¿Qué es el fraude por triangulación?
El fraude por triangulación es un exploit de comercio electrónico particularmente malicioso que se aprovecha de una tienda electrónica legítima para llevar a cabo una versión fraudulenta de una venta triangular, en la que el estafador se encarga de que un comprador legítimo reciba un producto que el defraudador ha adquirido utilizando una tarjeta de crédito robada.
En el aspecto triangular intervienen tres actores:
- un estafador
- un cliente legítimo
- una tienda lo suficientemente grande como para estar fuertemente automatizado
Un estafador se hace pasar por un vendedor que ofrece una gran oferta de un producto, recibe el pago del cliente real y luego utiliza una tarjeta de crédito robada para realizar su pedido en una tienda online legítima. El comprador del producto lo recibe, pero tanto el titular real de la tarjeta como la tienda salen perdiendo, y luego la empresa vuelve a perder cuando el titular legítimo de la tarjeta recibe correctamente un contracargo por la venta.
Originalmente, el fraude por triangulación se refería a algo más parecido a una oportunidad de arbitraje: comprar barato aquí y vender caro allí. Ahora, en una época en la que los estafadores pueden comprar credenciales de tarjetas de crédito robadas a bajo precio y en grandes cantidades, y en la que la detección del fraude con tarjetas de crédito es necesaria, no solo hay más en juego, sino que también es más malicioso en términos de coste y daño.
El fraude moderno por triangulación en un ecosistema CNP (tarjeta no presente) se refiere a situaciones en las que hay tres partes:
- un estafador que se hace pasar por una tienda real de comercio electrónico, o por un vendedor reputado de eBay o Amazon, armado con la información de la tarjeta de crédito robada
- un comprador que se aprovecha de un precio poco realista en un producto nuevo (o, a veces, solo un buen precio)
- un minorista de semilujo, normalmente lo suficientemente grande como para tener una infraestructura de pago y entrega totalmente automatizada
El resultado de estas estafas es el siguiente:
- El estafador se va con el dinero del comprador legítimo.
- Se recarga la tarjeta de crédito robada.
- La empresa pierde el producto y además tiene que devolver el dinero a la persona en cuya cuenta se hizo el cargo.
¿Cómo funciona el fraude por triangulación?
El fraude por triangulación consiste en que el estafador se hace pasar por un comerciante legítimo para recibir el dinero de una venta, pedir el producto después y pagar a su «proveedor» (involuntario) con una tarjeta de crédito robada. Veámoslo más de cerca.
La forma más común de fraude por triangulación se produce en cualquier lugar en el que un actor malintencionado pueda establecer lo que parece ser una tienda minorista válida. A menudo se trata de plataformas de subastas como eBay, pero también puede ser un sitio web completo, o incluso provenir de un anuncio dirigido en las redes sociales.
En la mayoría de los casos, el estafador se hace pasar por un revendedor de un producto que es lo suficientemente popular y caro como para tener un valor de semilujo, pero no tan caro como para que haya una supervisión humana de cada venta individual.
A continuación, el estafador espera -probablemente no mucho tiempo- a un cliente digital que busque la mejor oferta para ese producto. Cuando encuentran el producto a un precio que parece demasiado bueno para ser cierto, ocurre lo siguiente:
- El cliente paga al estafador que se hace pasar por revendedor del producto.
- El estafador se embolsa el dinero del cliente.
- El estafador hace el pedido del cliente al minorista real, utilizando los datos de la tarjeta de crédito robada.
- El minorista realiza el pedido, cargando la tarjeta de crédito robada y entregando el producto al cliente original.
- El cliente recibe su pedido, sin saber que ha sido una mula de dinero involuntaria.
- El verdadero titular de la tarjeta descubre el cargo fraudulento en su tarjeta y presenta un contracargo ante el emisor de su tarjeta.
- El minorista tiene que devolver el dinero, pero no tiene ningún recurso para reclamar su producto.
Uno de los ejemplos más destacados de fraude por triangulación fue descrito en detalle por Nina Kollars en la conferencia Defcon 2019 en su presentación titulada «Confesiones de una mula de dinero de Nespresso».
¿Qué tan dañino es el fraude por triangulación?
El fraude por triangulación y otros tipos similares de fraude CNP pueden costar a las empresas internacionales hasta 34.660 millones de dólares en 2022. Los estafadores que deciden llevar a cabo este tipo de fraude suelen considerarlo como un delito sin víctimas: el titular de la tarjeta de crédito recupera su dinero y una empresa importante ha sido defraudada por una cantidad de dinero que no le importa perder.
Sin embargo, a la sombra de estos 34.660 millones de dólares se encuentran los costes menos tangibles y los que recaen sobre el ciudadano medio.
En su presentación mencionada anteriormente, por ejemplo, Nina Kollars mostró cómo las víctimas eran a menudo personas mayores, no expertas en tecnología, que a menudo no entienden la situación ni conocen ningún recurso para combatirla, por ejemplo, la opción de contracargo que tienen.
¿Cómo se puede prevenir el fraude por triangulación?
El fraude por triangulación puede ser difícil de detectar, sobre todo si no se dispone de un software de seguridad especializado. En el montaje de un esquema de triangulación, todos los actores presentes en la estafa pueden parecer inicialmente legítimos. Habrá un cliente real, una tarjeta de crédito real y un pedido real de productos reales.
Como en cualquier tipo de fraude digital, es esencial saber todo lo posible sobre el cliente, pero disponer de una buena seguridad con un mínimo de fricciones y falsos positivos es un equilibrio delicado.
Cuando busquemos detener el fraude por triangulación, deberemos tener en cuenta datos como:
- La antigüedad de la cuenta. ¿Alguna de las cuentas es sospechosamente nueva y no ha sido calificada por los clientes?
- Direcciones físicas conflictivas. ¿Están relacionadas las direcciones de facturación y de envío o no?
- Datos de contacto falsificados. ¿Responden las partes a los intentos de comunicación, por ejemplo, por teléfono?
- Conexiones de comportamiento. ¿Se nombran varias cuentas según un patrón o comparten contraseñas similares?
La implementación de una solución de prevención del fraude adecuada permitirá en primer lugar a las empresas recopilar información sobre los estafadores mediante:
- El enriquecimiento de datos: lo que permite a las empresas comprobar la validez de las direcciones de correo electrónico, por ejemplo, si la cuenta de correo electrónico -y, por tanto, las cuentas comerciales asociadas- se ha creado recientemente, así como los datos de la dirección IP.
- Búsqueda inversa de redes sociales: Mientras que un estafador puede tener acceso a cualquier número de credenciales de tarjetas de crédito, tendrá poca capacidad para convertir sus identidades robadas en compradores realistas, con los perfiles de las redes sociales y de las plataformas en línea comúnmente asociados con cualquier presencia legítima en línea.
- Huellas digitales de los dispositivos: Al examinar la forma en que los usuarios se conectan al sitio web de una empresa, teniendo en cuenta aspectos como la presencia de una VPN o una configuración de hardware inusual, las empresas pueden identificar los patrones habituales de los estafadores y defenderse.
- Comprobaciones de velocidad y comportamiento: Al identificar la multicontabilidad, podemos atrapar a aquellos delincuentes que están llevando a cabo varios esquemas de fraude de este tipo al mismo tiempo.
Con una suite de seguridad que cuente con las herramientas adecuadas, las empresas deberían ser capaces de detectar y detener a los estafadores que intenten realizar un fraude por triangulación.
A partir de ahí, en función de los resultados, un equipo dedicado al fraude puede revisar el análisis de enriquecimiento de datos para determinar si un cliente es válido y firmarlo manualmente, con solo un mínimo de fricción añadida.
También puede ayudar a habilitar herramientas de machine learning para la prevención del fraude que pueden sugerir nuevas reglas de riesgo a medida basadas en las necesidades de cada empresa, así como agilizar el proceso de aprobación.
Aprende cómo el fraude con tarjeta no presente puede afectar a tu negocio, cómo te afectan los contracargos y cómo afrontarlo todo.
Protege tu negocio
Términos relacionados
Artículos relacionados
Detección de fraudes con machine learning e IA
5 Tipos de fraude en el ecommerce: Cómo prevenirlo y detectarlo en 2022
Cómo la prevención y detección del fraude en los pagos puede ayudar a tu negocio