escribe la palabra “Cadena” a nuestro whatsapp y recibe las mejores actualizaciones de nuestro portal.