Artículo

Cómo la detección de fraude en pagos digitales puede ayudar a tu negocio

La prevención de fraude en pagos digitales es clave para un crecimiento de negocio más seguro y saludable. Veamos qué sistemas deben desplegarse para que funcione.

No hay alternativa: si tu negocio acepta pagos a través de escenarios TNP (tarjeta no presente), existirán estafas de pagos digitales.

Juniper Research anticipa que las transacciones fraudulentas le costarán a los comercios electrónicos 50,5 mil millones de dólares para 2024, pero cualquier otro vertical está igual de afectado por esto.

Ahora, si buscas una respuesta rápida, el scoring de riesgo de transacción es la única manera de asegurarte de que tienes desplegado un sistema de detección de fraudes de pagos digitales decente. Pero hoy, echaremos una mirada profunda a todos los pasos que puedes tomar para crear un marco de trabajo de detección de pagos a prueba de tontos para tu compañía. 

Qué es el fraude en pagos digitales

El fraude en pagos digitales se refiere a las transacciones realizadas sin el consentimiento del titular de la tarjeta. En la mayoría de los casos sucede después de que los detalles de la tarjeta de crédito son robados y aparecen en la dark web. Otros métodos de pago, tales como las revisiones virtuales o los débitos directos o pagos telefónicos, pueden ser estafados también, siempre y cuando el atacante haya adquirido la información apropiada. Desde el punto de vista del criminal todo se reduce a un solo fin: generar dinero legal de dinero adquirido ilegalmente lo más rápido posible.

¿Cómo sucede el fraude en pagos digitales?

Las estafas en pagos digitales suceden cuando el estafador adquirió los detalles de tarjeta de crédito o la información personal de la víctima que se necesitan para completar una transacción. Mientras que los criminales primerizos (o los testeadores de tarjetas) son atrapados por la mayoría de los sistemas de prevención de fraude, los atacantes sofisticados intentarán hacer que los datos de la transacción, tales como la dirección IP o el idioma del navegador, el nombre en la tarjeta, el registro de correo electrónico, etc., parezcan legítimos para poder engañar al sistema. Si tienen éxito, perderás un artículo o servicio que estés comercializando, y además eres responsable del costo del contracargo en caso de que el titular de la tarjeta inicie un reclamo con su banco. 

¿Qué verificar en el fraude de pagos digitales?

Con los software de prevención de fraude bancario, entre más datos tengas, mejor. Aquí hay tres datos de usuario que siempre debes monitorear para la prevención de fraude de pagos digitales:

1. Registro de usuario: la primera vez que podrás registrar los datos que envían. Esto es importante porque tu ya puedes revisar si esos datos coinciden con tu análisis de huella digital (más al respecto después). 

2. Inicio de sesión de usuario: el punto en el que puedes confirmar que el usuario, que se registró, es el mismo usuario que está usando la cuenta. Verificar esta etapa ayuda a prevenir el ATO (robo de cuenta), que puede conducir al fraude de transacción.

3. Transacción de usuario: la fase de pago, cuando los usuarios pagan. Este es, probablemente, la primera vez que ingresan la información de su tarjeta de crédito. Hay abundante información que puedes recolectar aquí, y compararla con los datos que ya acumulaste anteriormente.

No se trata únicamente de verificar los detalles de la tarjeta. Entre más información tengas desde antes, más seguro puedes estar de con quién estás tratando. Pero hay más…

¿Cuáles son los desafíos en el fraude en pagos digitales?

Los principales desafíos en las estafas de pagos digitales no solo es identificar las transacciones correctas de las malas, sino saber qué necesita ser revisado por un humano y qué no. Idealmente, deberías aceptar tantas transacciones como sea posible automáticamente, mientras revisas sólo una porción relativamente pequeña. Si tu equipo es rápido y está bien equipado, puedes realizar más revisiones manuales más rápido.

Diferenciar entre una transacción buena y mala es simple en teoría; conoces tus perfiles de cliente típicos o ideales, y cualquier cosa que se desvíe de eso debería considerarse riesgoso. La mayoría de las transacciones fraudulentas parecerán irracionales desde el punto de vista de un usuario: una dirección de envío muy lejana a la dirección IP, inconsistencias en la configuración de la máquina comparada con la información del titular de la tarjeta, entre otras. Pero los estafadores avanzados intentarán cubrir estas brechas, y tienes que permanecer atento para verificar cualquier discrepancia que pudiera indicar un fraude, y establecer tus reglas de transacción acordemente. 

Protege tu negocio del fraude de pagos digitales

SEON ofrece un conjunto completo de herramientas para combatir el fraude que crecen con tu negocio

Hable con expertos

6 Ejemplos de fraude en el pago digital

  • Robo de identidad: El tipo más común. Los datos de la tarjeta de la víctima fueron adquiridos por los estafadores quienes ahora intentan usarla para realizar compras.
  • Fraude de devolución o “goteo doble”: un tipo de ataque cada vez más común, donde el comprador afirma que nunca recibió los bienes que ordenó y quiere un reembolso por parte del servicio al cliente. Él o ella usará el dinero para comprar un nuevo artículo o se le ofrecerá un producto de reemplazo, mientras que vende el original. 
  • Ataques BIN: el estafador genera una gran cantidad de números de tarjeta y los usa para realizar compras con la esperanza de que algunos funcionen.
  • Testeo de tarjetas: los datos frescos de una tarjeta de crédito no vienen con información sobre los saldos, entonces los estafadores deben probarla en algún lado para comprobar si tienen fondos. 
  • Fraude de triangulación: un tipo de fraude más complejo en el que el criminal dará de alta una tienda en línea o lista de artículos en grandes mercados con descuentos poco realistas. Cuando reciben una orden del artículo, utilizan la información de un cliente desprevenido, así como la dirección de envío, y una tarjeta de crédito robada para comprar ese artículo en otra tienda, quedándose con el pago que recibieron.
  • Robo de cuentas: coloquialmente conocido como cuentas hackeadas. Un estafador ingresa en una cuenta existente de un cliente y usa los detalles de facturación robados para realizar compras o utilizar sus puntos de recompensas, o solo revender la cuenta. Frecuentemente utilizan estas cuentas para “saltar” a estafas más complejas. 

Diferencias entre el fraude de pagos digitales y el fraude amistoso

No todos los fraudes de transacciones son llevados a cabo por organizaciones criminales. Algunas veces, el comprador legítimo también es el responsable de los contracargos injustificados. 

Se le conoce como fraude amistoso, y el problema crece a un ritmo acelerado. Es casi imposible de detectar ya que la transacción es completamente legítima en el momento de la compra.

En términos generales, existen tres tipos de fraude amistoso que puedes encontrarte: 

1. Solicitudes inocentes o accidentales

Estas solicitudes de contracargos se realizan por clientes que no reconocen que una compra se hizo con su tarjeta de crédito. El proceso también se conoce como fraude amistoso o de primera parte, debido a que la carta está realmente en posesión del titular en el momento.

También la puedes llamar fraude familiar porque el titular de la tarjeta a menudo dispara una disputa después de que un pariente compra algo sin su autorización. Los niños que compran aspectos de juegos con las tarjetas de crédito de sus padres o compras no autorizadas dentro de aplicaciones forman parte de esta categoría fraudulenta. 

2. Fraude amistoso oportunista

Esto puede deberse a la desaprobación de las políticas de devolución de una tienda (ofreciendo crédito para viajes en lugar de un reembolso), o simplemente porque se arrepienten después de realizar su compra. 

3. Fraude amistoso malicioso

Este proceso difumina los límites entre el fraude amistoso y el fraude de transacción estándar. Esto sucede cuando los compradores saben desde antes que van a solicitar un contracargo.

Estos clientes maliciosos tienen toda la intención de comerse todo el pastel, al recibir un artículo, reclamar que nunca llegó y obtener su dinero de vuelta. 

¿Cómo prevenir el fraude en el pago digital?

  • Búsqueda en redes sociales: podemos ver si los detalles del titular de la tarjeta coinciden con los de su perfil social en línea. Esto ayuda a extraer información adicional como la foto de perfil, el nombre completo, la biografía, etc…
  • Análisis de IP: más allá de revisar la geolocalización, puedes determinar si tu usuario está ocultando su conexión detrás de un VPN, un proxy o un emulador.
  • Análisis de correo electrónico: incluso un solo punto de datos como un número de teléfono o una dirección de correo electrónico puede revelar muchos datos. ¿Se creó desde un dominio sospechoso (dirección gratuita o desechable)? ¿Qué tan difícil fue el proceso de autenticación? ¿Ha aparecido en alguna filtración de datos? Averigua más sobre los módulos de búsqueda inversa de correo electrónico aquí. 
  • Análisis de teléfono: del mismo modo, puede verificarse un número de teléfono contra registros para obtener una idea más clara acerca de con quién estás tratando. ¿Es una línea fija o móvil? ¿La locación del proveedor está cerca de la dirección de envío? ¿Tu cliente confía en un número de teléfono desechable?

Todos estos puntos de datos adicionales te ayudarán a conectar al usuario con la información de la tarjeta de crédito, y tomar una decisión más inteligente al aceptar o rechazar una compra.

¿Cómo elegir una solución de prevención de fraude de pagos digitales?

Por ejemplo, podrías tener:

  • Monitoreo interno, con herramientas externas de enriquecimiento de datos.
  • Soluciones contratadas de extremo a extremo.
  • Solución externa de extremo a extremo combinada con datos enriquecidos por otro proveedor independiente. 
  • y muchas otras opciones más…

Cuando se trata de los servicios de gestión de riesgo para pagos de negocios, es raro encontrar una solución de talla única. Es por eso que a veces es necesario mezclar y adecuar tus herramientas para crear la tecnología de riesgo perfecta.

Nos gusta llamar a este proceso de múltiples capas. Es un término útil porque implica que todas las herramientas trabajan una sobre otra, y no crean cuellos de botella en tu marco de trabajo.

Es incluso mejor si tu solución de fraude ofrece módulos que puedes activar o desactivar como sea necesario. Esto te dará más control sobre cuánta información se procesa, pero también sobre el precio si estás comprando un sistema de pago por llamada API (más al respecto después).

Integración API

La mayoría de las compañías empiezan desarrollando su propia pila de riesgo sobre el sistema de transacciones, y las herramientas más avanzadas vienen en forma de API-s. 

En la forma verdadera de SaaS, el software de detección más moderno estará basado completamente en la nube. ¿Entonces cómo integras sus herramientas en el sistema de tu compañía? Una respuesta es usando llamadas API. 

Esto es importante porque puedes:

  • Beneficiarte de la protección en tiempo real.
  • Obtener actualizaciones y reparaciones regulares sin tiempo de mantenimiento.
  • Escalar tus operaciones sin cuellos de botella.
  • Adaptar el sistema a tus necesidades con opciones de personalización.

Más importante, el proveedor se encarga de toda la computación técnica. Y con documentación de API bien escrita, tus propios desarrolladores deberían tener toda la información que necesitan para un modo de autoservicio, así que no necesitarás apoyo adicional. 

Sistema Whitebox

Los sistemas Whitebox necesitan más manejo manual, pero tienen la ventaja de que tu equipo entiende lo que hacen y por qué. La curva de aprendizaje es un poco más pronunciada, pero cuando se trata de comunicarte con tus clientes o entre departamentos, querrás saber qué es lo que subyace. 

Ahora estamos llegando al tema de las reglas de fraude y a las puntuaciones de riesgo de transacción. Esta es la esencia de tu motor de fraude, y te permitirá evaluar qué tan seguro es para tu negocio un inicio de sesión, pago o registro de cliente.

Las reglas de riesgo pueden personalizarse manualmente, pero tu software de detección de fraude en el pago digital puede sugerirte estas reglas. En la mayoría de los casos, esto se realiza analizando los datos históricos y alimentándolos a un proceso de IA de ciencia de datos, o motor de ML (machine learning). 

¿El problema? Las reglas de machine learning que obtendrás no son siempre provechosas. Esto es a menos que te asegures de que tu sistema sea whitebox, lo que significa que mostrará exactamente lo que está pasando con el cálculo de la puntuación. 

Esto le da a los gestores de riesgo más control e información sobre la solución, lo que les ayuda a aceptar, rechazar, o incluso modificar las reglas ofrecidas por los sistemas. 

Fricción dinámica

Queremos que las experiencias de usuario de nuestros clientes sean lo más libres de ficción posible. Al departamento de seguridad le gustaría tener a todos identificados en el registro. La fricción dinámica es un acto de equilibrio entre estas dos: hacer la mayoría de las verificaciones de seguridad tras bambalinas, y solo disparar verificaciones de identificación en transacciones muy riesgosas. Es lo mejor de ambos mundos.

En el panorama de negocios de hoy en día, la fricción es el campo de batalla en el que los clientes se ganan o se pierden. Poner demasiados obstáculos entre tus usuarios y tu sitio, y se irán rápidamente con un competidor menos estricto.

Esto es particularmente dañino cuando se trata de las verificaciones de autenticación con propósitos KYC o AML. Las fintech tuvieron éxito o fracasaron con base en su experiencia de usuario, por lo cual querrás bloquear el riesgo, sin ralentizar compras legítimas. 

La mejor estrategia es emplear lo que llamamos fricción dinámica. Una buena forma de pensarla es dividir la verificación en revisiones KYC (conoce a tu cliente) pesadas y ligeras.

Esto es lo que sucede: después de analizar la huella digital del usuario, tu sistema proporcionará una puntuación de riesgo. Puedes automatizar lo que sucede con base en él:

  • Si es suficientemente bajo, tu usuario puede continuar a la siguiente fase de pago inmediatamente.
  • Si alza demasiadas alertas rojas, puedes proceder con autenticación adicional tales como identificación por selfie, autenticación de dos factores, OTP (contraseña de un solo uso) o carga de documentos. 

Incluso aunque estos pasos adicionales no son infalibles contra estafadores experimentados, ciertamente son suficientes para frenar a los cibercriminales casuales y oportunistas.

Mejora de la productividad

A final de cuentas, querrás que las herramientas de combate al fraude mejoren las habilidades de toma de decisiones del analista. Tu sistema necesita integrarse con tus otros sistemas, debe presentar información de manera clara y concisa, y no debería arrojarte los datos en crudo, sino destacar qué es importante y por qué.

Una integración de sistema veloz es esencial al desplegar un sistema de prevención de fraude, pero puedes ir un paso más allá al adaptarlo a las necesidades de productividad de tu industria.

Por ejemplo, podrías combinar el análisis de pago con otro flujo de trabajo para reducir el riesgo de lavado de dinero. Hemos observado ejemplos de negocios que disparan alertas cuando una compra supera cierto límite, para que el equipo de riesgo pueda revisarla manualmente, por ejemplo. 

Modelo de precios

Cuando se trata de la gestión de riesgo, el modelo de precio puede consolidar o arruinar una solución. Debajo de la etiqueta de precio subyacen diferentes incentivos que definen la relación entre tú, tus clientes y tu proveedor. Literalmente puede cambiar el apetito de riesgo de tu organización. 

Es por ello que deberías sopesar cuidadosamente las diferentes opciones cuando se trata del modelo de precio de tu sistema de fraude de transacciones.

Muchos proveedores operan con un modelo de garantía de contracargos, lo que significa que esencialmente te devolverán las tarifas de devoluciones de cargos si una solicitud procede. 

Sin embargo, esto crea un fuerte incentivo para que la compañía de gestión de fraude sea lo más conservadora posible. Si quieres dejarle todo el trabajo de gestionar las tarifas de contracargos a ellos, puede funcionar bien. 

Pero si quieres un poco más de control sobre cómo mitigar el riesgo para aceptar más conversiones, podría ser beneficioso para ti buscar otros modelos de precio, tales como el pago por llamada API.

Esto te deja controlar tu retorno de inversión con base en el número de transacciones que procesas cada mes, lo cual es genial para escalar tus operaciones y para las alzas de procesamientos de pago por temporada. 

Conclusiones clave de la detección de fraude en el pago digital

El fraude de transacción no da señales de disminuir. Reducir tus tarifas de contracargos ya no es solo cuestión de potenciar las ganancias, ahora es una decisión de negocios primordial y una ventaja competitiva. La buena noticia es que el software de detección de fraude ha avanzado tremendamente durante estos años. Ahora cuentas con más flexibilidad cuando se trata de la integración, el modelo de precios y cómo el servicio elige mitigar el riesgo.

Preguntas frecuentes

¿Cómo ponerle un alto al fraude de pagos digitales?

Tener en funcionamiento un score de riesgo apropiado para que puedas bloquear o revisar transacciones sospechosas antes de ser aprobadas. 

¿Cómo detengo el fraude de devoluciones?

Informa a tu equipo de servicio al cliente acerca del comportamiento anterior del cliente y sus conexiones con otros usuarios que han solicitado devoluciones en múltiples ocasiones.

¿Cuándo debo revisar los fraudes?

Generalmente deberías evaluar los registros, transacciones e inicios de sesión, pero puedes verificar otras acciones críticas también, como los cambios de dirección o contraseña. 

¿Cómo puedo verificar la identidad de mi usuario?

Una simple búsqueda en redes sociales realizada sobre la dirección de correo electrónico puede revelar si el cliente es en verdad quien dice ser en la tarjeta o no.

También te puede interesar: