Protección contra el fraude en el ecommerce para empresas en línea: la guía definitiva

Todo lo que debes saber para mantener a raya a los estafadores.

Las noticias para las empresas en línea son buenas y malas.

La buena es que se espera que el ecommerce supere los USD 2 billones en 2028.

¿La mala? Este crecimiento de las ventas en línea irá acompañado de un aumento del fraude en el ecommerce.

Se espera que el costo del fraude para los minoristas en línea supere los USD 40 000 millones en 2027. A medida que aumenta la popularidad de las compras en línea, también aumentan las oportunidades para que los ciberdelincuentes y los consumidores sin escrúpulos estafen a las empresas en línea.

Si tienes u operas una tienda en línea, debes protegerte contra los estafadores en línea que te roban, dañan tu reputación en línea, alejan a tus clientes, perjudican tu marca y afectan tus ganancias.

Esta completa guía te explica todo lo que debes saber sobre la protección contra el fraude en el ecommerce: qué es, cómo funciona y qué debes hacer hoy para proteger tu tienda en línea de la creciente amenaza del fraude en línea.

Empecemos.

¿Qué es el fraude en el ecommerce?

Las transacciones de ecommerce generalmente se realizan desde teléfonos inteligentes, tabletas, computadoras portátiles, computadoras de escritorio y dispositivos de juego, e incluso en el metaverso. Cuando hablamos de fraude, nos referimos a un engaño delictivo destinado a obtener un beneficio económico o personal. El fraude en el ecommerce suele ser cometido por un único estafador, una banda de delincuentes o un bot de inteligencia artificial, también con la intención de obtener un beneficio económico o personal. 

Dos cosas para recordar sobre el fraude en el ecommerce son:

• el objetivo es una empresa en línea, y
• se pretende que el engaño no se descubra.

¿Por qué se produce el fraude en el ecommerce?

El fraude en los pagos en línea se produce por varias razones, algunas históricas, otras geográficas y otras legales.

Facilidad

El consumidor actual e Internet facilitan que los estafadores tengan en sus manos información de tarjetas de crédito robadas e incluso credenciales de usuario para apoderarse de sus cuentas. Aunque las medidas de seguridad han ayudado a proteger a los consumidores, el proveedor de redes privadas virtuales NordVPN descubrió que más de 6 millones de tarjetas de crédito robadas están a la venta en la web oscura, y el precio promedio de cada una es de poco más de USD 7.

Anonimato

El fraude de pago también es popular porque se realiza sin ser visto. Los estafadores no necesitan entrar a una tienda ni hablar con alguien ni arriesgarse a ser captados por las cámaras del establecimiento. Todo lo que necesitan es un teléfono inteligente, una tableta o una computadora portátil y pueden operar desde cualquier lugar, en cualquier momento del día, sin ser vistos.

Los estafadores en línea suelen crear cuentas de correo electrónico falsas y alquilar apartados de correos utilizando alias que no revelan información personal identificable sobre ellos mismos.

Evasión

Los estafadores en el ecommerce saben que muchas empresas se esfuerzan por perseguir el fraude y a menudo pasan por alto las microtransacciones y el fraude transfronterizo del ecommerce, que se ha vuelto tan frecuente. Esto brinda a los estafadores la oportunidad de probar sus tácticas durante un tiempo antes de intentar un fraude de alto valor.

Estadísticas de fraude en el ecommerce

Según Juniper Research, se espera que el fraude en el ecommerce alcance los USD 206 000 millones en 2025, y las empresas podrían perder más de USD 343 000 millones por fraude en línea hasta 2027. 

Otras estadísticas relacionadas con el fraude en el ecommerce que se encuentran en estos informes son las siguientes:

• Se prevé que el fraude de identidad sintética cueste a las empresas USD 14 000 millones de aquí a 2025.
• América del Norte y Europa han sido los países más afectados por el fraude en el ecommerce, con unas pérdidas previstas de USD 50 000 y USD 35 000 millones, respectivamente, para 2025.
• Se espera que la región Asia-Pacífico sufra pérdidas por fraude en el ecommerce de USD 54 000 millones de aquí a 2025.
• La industria de los bienes digitales y la transferencia de dinero es una de las más vulnerables al fraude en línea, con unas pérdidas previstas de USD 60 000 millones para 2025.

Tipos comunes de fraude en el ecommerce

Cada día, los estafadores inventan nuevas formas de robar a consumidores y empresas.

Estos son los tipos de fraude más comunes en la actualidad:

• Fraude sin presencia de la tarjeta

El fraude sin presencia de la tarjeta se produce siempre que se realiza una compra fraudulenta en línea. Las transacciones sin presencia de la tarjeta son susceptibles de fraude porque el titular de la tarjeta no está físicamente presente cuando se procesa el pedido, lo que facilita a los estafadores el uso de información de tarjetas de crédito robadas. Además, como ahora muchas compras se hacen en línea, los delincuentes tienen aún más oportunidades de estafar al titular de la tarjeta robada y al propietario de la tienda, que debe reembolsar la compra (y a veces pagar una comisión de contracargo al banco emisor de la tarjeta).

• Fraude de contracargo

Un contracargo se produce cuando un comprador en línea realiza una compra con su tarjeta de crédito, recibe los bienes o servicios adquiridos, pero luego solicita un reembolso al banco emisor (el banco que emitió su tarjeta de crédito). Esto da lugar a que el banco exija al minorista que le devuelva el monto de la compra. Cuando un banco exige un contracargo, el comercio en línea es responsable de reembolsar la compra.

El fraude de contracargo se produce cuando un cliente realiza una compra legítima con tarjeta de crédito, recibe el producto o servicio y presenta intencionalmente un contracargo a través de la entidad emisora de la tarjeta de crédito con el objetivo de recibir un reembolso completo y quedarse con el producto.

• Fraude de apropiación de cuenta

El fraude de apropiación de cuenta ha sido una preocupación creciente durante años y representó uno de cada cinco intentos de inicio de sesión y el 13 % de los costos de fraude de ecommerce en Estados Unidos en 2021. Los dispositivos móviles no protegidos, las contraseñas fáciles de adivinar y las transmisiones sin cifrar han abierto un mundo de posibilidades para que los piratas informáticos roben datos confidenciales y credenciales de pago. En 2020, la Comisión Federal de Comercio registró 393 207 denuncias oficiales de robo de identidad mediante fraude con tarjetas de crédito. Los ciberdelincuentes también han perfeccionado el malware dirigido a dispositivos móviles para recopilar datos, tomar el control de los dispositivos y modificar su configuración. Utilizando esta información, los ciberdelincuentes pueden piratear estas cuentas, cambiar las contraseñas y realizar compras no autorizadas. El fraude de apropiación de cuenta puede dar lugar a altas tasas de contracargo.

• Fraude de triangulación

El fraude de triangulación consta de tres pasos para estafar a las empresas en línea. En el primer paso, los delincuentes crean una tienda en línea falsa, generalmente una que ofrece productos de marcas conocidas a precios de ganga. El único objetivo del sitio es robar nombres, direcciones y números de tarjetas de crédito de compradores desprevenidos. En el segundo paso, los estafadores utilizan las credenciales del cliente y los números de tarjeta de crédito robados para visitar una tienda en línea legítima, comprar exactamente lo que la víctima adquirió en la tienda falsa y enviárselo al cliente. En el tercer paso, los estafadores utilizan los datos robados de los clientes para realizar compras adicionales en línea que se envían a sí mismos.

• Fraude amistoso

El fraude amistoso se produce cuando un cliente paga con una tarjeta válida y luego reclama que su pedido nunca llegó, que estaba dañado o que tenía diferencias significativas con la descripción del producto en el sitio web. Por lo general, el fraude amistoso se considera “accidental” y puede ocurrir por varias razones:

• El cliente olvida que realizó la compra.
• Otro miembro de la familia autoriza la compra.
• El cliente olvida que aceptó el pago recurrente.
• El cliente no entiende la política de devoluciones del comerciante.

El fraude amistoso representó el 29 % de las pérdidas del ecommerce estadounidense en 2021.

• Abuso de las devoluciones

El abuso de las devoluciones se produce cuando los delincuentes se aprovechan de la política de devoluciones de una empresa en línea, y cuesta a los minoristas estadounidenses más de USD 12 000 millones al año. La mayoría de las veces es perpetrado por un estafador experto que ha estudiado las políticas de una empresa para encontrar sus vacíos legales. Entre los tipos más comunes de abuso de devoluciones se incluyen los siguientes:

• Devoluciones de mercancías robadas 
• Fraude de recibos
• Fraude de empleados
• Arbitraje de precios
• Fraude de cambio
• Bricking
• Wardrobing
  
  

• Fraude con tarjetas de regalo

El fraude con tarjetas de regalo se produce cuando los estafadores acceden a los códigos de activación de las tarjetas de regalo y las utilizan para realizar compras con poco o ningún seguimiento. Esto sucede cuando se roban cuentas o se piratean cuentas de fidelización para convertir los puntos en tarjetas de regalo digitales. Los estafadores también utilizan bots para buscar palabras clave en correos electrónicos y mensajes de texto que indiquen la transmisión de una tarjeta de regalo. En esos casos, el estafador accede a la información de la tarjeta de regalo sin que el usuario lo sepa. No es hasta que el cliente intenta canjear su tarjeta de regalo cuando descubre que el saldo ya no está disponible.

• Abuso de cupones

El abuso de cupones o descuentos se produce cuando un estafador crea varias cuentas para poder utilizar una promoción más de una vez. Las empresas medianas y grandes tienen más probabilidades de sufrir este tipo de fraude porque suelen ofrecer cupones, descuentos y otras promociones con la intención de atraer a más clientes. Si bien algunos tipos de abuso de políticas son perpetrados por estafadores individuales, el abuso de cupones suele ser obra de redes delictivas a gran escala y cuentas falsas registradas en masa.

• Fraude como servicio

El fraude ha evolucionado con el tiempo hasta convertirse en un modelo de negocio para muchos estafadores. Mediante el uso de bots y la suplantación de marcas, los estafadores pueden alquilar redes de bots a “proveedores de servicios” de fraude para lanzar campañas fraudulentas a gran escala contra sitios web y realizar ataques de phishing contra las víctimas. 

Los estafadores simplemente necesitan ingresar los nombres de las víctimas y sus instituciones financieras o tiendas favoritas, y los bots se encargan del resto: realizan ataques de phishing para obtener las contraseñas de las víctimas, lo que permite la toma de control de las cuentas, todo esto por tan solo 15 centavos por llamada de bot.

Cómo identificar el fraude en línea

Como empresa en línea, puedes detectar el fraude en el ecommerce de varias maneras. Recuerda que el éxito del fraude en el ecommerce depende de la habilidad y el ingenio de los estafadores. A medida que las empresas aumentan sus defensas contra la actividad delictiva en línea, los delincuentes en línea también mejoran su estrategia e idean formas astutas de estafar a sus objetivos. 

Estas son las señales de alarma más comunes:

Los datos del pedido no coinciden

El código postal y la ciudad introducidos no coinciden. O la dirección IP del comprador y su dirección de correo electrónico no coinciden.

Pedido superior al promedio

El pedido es mucho mayor de lo que suele gastar tu cliente. Entre otras señales de alarma se incluyen los pedidos de varios productos con el mismo número de unidad de mantenimiento de existencias (SKU) y el envío urgente (el delincuente quiere recibir el pedido antes de que lo descubran).

Ubicación inusual

Tu cliente siempre compra desde una dirección IP en América del Norte, pero de repente realiza una compra desde una dirección IP en un lugar inusual (Nigeria, por ejemplo).

Varias direcciones de envío

El comprador realiza varias compras con una misma dirección de facturación, pero envía los productos a varias direcciones.

Muchas transacciones en poco tiempo

El estafador realiza varias compras seguidas, y no es época de fiestas.

Varios pedidos con varias tarjetas de crédito

Alguien realiza numerosas compras utilizando varias tarjetas de crédito (en un día o durante un periodo más largo).

Varias transacciones rechazadas seguidas

El comprador no hace solo uno o dos intentos (al fin y al cabo, los compradores honrados cometen errores), sino cuatro, cinco, seis, siete, ocho o más intentos sin acertar el número de tarjeta, la fecha de vencimiento y el código de seguridad de la tarjeta.

Cadena de pedidos desde un nuevo país

Nunca has recibido un solo pedido del Reino de Bután y, de repente, recibes 11 pedidos de ese país en una semana.

10 pasos para prevenir el fraude en tu tienda de ecommerce

La clave para proteger tu tienda en línea o aplicación móvil del fraude en el ecommerce no es solo reconocer estas actividades cuando las ves, sino tomar medidas para evitarlas desde el principio.

Tienes varias herramientas a tu disposición: algunas técnicas, otras no técnicas, algunas basadas en software y otras basadas en conocimientos tradicionales. Estos son los pasos que puedes dar hoy mismo para prevenir el fraude en tu tienda en línea.

1. Realizar auditorías periódicas de seguridad del sitio

¿Quieres descubrir fallas en tu seguridad antes de que lo hagan los delincuentes y estafadores? Realiza auditorías de seguridad con frecuencia. Hazte estas preguntas:

• ¿Están actualizados el software y los complementos de nuestro carrito de compra?
• ¿Nuestro certificado SSL está actualizado y en funcionamiento?
• ¿Nuestra tienda cumple con las normas de seguridad de datos de la industria de tarjetas de pago?
• ¿Hacemos copias de seguridad de nuestra tienda en línea con suficiente frecuencia?
• ¿Usamos contraseñas seguras para las cuentas de administrador, los paneles de alojamiento, los sistemas de gestión de contenido, la base de datos y el acceso FTP?
• ¿Realizamos análisis periódicos en busca de malware en nuestro sitio web?
• ¿Ciframos las comunicaciones entre nuestra tienda y nuestros clientes y proveedores?
• ¿Eliminamos los complementos inactivos?

2. Asegúrate de que tu tienda cumpla con las normas de la industria de tarjetas de pago

Si tienes una tienda en línea que acepta pagos con tarjeta de crédito, debe cumplir con las normas de la industria de tarjetas de pago. PCI son las siglas de “Payment Card Industry” (industria de tarjetas de pago). Las normas de cumplimiento de la PCI son desarrolladas y gestionadas por el Consejo sobre Normas de Seguridad de la PCI para garantizar la seguridad de las transacciones con tarjetas de crédito en la industria de pagos. El cumplimiento con la PCI significa que tu tienda en línea y tus procesos comerciales cumplen estas normas de la PCI.

3. Monitorea tu sitio regularmente en busca de actividades sospechosas

Las tiendas físicas contratan a agentes de prevención del fraude para atrapar a los ladrones. Puedes proteger tu tienda en línea contra transacciones fraudulentas analizándola en busca de actividades sospechosas. Supervisa tus cuentas y transacciones en busca de señales de alarma, como información de facturación y envío irregular, así como la ubicación física de tus clientes. Utiliza herramientas que rastreen las direcciones IP de los clientes y te avisen de cualquier dirección procedente de países conocidos por ser base de los estafadores.

4. Utiliza un servicio de verificación de direcciones

Los procesadores de tarjetas de crédito y los bancos emisores ofrecen un servicio de verificación de direcciones para detectar transacciones sospechosas con tarjeta de crédito en tiempo real y prevenir el fraude con tarjetas de crédito. El servicio de verificación de direcciones coteja la dirección de facturación facilitada por el usuario de la tarjeta (el cliente) con la dirección de facturación del titular de la tarjeta que está registrada en el banco emisor. Esta comprobación tiene lugar como parte de la solicitud de autorización de la transacción con tarjeta de crédito por parte de la empresa. Cuando las direcciones no coinciden, el sistema rechaza la transacción o la marca para su investigación.

5. Exige los números del valor de verificación de la tarjeta (CVV) en todas las compras

Los códigos de seguridad de tres o cuatro dígitos de las tarjetas de crédito y débito se denominan valor de verificación de la tarjeta (CVV, por sus siglas en inglés) o código de seguridad de la tarjeta (CSC, por sus siglas en inglés). Al exigir a todos los compradores que faciliten este código en cada transacción, te aseguras de que los clientes tengan la tarjeta de crédito física en su poder. Esto contribuye a tu seguridad y reduce el fraude.

6. Evita recopilar demasiados datos confidenciales de los clientes

Una forma de proteger tu tienda en caso de que se produzca una filtración de datos o un hackeo es recopilar y almacenar la menor cantidad posible de datos de los clientes. Los hackers no pueden robar lo que no tienes. Por tanto, recopila únicamente los datos necesarios para completar una transacción y enviar el producto. Evita recopilar números del Seguro Social, fechas de nacimiento y otros datos confidenciales innecesarios de los clientes.

7. Establece límites a las compras

Según tus pedidos y tendencias de ingresos, establece límites para la cantidad de compras y el valor total en dólares que aceptarás de una cuenta en un solo día. Esto reduce al mínimo tu exposición en caso de fraude.

8. Verifica que las direcciones IP y las direcciones de las tarjetas de crédito coincidan

Cada pedido realizado en tu tienda en línea procede de una dirección IP pública y única (una cadena de números separados por puntos que identifica a cada computadora que utiliza el Protocolo de Internet para comunicarse a través de Internet). A partir de la dirección IP, generalmente se puede detectar la ciudad o región del mundo donde el comprador está realizando la compra. Si esta ciudad o región no coincide con la dirección de la tarjeta de crédito que se está utilizando, es una señal de alarma.

9. Evita las direcciones de envío no físicas

Los estafadores suelen evitar ser detectados protegiendo su dirección física y prefieren utilizar un apartado de correos u otra ubicación anónima. Al fin y al cabo, la policía no puede llamar a la puerta si no hay una puerta a la que llamar.

Si tienes una empresa en línea, y si quieres evitar este tipo de fraude, nunca envíes pedidos en línea a apartados de correos y otras direcciones virtuales, como las de los transitarios. Puedes detectar las direcciones que pertenecen a transitarios porque tienen un número de contenedor en la dirección, como 726 Dock Road Suite 300 #KXQ-582899328.

10. Prueba una solución antifraude

En lo que respecta a detectar y prevenir el fraude en línea, existe una gran variedad de soluciones de software que se adaptan a tus necesidades y a tu presupuesto. Además, las herramientas que elijas pueden variar mucho en cuanto a la cantidad de trabajo que conlleva la instalación y la gestión continua. Algunos prefieren una solución más práctica, mientras que otros prefieren dejarlo en manos expertas.

• Las herramientas antifraude rudimentarias realizan una única función específica. Por lo general, se integran en carritos de compras en línea y plataformas de ecommerce. Estas herramientas identifican las transacciones fraudulentas mediante la geolocalización de IP, validan las direcciones de correo electrónico, toman huellas de los dispositivos y verifican las direcciones.
• Las herramientas antifraude de nivel medio ofrecen una mayor variedad de funciones, como garantías de contracargo, rechazo automático de pedidos de alto riesgo, protecciones contra el fraude de cuentas nuevas y protección contra la apropiación de cuentas.
• Las herramientas antifraude de alto nivel ofrecen todo lo que ofrecen las demás herramientas, además de gestión tercerizada de casos, experiencia en el trabajo con grandes empresas, gestión de fraudes de lealtad, protección contra el abuso de políticas, decisiones automáticas y revisión manual de las transacciones.

El conocimiento es poder

Una vez que entiendas qué es el fraude en el ecommerce y por qué es tan frecuente, y una vez que aprendas a detectar el fraude en línea, podrás tomar las medidas necesarias para evitar el fraude en tu tienda en línea.

Cómo puede ayudar ClearSale

En ClearSale, tenemos una solución híbrida que incluye varias estrategias para ofrecer una de las soluciones de prevención de fraudes y contracargos más completas del mercado.

Empieza con un algoritmo basado en IA que utiliza las tendencias, la inteligencia y los datos recopilados durante décadas de lucha contra el fraude en las regiones de mayor riesgo del mundo. Gracias a esta tecnología, podemos aprobar automáticamente la mayoría de los pedidos con rapidez.

Los pedidos sospechosos se marcan para que nuestros más de 2000 analistas de fraude, que tienen la experiencia necesaria para reconocer algunos de los patrones de fraude más difíciles de detectar, realicen revisiones secundarias contextuales. Si es necesario, nuestros analistas pueden comunicarse con los clientes, pero lo hacen de una manera que demuestra por qué los consumidores pueden confiar en tu empresa para proteger su información.

Luego utilizamos los datos recopilados de esas revisiones contextuales para ayudar a nuestro sistema a distinguir mejor las transacciones válidas de las fraudulentas. Eso significa que nuestro sistema puede reconocer más fácilmente las transacciones “válidas” a medida que procesamos más para el cliente, lo que aumenta sus tasas de aprobación y sus ingresos.

También ofrecemos gestión de contracargos de extremo a extremo.

Para cada posibilidad, ClearSale tiene una variedad de soluciones de contracargo:

• La protección total de contracargos permite a las empresas recuperar una parte de las pérdidas causadas por transacciones fraudulentas.
• La garantía de contracargos reembolsa el importe de la transacción más el importe del contracargo por cualquier transacción no autorizada que se apruebe.
• La gestión integral de contracargos ofrece servicios completos de mitigación y resolución de contracargos, que incluyen capacitación del equipo, auditorías de datos y respuestas oportunas a los problemas.

Artículo original en: https://www.bigcommerce.com/blog/ecommerce-fraud/