Guía completa para detectar el fraude con tarjetas de crédito

El fraude con tarjetas de crédito va en aumento y, según el Informe Nilson, se prevé que alcance la asombrosa cifra de 38.500 millones de dólares en 2027. Entonces, ¿cómo se detecta el fraude con tarjetas de crédito? ¿Y por qué es tan común? Encuentra todas las respuestas a continuación.

¿Qué es la detección de fraude con tarjeta de crédito?

La detección de estafas con tarjetas de crédito es un conjunto de métodos y técnicas diseñados para bloquear las compras fraudulentas, tanto en línea como en las tiendas. Esto se hace respondiendo a dos preguntas clave:

• ¿Estoy tratando con el titular de la tarjeta correcto?
• ¿Parece que la compra es legítima?

Dependiendo del tipo de herramientas de detección que utilice tu empresa, puedes responder a estas preguntas en tiempo real o de forma retroactiva. En este sentido, la detección de fraude con tarjetas de crédito puede ser una medida de prevención o una forma de investigar transacciones anteriores. 

¿Cómo se produce el fraude con tarjetas de crédito?

Las estafas con tarjetas bancarias puede producirse por una de estas dos razones

• Un delincuente se ha hecho con los datos de la tarjeta de crédito de otra persona.
• El titular de la tarjeta no está siendo honesto.

Esto último se llama fraude amistoso, y puede ser difícil de detectar. En algunos casos, el titular de la tarjeta dirá que se la han robado cuando, en realidad, fue él  o ella quien hizo la compra, pero afirma lo contrario.

Si esto ocurre con demasiada frecuencia, puede dar lugar a elevadas tasas de devolución de cargos.

¿Cómo consiguen los defraudadores los números de las tarjetas de crédito?

Adquirir números de tarjetas de crédito en internet es más fácil y barato de lo que se piensa. Hay miles de mercados dedicados a venderlos y comprarlos, tanto en la clearnet como en la darknet. De hecho, un informe de The Guardian afirma que se pueden encontrar precios tan bajos como 17 dólares por tarjeta.  

La razón por la que hay tantos conjuntos de números disponibles es que los delincuentes tienen muchas opciones para adquirirlos. He aquí solo algunas.

Robo

El primer método es el robo simple y llano: Los delincuentes roban o acceden a las tarjetas físicas y las utilizan. 

Los pagos sin contacto no requieren verificación, por lo que es fácil utilizar la tarjeta de otra persona sin necesidad de un PIN o una firma. Los delincuentes también venden los datos de la tarjeta de crédito en internet, para utilizarlos en escenarios CNP (tarjeta no presente).

Skimming y clonación

El skimming y la clonación de tarjetas es el acto de hacer copias no autorizadas de los datos de las tarjetas de crédito. Esto se hace con un equipo especial conocido como skimmer. 

La máquina skimmer está diseñada para capturar los datos de las tarjetas y puede instalarse sobre un lector de tarjetas legítimo. Una vez capturados los datos, pueden utilizarse para realizar compras en línea, o duplicados físicos de la tarjeta original. 

Según Nilson Report, el skimming y la clonación de tarjetas cuestan a los titulares una media de 28.650 millones de dólares al año. 

Robo de cuentas

El robo de una cuenta se produce cuando un defraudador obtiene acceso no autorizado a la cuenta de otra persona. El problema es que la cuenta puede tener una tarjeta de crédito vinculada y, a partir de ahí, los defraudadores pueden extraer los datos e iniciar fraudes de pago en línea. 

El problema es aún mayor si la cuenta actúa como monedero electrónico. Acceder a una cuenta de BNPL, cripto o neobanco, por ejemplo, significa que los defraudadores pueden retirar o transferir fondos casi directamente.

Pishing/Ingeniería social

El phishing y la ingeniería social son métodos diseñados para aprovecharse de las personas con el fin de extraer información clave. Cuando se trata de los datos de las tarjetas de crédito, pueden ser robados mediante el envío de correos electrónicos o SMS de apariencia oficial. 

Los mensajes piden a los titulares de las tarjetas que compartan los datos de las mismas, que realicen un pago urgente o que actualicen su información. Así, los defraudadores roban los datos y los utilizan en otros lugares.

El phishing sofisticado adopta muchas formas hoy en día, incluyendo tiendas online enteras falsas. Los delincuentes montan operaciones completas de comercio electrónico con precios atractivos para hacerse con los datos de las tarjetas de crédito de clientes desprevenidos. 

Infiltración en tiendas online legítimas

Otra forma avanzada de robo está ganando popularidad entre los defraudadores online: infiltrarse en tiendas online legítimas. 

Mediante la inyección de scripts en los sitios web de las tiendas online existentes, los delincuentes han conseguido capturar los datos de las tarjetas de crédito. Se trata de una forma de robo en línea, que puede realizarse con herramientas sofisticadas como MageCart.

Métodos de detección de fraude con tarjetas de crédito

Dado que los defraudadores disponen de muchas formas de adquirir los datos de las tarjetas de crédito, ¿cómo pueden saber las empresas cuándo les han robado estos datos? Con las siguientes herramientas y técnicas. 

Elementos de seguridad de las tarjetas

Las redes de tarjetas de crédito han desarrollado una serie de elementos de seguridad diseñados para evitar las compras fraudulentas. Entre ellas se encuentran:

• Servicio de Verificación de la Dirección (AVS): Un servicio diseñado para confirmar la identidad del titular de la tarjeta mirando su dirección registrada. La dirección se confirma con los registros del banco.
• 3-D Secure (3DS): Una capa de seguridad que pide a los usuarios que introduzcan un código para completar una compra. Los distintos operadores de tarjetas ofrecen el servicio con diferentes nombres, como Visa Secure (Visa), SecureCode (Mastercard) o SafeKey (American Express).
• CVV: El CVV, o valor de verificación de la tarjeta, es un número de tres dígitos situado en la tarjeta. Está diseñado para verificar que la tarjeta está efectivamente en posesión del cliente en el momento de la compra.

Hay que tener en cuenta que estos elementos de seguridad de las tarjetas añaden un cierto nivel de fricción. Por eso, Amazon, por ejemplo, no pide el CVV en la fase de pago, ya que la empresa ha determinado que ralentiza el proceso, repercute negativamente en la experiencia del cliente y dispone de otras defensas para asegurarse de que eres quien inicia la sesión. 

Puntuación de riesgos

La puntuación de riesgos es un método estándar de gestión de riesgos, que utiliza reglas para calibrar el riesgo. Ayudan a hacer conjeturas sobre una determinada acción del usuario. Por ejemplo, puedes utilizar una puntuación de riesgo para determinar si se debe permitir un pago en tu sitio web o no.

Para la detección del fraude con tarjetas de crédito, la puntuación de riesgo tiende a basarse en reglas heurísticas, también conocidas como heurística. Se trata de atajos diseñados para tomar decisiones rápidas utilizando la lógica «si-entonces». Por ejemplo:

• Si la dirección IP apunta a una ubicación diferente de la dirección de envío, entonces la puntuación de riesgo debería subir 1 punto.

Cuando la puntuación de riesgo alcanza un determinado umbral, un sistema automatizado puede decidir bloquear o permitir la transacción.

Una forma más avanzada de regla de riesgo es la llamada regla de velocidad, que examina los puntos de datos dentro de un marco temporal determinado para puntuar el comportamiento humano. Por ejemplo:

• Si el usuario no introduce la contraseña correcta cinco veces en un minuto, entonces la cuenta debe bloquearse temporalmente.

Al combinar varias reglas de riesgo, se pueden crear árboles de decisión que permiten una mayor precisión en el sistema de puntuación.

Hay que tener en cuenta que la puntuación del riesgo puede ser transparente u opaca. Es decir, los gestores de riesgos pueden controlar y personalizar las reglas, o confiar en algoritmos preestablecidos. El primero se denomina sistema whitebox, el segundo blackbox. 

El hecho de que se prefiera un sistema whitebox o blackbox depende de la capacidad de controlar la detección de tarjetas de crédito. 

Las empresas con menos recursos pueden preferir confiar en una solución whitebox. Las que cuentan con un equipo de gestión de riesgos dedicado tienden a favorecer los sistemas whitebox, ya que permiten una mayor personalización y flexibilidad. 

Puedes leer más sobre las reglas de riesgo y las mejores prácticas en nuestro post sobre el fraude con tarjetas no presentes.

Enriquecimiento de datos

¿Cómo se confirma la identidad de alguien en línea antes de una transacción? Puedes pedirle que presente documentos de identidad. Puedes utilizar la verificación por video. Pero, ¿merece realmente la pena para una transacción de poco valor? 

Este es el principal reto al que se enfrentan las empresas que necesitan detectar pagos fraudulentos con tarjeta de crédito: verificar a los clientes sin aumentar la fricción. Demasiados obstáculos entre los clientes y sus compras crearán una pérdida de clientes, y los compradores se irán a la competencia. 

Por eso el enriquecimiento de datos es una de las formas más interesantes y eficaces de confirmar una identidad. Es una capa de seguridad invisible que funciona obteniendo más información de un solo punto de datos. Por ejemplo:

• La huella digital del dispositivo: Se puede saber si el usuario se ha conectado a tu sitio con el mismo dispositivo en el pasado. ¿Intenta falsear sus datos de conexión?
• Análisis de IP: ¿La conexión procede de una VPN, un proxy sospechoso o un nodo Tor?
• Búsqueda de BIN: ¿Es la tarjeta de pago el tipo correcto? ¿Tendría sentido que un cliente de APAC tuviera una tarjeta de prepago, por ejemplo?
• Búsqueda inversa de redes sociales: ¿Se ha utilizado el número de teléfono o la dirección de correo electrónico para registrarse en un sitio web de redes sociales? ¿La biografía del usuario parece coherente con los detalles de la transacción?

El punto principal es construir un perfil de usuario sin pedirle al cliente información adicional. A continuación, puedes introducir todos estos datos en tu sistema de puntuación de riesgos, que te ayudará a determinar si es probable que se trate de una estafa con tarjetas de crédito o no.

El enriquecimiento de datos también ayuda a registrar más información sobre los usuarios. Esto puede resultar útil a la hora de disputar una devolución de cargo y presentar pruebas de fraude amistoso, por ejemplo. 

Cómo realiza SEON la detección de fraude con tarjetas de crédito

SEON ofrece una detección de fraudes con tarjetas de crédito rápida, efectiva y sin fricciones a través de la puntuación de riesgo y el enriquecimiento de datos. Puedes crear un perfil completo del visitante de tu sitio web, incluso antes de que llegue a la fase de pago. 

Esto te ayuda a proteger las cuentas de los usuarios existentes y a aceptar solo el pago de los visitantes que cumplen tus criterios de riesgo. Y lo mejor de todo es que obtienes un precio totalmente transparente y una prueba gratuita de 30 días. 

«Con SEON, puedo ver que la dirección ha existido desde 2012 porque ha aparecido en filtraciones de datos. Puedo ver que se ha registrado en estos otros 15 sitios web de redes sociales. A partir de ahí, solo tengo que cotejar manualmente la información relevante para presentar mi caso.»

Rick Hiltbrunner, Director de Operaciones de Fraude en Patreon

Preguntas frecuentes

Fuentes

• Juniper Research: Online Payment Fraud
• The Guardian: Stolen credit card details available for £1 each online
• Nilson Report: Card Fraud Losses Dip to $28.58 Billion
• Magecart: A Deep Dive Into Magecar