Guía para herramientas antifraude en 2023

Hoy en día, el fraude es prácticamente un hecho. Solo tienes que asegurarte de que puedes anticiparte a los ataques correctos con las herramientas adecuadas utilizando nuestra guía para el proceso antifraude online.

En un mundo ideal, todas las empresas tendrían un sólido equipo de operaciones de riesgo. La realidad, por supuesto, es que no todas las empresas pueden permitírselo. Y lo que es más preocupante: las organizaciones más grandes del mundo, con recursos aparentemente ilimitados, siguen sufriendo fraudes a diario. 

Esto nos lleva a preguntarnos: ¿hasta qué punto son eficaces las actuales auditorías de riesgos realizadas por los directores financieros y otros departamentos? Y, ¿podríamos mejorarlas?

¿Por qué realizar un proceso antifraude?

El fraude online es una carga para las empresas exitosas. Si bien esto solía ser cierto solo para los minoristas de alto valor o los bancos en línea, hoy en día cualquier tipo de empresa está a merced de los ataques. El problema es que el fraude suele coger a las empresas por sorpresa. Para estar preparados, lo mejor es comprender el riesgo dondequiera que se encuentre.

Nuestra guía antifraude debería ayudar a cualquiera que haga negocios en línea a entender el riesgo potencial, para que pueda prepararse contra posibles ataques. Esto es cierto independientemente de tu capacidad o experiencia en la gestión de riesgos, o incluso del tipo de sector en el que operes.

3 pasos para preparar tus herramientas antifraude:

Esta guía es nuestro intento de ayudarte a identificar el riesgo antes de que se produzca y a comprender qué herramientas necesitarás desplegar para mitigarlo.

1. Pagos

La regla general: si hay dinero que entra y sale a través de tu sitio web, alguien intentará robarlo. Veamos dónde está el riesgo. 

1.1 – ¿Aceptas pagos con tarjeta de crédito o PayPal? test

No importa si eres un Software como servicio (SaaS), un operador de viajes o solo vendes artículos de lujo. Cuando se trata de comprar cosas con una tarjeta de crédito robada, ningún premio es demasiado pequeño para los estafadores. De hecho, los bienes de poco valor suelen ser el objetivo para probar que la tarjeta de crédito funciona, sin levantar sospechas.

El problema, por supuesto, ocurre cuando el titular legítimo de la tarjeta se da cuenta de lo ocurrido. Iniciará una devolución de cargo (o reembolso), que es costosa y requiere mucho tiempo.

Más preocupante aún: el aumento del fraude amistoso. Es lo que ocurre cuando el titular legítimo de la tarjeta impugna una compra que ha realizado (o un familiar). Si sus intenciones eran maliciosas, puede ser muy difícil de probar, a menos que se tengan los datos adecuados.

• A lo que te arriesgas: a pagar muchas tasas de devolución de cargos. Las redes de tarjetas pueden incluirte en una lista de alto riesgo y cobrarte una mayor cantidad por cada transacción. En casos extremos, pueden considerar tu negocio tan arriesgado que dejarán de permitirte aceptar pagos con tarjeta.

• Lo que hay que tener en cuenta: los altos índices de devolución de cargos, obviamente. También vale la pena vigilar las compras pequeñas (de menos de $1), que podrían apuntar a la prueba de la tarjeta.

• Las herramientas antifraude a utilizar: el análisis de la huella digital del dispositivo puede revelar mucho sobre tus clientes. Utiliza la huella digital de los dispositivos y el enriquecimiento de los datos para saber todo lo posible sobre el cliente. El buscador inverso de personas online puede señalar cuentas sospechosas.

1.2 – ¿Aceptas billeteras digitales?

Las billeteras digitales, también conocidas como monederos electrónicos, incluyen nombres famosos como Apple Pay, Google Pay y AliPay. Se consideran más seguras que los pagos con tarjeta de crédito, pero aceptarlas puede incentivar a los estafadores a robar las cuentas de tus usuarios. 

• A lo que te arriesgas: al robo de identidad y el robo de credenciales. Es cuando los estafadores entran en las cuentas de tus clientes y compran cosas para ellos mismos. Es malo para tu reputación.

• Lo que hay que tener en cuenta: los inicios de sesión desde dispositivos y lugares sospechosos.

• Las herramientas antifraude a utilizar: el análisis de las huellas digitales de los dispositivos y de las IP puede revelar mucho sobre quién está entrando en una determinada cuenta. Puedes crear identificaciones para cada combinación de software y hardware, y pedir una autenticación adicional cuando los detalles no coincidan.

1.3 – ¿Permites comprar ahora y pagar después?

Los pagos de tipo «Compre ahora, pague después» (BNPL) están de moda hoy en día. Permiten a los clientes gastar más en tu sitio, y tú pagas una pequeña cuota por el beneficio. 

• A lo que te arriesgas: el cliente puede dejar de pagar su «préstamo» en cualquier momento. La mayoría de los proveedores de BNPL ofrecen protección en este caso, pero hay que estar atento a la frecuencia con la que ocurre y a las condiciones del contrato.

• Lo que hay que tener en cuenta: los términos y condiciones del proveedor de BNPL.

• Las herramientas antifraude a utilizar: podrías utilizar reglas personalizadas y reglas de velocidad para hacer un seguimiento del comportamiento de los usuarios y señalar patrones sospechosos. También sería un buen caso de uso para Machine Learning, que podría identificar patrones extraños y sugerir reglas de riesgo.

1.4 – ¿Qué pasa con los pagos de criptomonedas?

Las soluciones de terceros como Coinbase Commerce y BitPay son cada vez más populares para las empresas que quieren aceptar criptodivisas. La baja tasa de transacción y la ausencia de devoluciones de cargos las convierten en un claro favorito. Pero no están exentas de riesgos.

• A lo que te arriesgas: otra buena razón para robar las cuentas de sus usuarios a través de un ataque de robo de identidad (ATO). La naturaleza anónima o seudónima de las criptomonedas también podría ponerte en riesgo de multas por lavado de dinero.

• Lo que hay que tener en cuenta: grandes transacciones de cuentas nuevas (que podrían apuntar al blanqueo de dinero). Registros sospechosos.

• Las herramientas antifraude a utilizar: también en este caso, el análisis de la huella digital del dispositivo y el análisis de la IP son excelentes para autentificar los inicios de sesión. Algunas herramientas de prevención del fraude permiten la integración con las herramientas de comunicación, por lo que puedes utilizarlas para la supervisión y las alertas en tiempo real. 

2. Cuentas de usuarios

Desde los SaaS hasta los neobancos, muchas empresas cuentan con la incorporación de usuarios como métrica de crecimiento. Esto conlleva su propio conjunto de retos de fraude.

2.1 – ¿Necesitas cumplir con los requisitos KYC?

Las instituciones financieras, las fintech y los neobancos están bajo el constante escrutinio de los reguladores. Es tu deber asegurarte de que las cuentas creadas en tu plataforma son de usuarios legítimos, no de estafadores.

• A lo que te arriesgas: a fuertes multas de KYC y AML. Deterioro de la reputación. Si ofreces préstamos o productos financieros, lo más probable es que los estafadores incumplan y te dejen en la ruina.

• Lo que hay que tener en cuenta: identificaciones falsas y sintéticas (que utilizan una combinación de datos reales e inventados).

• Las herramientas antifraude a utilizar: el análisis de la huella digital del dispositivo mediante el enriquecimiento de datos puede revelar mucho sobre quiénes son tus usuarios, en tiempo real. Los controles de verificación KYC con empresas oficiales también son caros, por lo que filtrar los usuarios basura de antemano es rentable.

2.2 – ¿Guardas los datos de los usuarios?

Es probable que tus cuentas de usuario estén vinculadas a información personal. Esto puede incluir una dirección, o mejor aún, para los estafadores, información de pago. 

Pero no te engañes pensando que no tienes nada que temer si tus cuentas de usuario no se utilizan para los pagos: los estafadores intentarán robar cualquier tipo de datos de acceso para minar las cuentas en busca de información personal, o para hacer phishing.

• A lo que te arriesgas: a ataques ATO o toma de posesión de la cuenta. Si los estafadores consiguen minar muchos datos, también puedes tener la obligación de divulgarlos públicamente (por ejemplo, en virtud del GDPR). Esto puede dañar seriamente la reputación de tu empresa.

• Lo que hay que tener en cuenta: intentos de inicio de sesión sospechosos. Cambios rápidos de información personal desde un nuevo dispositivo. 

• Las herramientas antifraude a utilizar: el enriquecimiento de datos y la huella digital del dispositivo pueden ayudar a autenticar a los usuarios en el inicio de sesión. Utiliza reglas de velocidad para ver la frecuencia con la que los usuarios intentan iniciar sesión y para supervisar su comportamiento.

2.3 – ¿Eres un mercado?

Los mercados online necesitan cuentas de usuario y a menudo funcionan también como billeteras online. Esto los hace doblemente vulnerables a los ataques. Pero incluso los que no almacenan fondos pueden ser un objetivo importante para los estafadores.

• A lo que te arriesgas: a cuentas falsas, multicuentas, listados fraudulentos, contenidos y reseñas falsas. Ataques ATO y en las transacciones (devoluciones de cargos, por ejemplo).

• Lo que hay que tener en cuenta: intentos de inicio de sesión sospechosos. Conexiones entre cuentas (puntos de datos sospechosamente similares). Intentos de spam y suplantación de identidad.

• Las herramientas antifraude a utilizar: el enriquecimiento de datos puede ayudar a incorporar nuevos usuarios de forma segura, y a detectar conexiones entre usuarios para acabar con redes enteras de bots o fraudes multicuentas. La huella digital del dispositivo es útil para autenticar los inicios de sesión. 

2.4 – ¿Requerimientos para el juego?

El iGaming, el juego online y las apuestas deportivas tienen sus propios retos legales. No solo deben demostrar que los usuarios son quienes dicen ser, sino también que es seguro jugar. Los estafadores abusan de estos sistemas e intentan chantajear a los operadores posteriormente.

• A lo que te arriesgas: a multas de autoexclusión. Multas de asequibilidad para los clientes.

• Lo que hay que tener en cuenta: jugadores que pierden grandes cantidades de dinero. Largas sesiones de juego.

• Las herramientas antifraude a utilizar: además de una calculadora de asequibilidad y un listado de autoexclusión, también hay que utilizar la Inteligencia Artificial para promover el juego online responsable. Las reglas de velocidad de prevención del fraude también pueden detectar comportamientos no deseados de los usuarios.

3. Marketing

Independientemente de las herramientas que utilices para llegar a nuevos usuarios y clientes, los estafadores tienen motivos para aprovecharse de ellas. 

3.1 – ¿Ofreces promociones, bonos y recompensas?

Las promociones, los bonos y las recompensas por registrarse, que en su día fueron la táctica de marketing favorita de los operadores de juegos de azar y apuestas, se utilizan cada vez más como un truco de crecimiento en todo tipo de sectores, desde los bancos de inversión hasta las tiendas online.

El problema tiene que ver, una vez más, con la facilidad con la que los estafadores crean múltiples cuentas. No les faltan opciones: emuladores, software de suplantación de identidad, tarjetas SIM virtuales, direcciones de correo electrónico desechables… 

• A lo que te arriesgas: a malgastar el dinero del marketing en los usuarios malos. Incentivar a los estafadores para que revisen tu negocio y se infiltren en él. Malo para la analítica.

• Lo que hay que tener en cuenta: las conexiones entre cuentas. Las inscripciones rápidas activan inmediatamente las recompensas con cuentas que luego permanecen inactivas.

• Las herramientas antifraude a utilizar: el análisis de las huellas digitales de los dispositivos y de las IP puede ayudar a detectar conexiones entre configuraciones de usuarios, o poner de relieve el uso sospechoso de Tor, VPN, proxies y emuladores. El análisis del correo electrónico y del teléfono también puede señalar los perfiles de riesgo de los usuarios. Las reglas de velocidad pueden identificar comportamientos sospechosos.

3.2 – ¿Trabajas con afiliados?

¿Trabajas con CPA, CPL, CPC o CPM? Apenas importa: las redes de fraude más sofisticadas y con mayores recursos podrán explotar tu programa de afiliación para activar las recompensas y llevarse los pagos. 

• A lo que te arriesgas: también en este caso, puedes perder campañas enteras de marketing, y los resultados pueden gastar el presupuesto, estropeando los KPI y tus analíticas.

• Lo que hay que tener en cuenta: un elevado número de clientes potenciales malos. Usuarios que se dan de baja en masa. Bajos índices de conversión con altas tasas de inscripción.

• Las herramientas antifraude a utilizar: monitorización del tráfico y de los comerciantes, además de la huella digital de los dispositivos para detectar el tráfico de bots y las cuentas múltiples. El análisis del comportamiento (a través de reglas de velocidad) también puede detectar patrones como registros y conversiones sospechosamente rápidos.

Qué hacer después de preparar tu proceso antifraude

Una guía para la detección del fraude es un buen comienzo para tu evaluación inicial de riesgos. Pero para obtener los mejores resultados, también debes calcular la gravedad de las pérdidas de cada punto de ataque potencial. También es una buena idea desplegar funciones cuyo objetivo sea estar al tanto de las últimas amenazas y estafas. El fraude es adaptativo, y bloquear una vía suele abrir otras dos. 

Por último, el sentido común también ayuda. Si las cifras son demasiado buenas para ser verdad, ¡podría haber algo sospechoso en juego! Para obtener más información sobre las herramientas antifraude mencionadas en esta guía para el proceso antifraude online, consulta nuestra guía sobre la suplantación de dispositivos, las reglas de velocidad y la prueba de diligencia debida del cliente.