10 consejos para prevenir el fraude con tarjeta no presente (CNP)

Dado que el fraude con Tarjeta No Presente sigue perjudicando al ecosistema de pagos, incluidos los comerciantes, los emisores y los adquirentes, queríamos ofrecer algunas sugerencias sobre las medidas que tu empresa puede tomar para reducirlo hoy.

El núcleo del problema del fraude con tarjeta no presente (CNP) puede explicarse con una simple pregunta: ¿cómo se demuestra que los titulares de las tarjetas son quienes dicen ser?

No es una tarea fácil, y es lo que lo hace tan arriesgado. Desgraciadamente, el fraude con tarjeta no presente sigue siendo un asunto caro, que costará a los emisores, comerciantes y adquirentes unos 34.660 millones de dólares en 2022.

Por suerte, es una plaga contra la que todos colaboran. Y, de hecho, hay muchas cosas que puedes hacer, como negocio en línea, para reducir el fraude CNP (y de tarjeta presente) hoy mismo.

Un escenario de tarjeta no presente, como su nombre indica, incluye cualquier pago que se procesa solo con la información de la tarjeta de crédito (número, nombre del titular y código de seguridad). La tarjeta física está en otro lugar. Así es como funcionan todos los pagos en línea, y también los pagos por teléfono.

¿Qué es el fraude con tarjeta no presente (CNP)?

En resumen, el fraude CNP se describe como un pago fraudulento o una estafa sin el consentimiento del propietario correcto de la tarjeta. Las formas y técnicas más comunes de fraude CNP incluyen:

• Ventas en línea
• Ventas por móvil
• Transacciones telefónicas
• Skimming y pruebas

Dado que el comerciante no puede confirmar físicamente si la persona es realmente quien dice ser, ya que la compra se ha realizado a través de una transacción en línea, es importante reunir mucha información sobre tus clientes para mitigar el riesgo.

La prevención del fraude CNP funciona mediante la recopilación de datos de los usuarios, el análisis de su comportamiento y la señalización de las tarjetas sospechosas que no presentan información sobre las transacciones. Esta información debe enriquecerse mediante el análisis de la dirección IP, la huella digital del dispositivo y la búsqueda en las redes sociales.

¿Cómo funciona el fraude con tarjeta no presente?

El fraude CNP tiene lugar siempre que un estafador adquiere algún tipo de información de pago, como el número de una tarjeta de crédito, el nombre de una persona, los detalles de su dirección o el número de seguridad de 3 dígitos que aparece en el reverso, para luego comprar productos.

Hoy en día, los estafadores pueden adquirir fácilmente «fullz», es decir, perfiles completos robados que se descubren a través de filtraciones de datos o ataques de phishing y que pueden comprarse a través de la dark web.

En la mayoría de los casos, la responsabilidad de las transacciones CNP fraudulentas recae en el comerciante, por lo que las devoluciones de cargos son habituales, ya que la víctima a menudo sólo reacciona una vez que descubre el fraude.

10 Consejos para reducir el fraude con tarjeta no presente

Dado que la mayor parte de las veces la responsabilidad recae en el comerciante, el proveedor de servicios de pago o el banco de la víctima, es vital conocer las mejores formas de proteger tu negocio del fraude CNP. Se han desarrollado soluciones modernas para ayudarte a detectar al verdadero cliente o al estafador.

Recopila toda la información de los clientes que puedas 

En general, cuanta más información sobre el cliente tengas, mejor. Esto es cierto en el contexto de la protección contra el fraude de las tarjetas de crédito, pero también en el marketing y las ventas, y en el procesamiento de las tarjetas. La venta adicional, la venta cruzada y una buena segmentación pueden mejorarse gracias a la misma información que te permite validar las identificaciones de los usuarios, o disputar una devolución de cargos.

En cuanto al tipo de contenido que debes reunir, lo mínimo sería:

• dirección de correo electrónico;
• datos de la tarjeta de crédito, incluido el código CVV;
• dirección de facturación;
• información sobre el dispositivo utilizado para iniciar sesión;
• dirección IP;
• número de teléfono.

Ahora tienes tres puntos de contacto principales para recopilar esa información: el registro de la cuenta, el inicio de sesión o el punto en el que aceptas los pagos con tarjeta de crédito. 

Y aunque es tu deber seguir las mejores prácticas de SCA, hay mucha más información que puedes recopilar. Los dispositivos de los usuarios, los números de teléfono o las direcciones de correo electrónico pueden ayudar mucho a filtrar a los agentes maliciosos, o al menos demostrar que son usuarios de riesgo, como veremos más adelante.

• Por qué funciona: cuanto más se sepa de un usuario, más fácil será rechazar pagos sospechosos que podrían ser claros casos de fraude con tarjeta no presente.  
• Principal reto: recopilar información sin crear demasiada fricción para el usuario, lo que puede perjudicar las conversiones y las ventas.

Enriquecimiento de datos

Si has leído el primer consejo y te has preguntado: ¿cómo puedo recopilar información adicional sin crear fricción? La respuesta es el enriquecimiento de datos. No es de extrañar que estas herramientas sean utilizadas hoy en día por todo el mundo, desde el comercio electrónico hasta las instituciones financieras.

En pocas palabras, es un proceso que toma puntos de datos individuales y los utiliza para agregar información de fuentes externas. Por ejemplo, se analiza la dirección de correo electrónico de una cuenta y se comprueba que se utiliza para registrarse en perfiles de redes sociales. Del mismo modo, se toma un número de teléfono y se ve si es un teléfono fijo o móvil, y en qué país.

Toda esa información ayuda a detectar discrepancias sospechosas. Y lo mejor de todo es que puede hacerse prácticamente al instante, y sin pedir a los usuarios pasos adicionales de autenticación si se utilizan las herramientas adecuadas.

• Por qué funciona: el enriquecimiento de datos puede ser invisible para el titular de la tarjeta, lo que le ayuda a reducir el peligro sin crear demasiados obstáculos para los clientes adecuados.
• Principal reto: enriquecer los datos a partir de fuentes que tengan sentido y de conjuntos de datos frescos y de código abierto. Por ejemplo, vinculando una dirección de correo electrónico a las cuentas de redes sociales conectadas del usuario en uso, lo que debería hacerse cumpliendo los requisitos del GDPR.

Mejores prácticas de protección de datos

Aunque el cliente no esté delante de ti, tu trabajo sigue siendo proteger su información de crédito. Al menos eso es lo que dice la norma de seguridad de datos PCI (PCI DSS), que en su mayor parte protege a todo comerciante de posibles intentos de fraude CNP (y también de tarjeta presente).

En la práctica, eso significa utilizar herramientas de seguridad en línea como SSL, especialmente en las páginas que recogen información sensible como tarjetas de crédito, números de la seguridad social o direcciones. También debes encriptar los datos de la forma más eficiente posible, tanto si se comparten entre tus clientes y el sitio web, como entre los miembros del personal. 

• Por qué funciona: los datos encriptados y protegidos tienen menos probabilidades de caer en manos equivocadas, lo que reduce el fraude en su conjunto.
• Principal reto: la gestión de las copias de seguridad y la configuración del software y el hardware de protección pueden ser costosas debido al rápido crecimiento. Es el reto más citado por los expertos del sector.

Comportamiento inusual

Es de esperar que a estas alturas tengas suficiente información para empezar a recopilar datos sobre el comportamiento de los usuarios. Aunque lo que se considera sospechoso puede diferir de un comerciante o procesador de pagos a otro, hay algunas señales de alarma generales a las que hay que prestar atención, perfectamente ejemplificadas en el siguiente gráfico:

• Por qué funciona: Los estafadores suelen intentar trabajar con rapidez y utilizan varios datos de tarjetas robadas seguidos para maximizar la cantidad que pueden extraer. Esto significa que su comportamiento sigue ciertos patrones que apuntan al fraude digital.
• Principal reto: Analizar el comportamiento es muy difícil de hacer sin una solución de gestión de riesgos adecuada, ya que el comerciante necesita hacerlo en tiempo real.

Cuidado con las transacciones muy pequeñas

No todos los pagos fraudulentos realizados a tu empresa te afectarán directamente. A veces, los estafadores te utilizarán para «probar una tarjeta», normalmente comprando artículos o servicios baratos.

Por supuesto, si la transacción se lleva a cabo, los estafadores podrían perfectamente utilizar la misma tarjeta robada para comprar artículos más caros, lo que acabaría perjudicando a tu negocio. 

• Por qué funciona: identificar las pruebas de la tarjeta lo antes posible puede ayudar a evitar que los estafadores utilicen los datos de la tarjeta robada para transacciones más grandes.
• Principal reto: vigilar las pequeñas transacciones que, de otro modo, pasarían desapercibidas.

Analizar las tarjetas de regalo

El fraude con tarjetas de regalo suele ser un problema que va de la mano del fraude CNP. Los individuos que buscan convertir rápidamente los productos robados en dinero en efectivo a menudo activan las tarjetas de regalo utilizando detalles de pago robados, y luego venden estos fondos entregados digitalmente en un mercado abierto en cuestión de minutos.

Si tu empresa tiene un programa de fidelización u ofrece tarjetas de regalo como producto (o método de pago), es conveniente que estés muy atento a ello.

• Por qué funciona: Añadir un obstáculo adicional para los estafadores que quieren realizar fraudes con tarjetas de regalo puede ayudar a reducir también el fraude con tarjetas no presentes. 
• Principal reto: Ofrecer suficientes canales de pago y programas de fidelización sin sufrir el abuso de las bonificaciones.

Solicita una autenticación adicional

A estas alturas, deberías tener toda la información que necesitas para segmentar a los usuarios en función de su riesgo. Entonces, es el momento de reducir el riesgo solicitando detalles adicionales de autenticación. 

En SEON, nos gusta llamarlo KYC ligero y pesado. Y nuestro sistema de gestión es experto en activar solo los métodos de autenticación pesada basados en tus propios umbrales. Esto significa que los usuarios legítimos podrán comprar con la menor fricción posible, mientras que los potenciales estafadores de CNP y de tarjetas presentes tendrán más dificultades para pasar por el aro.

Cada empresa tiene que encontrar el equilibrio adecuado entre el KYC pesado y el ligero

En la práctica, lo primero que se debe hacer es activar herramientas de KYC ligero, como el análisis del correo electrónico, el análisis de la IP o la huella digital del dispositivo, entre otras.

Si encuentras suficientes banderas rojas como para preocuparte, puedes activar medidas de autenticación adicionales como la verificación de la identidad, el 2FA o la preautorización de la tarjeta de crédito.

• Por qué funciona: Mantienes a tus clientes contentos y desalientas a los estafadores de tarjetas no presentes haciéndoles saber que son sospechosos.
• Principal reto: Una vez más, puede ser difícil automatizar el KYC adaptable a escala sin el sistema adecuado.

Disputar devoluciones de cargos

Un aspecto del fraude con tarjeta no presente que todavía no hemos tratado es el problema del fraude amistoso. Como ya sabrás, no hay nada de amistoso en ello. Las transacciones con tarjeta no presente que pueden perjudicar a tu negocio se producen cuando:

• Los clientes cambian de opinión sobre una compra y alegan que fue fraudulenta.
• Utilizan su tarjeta real para intentar estafar al sistema reclamando una devolución de cargo.
• Los miembros de una familia procesan pagos con la tarjeta sin autorización.

La conclusión es que la devolución de cargos es claramente culpa del cliente. Y, lo creas o no, los emisores y los bancos son bastante buenos a la hora de ponerse del lado de las empresas, si tienes todos los datos correctos para respaldar tu reclamo (lo que nos remite a nuestros consejos nº 1 y nº 2).

Entonces, ¿qué se puede hacer con datos enriquecidos? Por ejemplo, uno de nuestros clientes utiliza nuestra herramienta de análisis de redes sociales. Descubrieron que algunos clientes afirmaban que nunca habían recibido el producto, y encontraron publicaciones en las redes sociales en las que mostraban el mismo producto en internet. Eso sí que es pillar con las manos en la masa.

• Por qué funciona: Si tienes la información correcta a mano, puede ser más fácil de lo que crees ganar una disputa de devolución de cargos, que puede considerarse un fraude amistoso.
• Principal reto: Recoger los datos correctos en el momento adecuado.

Investiga las reglas de velocidad

Los dos últimos consejos son técnicamente más avanzados, y no me imagino que puedas hacerlo sin una solución completa de extremo a extremo. 

Así que, si tu sistema lo permite, te recomiendo encarecidamente que busques reglas de velocidad. Se trata de reglas para calcular el riesgo de las transacciones de CNP que tienen en cuenta las conexiones y combinaciones de puntos que se producen durante un periodo de tiempo determinado, como por ejemplo:

• dirección de envío conectada a varias tarjetas diferentes en un corto período de tiempo;
• alto número de transacciones en la misma tarjeta;
• alto valor del pedido y método de envío más rápido;
• pedidos de artículos de alto precio durante el día…

Por lo tanto, se trata de una especie de perfil de comportamiento, muy eficaz por cierto. 

• Por qué funciona: Otra forma de perfilar el comportamiento de los estafadores CNP, sin crear fricciones para los usuarios legítimos.
• Principal reto: El número de combinaciones de reglas de velocidad es prácticamente infinito, por lo que hay que afinar la búsqueda (o dejar que un sistema de IA ayude) para extraer buenos parámetros.

Construir tablas de puntuación de riesgo

Reducir el fraude con tarjeta presente y con tarjeta no presente consiste en calcular el riesgo y establecer los límites. Por eso, a veces es necesario tener suficientes datos sobre los estafadores para poder predecir quién será un mal cliente.

Una forma conveniente de hacerlo es a través de las tablas de riesgo, que permiten agrupar a los usuarios en función de datos, comportamientos y puntuación de riesgo similares.

Estas tablas de indicadores, que utilizan modelos estadísticos, pueden variar mucho en complejidad, por lo que no entraremos en demasiados detalles técnicos aquí. Pero tanto si lo haces manualmente como si utilizas una solución automatizada, los cuadros de indicadores son una forma fantástica de detectar el fraude y, por tanto, de reducir los posibles daños. 

• Por qué funciona: La creación de modelos de riesgo ayuda a extraer información sobre los malos usuarios y a detectar el fraude antes de que pueda producirse.
• Principal reto: Las tablas de indicadores de riesgo son modelos estadísticos complejos que pueden ser difíciles de crear manualmente.

Soluciones para el fraude con tarjeta no presente

Para las empresas, hay una gama de productos de prevención del fraude disponible para integrar en tu negocio, tanto si necesitas un sistema completo como módulos individuales.

Lo ideal es cubrir los 10 puntos anteriores, pero también merece la pena considerar si necesitas más medidas de protección como la biometría, los captcha o las contraseñas de un solo uso.

Un módulo de huellas de dispositivos permitirá a tu gestor de fraudes analizar el hardware y el software de una persona que visite o realice una transacción en tu sitio web.

La huella digital del dispositivo extrae miles de puntos de datos utilizables para detectar actores potencialmente maliciosos, algunos de esos parámetros incluyen:

• Dirección IP
• Encabezados de solicitud HTTP
• Plugins o fuentes
• Sistema operativo
• Información sobre la VPN y el navegador
• Zona horaria e idioma
• Agentes de usuario
• Y mucho más…

Entender todo lo que pueda sobre cualquier usuario y no aprovechar todos los datos disponibles o pasar por alto los datos aislados será una forma segura de evitar el fraude CNP.

Transacción con tarjeta no presente (CNP): Hazlo bien

Al igual que con muchos otros tipos de fraude, la mejor manera de mejorar tus transacciones CNP es estar preparado, bien equipado y con conocimientos. Esto es cierto tanto si utilizas un sistema completo de prevención del fraude de principio a fin como si utilizas varias capas de protección a través de diferentes herramientas.

Simplificar el enriquecimiento de datos para las pequeñas empresas es también algo en lo que hemos pensado mucho en SEON. Por eso incluso hemos creado una herramienta que le ofrece una flexibilidad total al funcionar como una solución de enriquecimiento de datos con un solo clic: nuestra extensión para Google Chrome. 

Está diseñada para acelerar el enriquecimiento de datos basado en direcciones de correo electrónico, números de teléfono o direcciones IP, para que puedas empezar a reducir el fraude CNP con un solo clic hoy mismo. 

Preguntas Frecuentes

Lee más:

• SEON: Detección de Fraudes en el Comercio Electrónico

Fuentes:

• Payments Journal: A Smart Solution to Manage Card Fraud
• PCI Security Council: Protect your business. Secure your payment data
• Tech Republic: Data protection: Top 3 business challenges