A
Control de la cuenta
A medida que la EMV se implementa en todo el mundo, los estafadores encuentran que el fraude con las tarjetas de crédito es más difícil y muchos pasan al control de la cuenta que es más lucrativo. En esta versión del robo de identidad, un estafador obtiene el acceso sin autorización a la cuenta de un cliente (que varían desde cuentas de corredores y bancos hasta medios sociales y cuentas de lealtad a una tienda), a menudo a través del filtrado de datos, “malware” o “phishing”. El estafador modifica la información de contacto de la cuenta de manera tal que la víctima pierde el control de la cuenta. A menudo, la víctima no tiene conocimiento de que su cuenta ha sido comprometida.
Este tipo de fraude es mucho más común de lo que uno piensa. El fraude por el control de la cuenta aumentó un 280% en 2015 y se espera que siga aumentando. ¿Por qué el aumento? Las credenciales son mucho más valiosas para los estafadores que los datos de las tarjetas de crédito: Los números nuevos de tarjetas de crédito se venden por $2 (mientras que los viejos solamente por 50 centavos), mientras que las credenciales de ingreso pueden obtener más de $1,000 en la Internet oscura.
Las empresas que venden suscripciones a menudo se encuentran con un riesgo particularmente mayor de sufrir el control de las cuentas. En estas situaciones, los comerciantes a menudo no se preocupan porque ya han establecido una relación con el cliente; como resultado, si el cliente es víctima del fraude, podrían aprobarse múltiples transacciones fraudulentas antes de que el comerciante descubra lo que ha ocurrido.
Arbitraje
El arbitraje ocurre cuando un tercero imparcial resuelve una disputa entre dos partes fuera de litigios, al escuchar la evidencia y el testimonio y tomar una decisión.
Los comerciantes en el eCommerce usan cada vez más la resolución de disputas en línea, un tipo de arbitraje, para resolver problemas con una transacción. PayPal, por ejemplo, tiene un centro de resolución en el que PayPal investiga una transacción basada en la evidencia provista por el comprador y el vendedor y toma una decisión a favor de una de las partes.
Inteligencia artificial
La inteligencia artificial (AI por sus siglas en inglés), también llamado el machine learning avanzado, está en todos lados en la actualidad, desde “chatbots” (“bots” de conversación) hasta la lista de sugerencias al cliente "Podría gustarle" de Amazon. Según Gartner, fue una de las 10 tendencias de tecnología estratégica en 2016 y pocas áreas las han aprovechado tan completamente como la industria de gestión del fraude. Permite que hasta pequeñas empresas puedan aceptar el volumen de datos de transacción que llegan y se benefician del aumento de las ventas, reducen el fraude y mejoran la experiencia del cliente.
Cuando se trata de identificar transacciones fraudulentas, la inteligencia artificial usa los datos disponibles, identifica tendencias y patrones de conductas de compra y aprende cómo separar con mayor precisión las buenas transacciones de las malas. Si bien el sistema no es perfecto, su precisión mejora cuanto más datos se incluyen.
Autenticador
Los servicios de un autenticador brindan un nivel adicional de protección a los clientes al confirmar la identidad del cliente durante el proceso de ingreso o de pago. Dos maneras comunes de lograrlo son:
- Desafíos con preguntas. Se puede hacerle al usuario una serie de preguntas con desafíos de la seguridad que ellos solamente saben cómo responder. Si las preguntas son respondidas correctamente, los usuarios pueden continuar ingresando a un sitio.
- Biométrica. Algunas tecnologías, como el iPhone de Apple, puede ser destrabado con una impresión digital. Otras empresas pueden usar otras características físicas o conductas que no pueden ser fácilmente cambiadas o copiadas, tales como lectura de la retina o dinámica de teclas.
Si bien los autenticadores pueden agregar fricción a la experiencia del cliente, pueden ayudar a prevenir que las cuentas del cliente sean comprometidas, incluso si un jáquer conoce la contraseña.
Autorización
Las compras en línea con tarjeta de crédito que están por encima de un umbral en dólares determinado por el comerciante no son aprobadas automáticamente. En cambio, el comerciante debe primero obtener la autorización del cargo y asegurarse de que la tarjeta de crédito está aprobada para el uso y tiene fondos suficientes para la compra. Este proceso de autorización ayuda a prevenir el fraude con tarjetas de crédito.
El pedido de autorización se envía desde el comerciante al banco de adquisición del comerciante; luego, pasa al banco que emitió la tarjeta. Si la transacción es aprobada, el monto de la compra se deduce de la cuenta del titular de la tarjeta y el cliente recibe la confirmación de la compra. Es un proceso complejo que generalmente ocurre en una cuestión de segundos.
El rechazo de una transacción a menudo se debe a una diferencia en el sistema de verificación de la dirección (AVS), un CVV inválido, una tarjeta de crédito que aparece como robada o la decisión del banco emisor de que la transacción es demasiado riesgosa.
Sistema de verificación de la dirección (AVS)
El sistema de verificación de la dirección (AVS por sus siglas en inglés) es un filtro del fraude que usan muchos comerciantes para prevenir que sean procesados pedidos potencialmente fraudulentos. El sistema verifica para asegurarse de que las partes numéricas de las direcciones de facturación y envío que el cliente indica son iguales a las que están archivadas en el banco que emitió la tarjeta; si no es así, la transacción puede ser automáticamente rechazada o separada para su evaluación manual.
Lamentablemente, el sistema de verificación de direcciones es una de las principales razones por las que se rechazan pedidos legítimos. Después de todo, quién no se ha olvidado de actualizar su dirección después de mudarse o hecho una compra de un regalo en línea durante las fiestas y pedido que se envíe directamente al destinatario. Incorporar evaluaciones manuales de transacciones marcadas puede ayudar a reducir el riesgo de los falsos positivos.
B
“Big Data”
“Big data” se refiere al volumen de información que un negocio compila y guarda cada día de una variedad de fuentes, como transacciones comerciales, datos del cliente, correspondencia por correo electrónico y presencia en medios sociales. Los comerciantes en el eCommerce pueden usar estos datos para obtener perspectivas detalladas sobre la conducta del cliente e identificar tendencias comerciales.
En 2013, Target uso estos datos para enviar a una niña de 15 años cupones relacionados con el embarazo y productos para el bebé luego de que comprara una loción sin perfume en la tienda, una compra que con frecuencia hacen mujeres embarazadas. La conducta de la compra indicó a Target algo que ni siquiera la familia de la niña sabía: La niña estaba embarazada.
Cada comerciante en el eCommerce debería analizar los datos que adquieren de sus negocios. No solamente ayudará a identificar picos en la demanda, tendencias del cliente y patrones de compra sino que también ayuda a los minoristas a refinar sus estrategias de mercadeo, mejorar el servicio al cliente y aumentar las ventas.
“Botnet”
“Botnets”, una combinación de las palabras robot y red (“network”), generalmente se refiere a grupos maliciosos de dispositivos conectados a Internet que se usan para robar datos y comprometer otras computadoras y sistemas. Estos “bots” son creados cuando un dispositivo es penetrado por “malware”, permitiendo al jáquer controlar el dispositivo y asistir en actividades como la distribución de ataques de denegación de servicios (DDoS por sus siglas en inglés) y enviar spam a miles de usuarios.
Algunos estafadores instalan spyware o dispositivos jaqueados para captar datos financieros sensibles que se pueden vender en la Internet oscura. Los comerciantes en el eCommerce y grandes empresas son con frecuencia las víctimas de estos tipos de ataques; en 2010, un “botnet” comprometió aproximadamente 75,000 computadoras personales en casi 2,500 empresas y entidades gubernamentales de todo el mundo. Como resultado del “malware”, los jáqueres consiguen nombres de usuarios y contraseñas de sitios de banca y correo electrónico (como Hotmail y Yahoo); también penetraron a servidores corporativos que guardaban datos financieros sensibles de clientes.
C
Fraude de tarjeta no presente/fraude CNP
Una transacción con tarjeta no presente (CNP por sus siglas en inglés) ocurre cuando un cliente realiza una compra por correo, por teléfono o en línea, cuando el cliente no está físicamente presente para mostrar la tarjeta de crédito en el momento de la compra. Este método de pago es conveniente para los clientes y esencial para minoristas en línea, pero también es vulnerable al fraude.
Los criminales cibernéticos roban la información de tarjetas de crédito, a menudo “skimming” o comprando datos en la Internet oscura, y luego usan esta información para realizar compras fraudulentas. Estos estafadores a menudo compran productos de alto valor, como electrónicos, para obtener el mayor beneficio posible antes de que el titular de la tarjeta descubra que su cuenta ha sido comprometida.
El comerciante es generalmente responsable por las pérdidas asociadas con el fraude de tarjetas no presentes, que incluyen la pérdida del producto, los gastos de envío, cargos y penalidades y daños a su reputación.
Se espera que los minoristas pierdan $71 mil millones globalmente de las transacciones CNP durante los próximos cinco años, en gran parte debido a la transición a la tecnología de tarjetas con circuito integrado (EMV). A medida que las oportunidades para que los estafadores cometan el fraude usando datos encontrados en tarjetas con cintas magnéticas se reduce, los criminales cibernéticos migran a la Internet oscura para comprar datos robados y buscan nuevas maneras de explotar las vulnerabilidades a la seguridad de sitios web.
Código de verificación de la tarjeta (CVV)
A los clientes que realizan compras en línea a menudo se les solicita el valor de verificación de la tarjeta, o CVV, de su tarjeta, como una manera de permitir que los comerciantes en el eCommerce verifiquen que el cliente posee la tarjeta que usan para la compra.
A pesar de que el valor de verificación de la tarjeta no se requiere en las transacciones en línea, brindan un nivel adicional de seguridad al titular de la tarjeta y el comerciante. Estos números de tres o cuatro dígitos están impresos, no repujados, en la tarjeta de crédito, lo que significa que usualmente no acompañan a la información robada de la tarjeta de crédito que se vende en la Internet oscura. Y con la mayor frecuencia del fraude CNP, que se proyecta llegará a los $6.4 mil millones en 2018 de $3.1 mil millones en 2015, los comerciantes deberían aprovechar todas las funciones de seguridad que tienen a disposición.
Contracargo
Cuando un titular de la tarjeta identifica una transacción cuestionable en un estado de cuenta de una tarjeta de crédito, el titular de la tarjeta puede presentar una queja al emisor de la tarjeta. Si el emisor determina que el titular de la tarjeta no es responsable por el pago (por ej., si la tarjeta ha sido robada o si las mercaderías nunca fueron recibidas), el emisor reembolsará el monto original de la transacción al titular de la tarjeta. El emisor luego devolverá cualquier pago hecho previamente al comerciante y cobrará al comerciante un cargo adicional.
Esta devolución del pago más el cargo se llama un contracargo.
Los contracargos pueden ser desbastadores para los comerciantes: Pierden el valor del producto; deben gastar tiempo, dinero y esfuerzo en la investigación y disputa de los contracargos; y luego deben pagar cargos y penalidades. Los contracargos cuestan a los comerciantes casi $11.2 mil millones en ingresos perdidos en 2015, y dicho monto aumenta un 20% cada año.
Cargos por contracargos
Cuando un cliente inicia una disputa por un contracargo, la mayoría de los bancos adquisitorios devuelven inmediatamente el monto de la transacción al cliente mientras investigan la disputa. El banco también deducirá automáticamente los cargos del contracargo de la cuenta del comerciante.
Según LexisNexis, por cada $1 en pérdidas por contracargos fraudulentos, los comerciantes deben gastar $2.40 adicionales en la recuperación del inventario, reemplazos y cargos. Y eso incluye los cargos del contracargo cobrados por el banco adquisitorio y el procesador de la tarjeta de crédito, que pueden exceder los $75 por disputa.
Fraude de contracargo
Si bien los contracargos fueron establecidos para proteger a los clientes contra las pérdidas que surgen debido al robo de identidad y prácticas injustas de los comerciantes, los clientes aprovechan la situación que automáticamente favorece a los clientes durante una disputa relacionada con una tarjeta de crédito. En estas situaciones, el cliente solicita un contracargo en una transacción legítima para poder quedarse con el producto y recibir el reembolso completo del precio original.
Esto hace que el comerciante tenga que asumir la pérdida en los ingresos que hubiera generado la venta, más los costosos cargos del contracargo, además de la pérdida potencial de su cuenta de comerciante si el cociente de contracargos es demasiado alto.
Lamentablemente, un 86% de los contracargos son considerados fraudulentos. Si todo eso no fuera lo suficientemente problemático, un 40% de los clientes que presentan un contracargo fraudulento presentan otro en menos de 90 días.
Seguro contra contracargos
Para los comerciantes que aceptan tarjetas de crédito, el seguro contra contracargos brinda una garantía del 100% que protege al comerciante en caso de que la empresa asociada de solución del fraude apruebe una transacción que se determina es fraudulenta y resulta en contracargos. Si esto ocurre, la empresa asociada a cargo del fraude paga todo el costo del contracargo.
Un buen programa de seguro contra contracargos funciona igual que cualquier otro tipo de seguro al cubrir las pérdidas que incurre la parte asegurada después del pago de una prima nominal a la compañía de seguro contra contracargos.
Protección contra contracargos
La protección contra contracargos generalmente cubre una parte de las pérdidas que podrían incurrir una empresa debido a transacciones fraudulentas. A pesar de que la protección contra contracargos funciona para limitar las pérdidas por el fraude, no reembolsará a los comerciantes por los contracargos que ocurrirán. En cambio, los comerciantes reciben descuentos en las facturas basado en índices claves de rendimiento (KPI por sus siglas en inglés) predeterminados que no fueron alcanzados.
La protección contra contracargos puede variar mucho según el proveedor. Algunos proveedores no cubren contra las pérdidas, dejando a los comerciantes con la responsabilidad por todos los contracargos y las penalidades y en cambio, simplemente ofrecen herramientas para ayudar a monitorizar las transacciones e identificar el fraude.
La protección contra contracargos tampoco protege contra el daño a la reputación del vendedor o contra los aumentos potenciales en los cargos por procesamiento del pago que podrían ocurrir a medida que aumenta el cociente de contracargos del comerciante.
Cociente de contracargos
El cociente de contracargos de un comerciante es el número de contracargos comparado con las transacciones totales de un mes determinado. A medida que aumenta el número de contracargos contra un minorista, también aumenta el cociente.
Es importante hacer notar que cada emisor de tarjetas calcula este cociente de manera algo diferente. Visa, por ejemplo, divide el número de contracargos del mes en curso por el número total de transacciones del mes. Pero, MasterCard, divide el número de contracargos del mes en curso por el número total de transacciones del mes anterior.
Sin embargo, independientemente del emisor, las empresas necesitan mantener bajos sus cocientes de contracargos, idealmente menos de un 1% del total de transacciones. Un cociente de contracargos más alto que un 1% crea el riesgo de que el comerciante pueda perder sus servicios bancarios, sufrir costos más altos del programa y ser clasificado como un comerciante de alto riesgo. Los comerciantes con cocientes de contracargos excepcionalmente altos hasta pueden perder completamente sus privilegios de procesamiento.
Lamentablemente, hasta los contracargos que un comerciante gana se cuentan para calcular el cociente.
Burós de crédito
Las agencias que recogen y venden datos relacionados con la aptitud crediticia de un individuo son llamadas burós de crédito. Si bien no afectan si se extiende el crédito a una persona, el buró de crédito acumula valiosa información que permite a los acreedores decidir cómo es de apto un individuo.
Debido a que los burós de crédito manejan información tan sensible, son particularmente vulnerable a ataques cibernéticos y filtración de datos. En 2017, se estima que un problema de seguridad en Equifax resultó en la exposición de los datos personales de 143 millones de norteamericanos.
Fraude con tarjetas de crédito
El fraude con tarjetas de crédito se refiere al robo en el que una tarjeta de débito o crédito se usa para pagar una transacción, con la intención de quedarse con los bienes y servicios sin pagar por ellos.
Los tipos de fraude con tarjetas de crédito incluyen el robo de identidad, la asunción de la identidad y muchas compras fraudulentas. Los estafadores pueden obtener los datos de la tarjeta de crédito de una víctima al comprar la información en la Internet profunda, usando “skimmers” en los surtidores de estaciones de servicio o a través del filtrado de datos corporativos.
El eCommerce ha hecho que sea más fácil para los estafadores usar estos datos robados y el comerciante común experimenta 206 transacciones fraudulentas exitosas por mes, con $146 como el valor promedio de la transacción. El costo real del fraude con tarjetas de crédito para los comerciantes es más que el costo de la mercadería perdida, también incluye la pérdida de ganancias, los cargos del banco y los costos del contracargo.
Criptograma
Los criptogramas, o rompecabezas que consisten en texto codificado, comenzaron como un simple entretenimiento en periódicos y revistas. Pero también han sido usados para comunicar estrategias militares y ayudar a asegurar las transacciones completadas con tarjetas de crédito.
Cuando los consumidores usan una tarjeta de crédito con circuito integrado para hacer una compra, el microprocesador o microchip empotrado automáticamente cifra un valor alfanumérico especial a cada transacción. Estos criptogramas dinámicos mejoran la integridad de los datos y hacen que sea difícil para los estafadores penetrar y descodificar los datos de la tarjeta de crédito y generar tarjetas falsas para ser usadas en las transacciones en persona.
CVV
Los valores de verificación de la tarjeta (CVV por sus siglas en inglés) son números con tres o cuatro dígitos que aparecen en el frente o el dorso de las tarjetas de crédito que pueden ayudar a reducir el riesgo del fraude en las tarjetas de crédito. Estos números están impresos en la tarjeta, en lugar de repujados o almacenados en la cinta magnética. Como resultado, requerir estos números puede minimizar el fraude de tarjetas no presentes, ya que los estafadores generalmente necesitarán tener la tarjeta en la mano para obtener esta información.
Requerir un CVV en cada compra puede agregar otro nivel de seguridad a las transacciones en línea. Si el número provisto por el cliente es el mismo que el banco tiene en sus archivos, la transacción puede ser procesada de manera segura. Algunos emisores de tarjetas de crédito a veces proveen un CVV único para usar una sola vez en compras en línea, aumentando más la seguridad de las transacciones.
American Express usa un código de identificación de la tarjeta (CID por sus siglas en inglés) de cuatro dígitos, y los códigos CVC2 de MasterCard y CVV2 de Visa usan tres dígitos.
D
Internet oscura (“Dark Web”)
La Internet oscura (también conocida como la red oscura, la red profunda y la Internet profunda) es una parte oculta de Internet que no resulta indexada por motores de búsqueda tradicionales como Google. Los sitios de la Internet oscura usan una estructura de niveles de red para cifrar el tráfico de la Internet dentro de múltiples niveles y rebotan el tráfico a computadoras de todo el mundo. Cada rebote elimina un nivel de cifrado, lo que previene que cualquier persona establezca el origen del tráfico con su destino.
Una sorprendente variedad de bienes y servicios están disponibles para la compra en la Internet oscura, como números de tarjeta de crédito, títulos universitarios falsos, asesinos por contrato, números robados del Seguro Social y mucho más.
Si bien se estima que existen mil millones de páginas indexadas en Internet (basado en investigaciones de 2001), se estima que la Internet oscura incluye la increíble cantidad de 550 mil millones de páginas.
Filtrado de datos
Los filtrados de datos ocurren cuando se accede o divulgan a través de medios no autorizados datos sensibles, protegidos o confidenciales (como información bancaria, datos de salud, contraseñas o información de tarjetas de crédito).
Los filtrados pueden ocurrir a través de contraseñas débiles, jáqueres insistentes, ataques de “phishing”, ignorar parches del software y mucho más. Los filtrados de datos no tienen que ser grandes eventos como el filtrado de Equifax en 2017. Pueden ocurrir simplemente como resultado de un empleado no autorizado ver cómo un empleado autorizado escribe las credenciales de ingreso a un sitio seguro.
La filtración de datos en EE.UU. llegó a 1,579 en 2017, un increíble aumento del 44.7% comparado con el número récord de 2016. Las empresas encabezan la lista (un 55% del total de filtrados) entre las industrias que sufren mayor riesgo, y las industrias médicas/de atención de la salud (23.7%) y bancarias/crediticias/financieras (8.5%) son las dos siguientes.
Aprendizaje profundo
El aprendizaje profundo, una colección de técnicas de aprendizaje automático, es un método de varios niveles para el aprendizaje que permite que analistas humanos ingresen un algoritmo de aprendizaje y grandes cantidades de datos a una computadora y luego permiten que la computadora aprenda cómo tomar decisiones sobre dichos datos.
El resultado: El aprendizaje profundo usa una extensa red neuronal para preguntar (y responder) preguntas sobre los datos y extraer datos numéricos, usando las respuestas para resolver problemas que requieren pensamiento y gestionar exitosamente la complejidad de clasificación de los conjuntos de datos.
Amazon usa el aprendizaje profundo hoy para pronosticar lo que los consumidores desean comprar (incluso si los clientes todavía no lo saben). Google lo usa para entender mejor los pedidos y comandos hablados y Netflix usa el aprendizaje profundo para sugerir lo que los clientes deberían ver después.
Firma digital
Las firmas digitales ayudan a brindar autenticidad a un mensaje o documento digital, brindando a los destinatarios la confianza de que el mensaje fue creado y enviado por un remitente confiable y que no fue alterado durante el tránsito. Los comerciantes del eCommerce como desarrolladores de software en línea con frecuencia ofrecen firmas digitales para reasegurar a los clientes que archivos ejecutables o adjuntos son legítimos y no son “malware”.
Estas autenticaciones cifradas también son comunes en las comunicaciones electrónicas en las cuales es importante poder identificar manipulaciones (como mensajes electrónicos de instituciones financieras). Firmas digitales son equivalentes legales a firmas manuales en los Estados Unidos y muchos otros países.
Billeteras digitales
Los teléfonos inteligentes ahora pueden funcionar como billeteras digitales (o móviles) que guardan o enlazan información que se incluye en tarjetas físicas como tarjetas médicas, tarjetas de lealtad y tarjetas de crédito. Estas billeteras digitales hasta pueden almacenar tarjetas de embarque y de regalo, permitiendo que personas transporte mucho más datos de lo que podían en una billetera física. Y con un simple toque o movimiento de sus teléfonos, los clientes pueden completar transacciones.
Las billeteras digitales como PayPal, Google Wallet, la aplicación Amazon Wallet y Apple Pay hacen que sea más fácil y más rápido para los clientes hacer compras en línea y en tiendas físicas. La mayoría de las billeteras móviles usan tecnologías avanzadas de cifrado y contraseñas para proteger que teléfonos perdidos sean usados para hacer muchas compras.
Hasta marzo de 2017, un 32% de los clientes han usado una billetera digital, con un volumen proyectado de transacciones globales móviles de $721 mil millones. Las dos principales barreras para la adopción hasta ahora han sido que los clientes encuentran que es más fácil pagar con una tarjeta física (45%) o no creen que la tecnología de billeteras digitales es segura (39%).
Disputa
La Ley de Facturación Justa de Crédito, creada en 1975, estableció el proceso de disputa (o disputa de contracargo) que permite que los clientes cuestionen la validez de una transacción que aparece en su estado de cuenta. Estas disputas pueden surgir debido a situaciones como cargos no autorizados, mercaderías no recibidas, no cancelar cargos repetidos o mercaderías defectuosas.
Los clientes pueden contactar primero al comerciante directamente para tratar de resolver la disputa. Si eso falla, los clientes pueden solicitar un contracargo a la compañía de su tarjeta de crédito para resolver la disputa.
Durante los 12 meses que terminaron el 30 de setiembre de 2012, Visa evaluó aproximadamente $765.9 millones en transacciones disputadas y se determinó que un 20% de las mismas eran disputas fraudulentas, conocidas como el fraude de contracargo.
E
ECommerce
El eCommerce (e-comercio) se refiere a transacciones que ocurren entre empresas y consumidores a través de un medio electrónico. En el uso común, sin embargo, el eCommerce generalmente se refiere a comprar y vender productos en Internet y se puede dividir en tres categorías:
• Empresa a empresa (B2B)
• Empresa a consumidor (B2C)
• Consumidor a consumidor (C2C)
El eCommerce en los Estados Unidos alcanzó aproximadamente $460 mil millones en 2017, y dicha cifra continúa creciendo.
La primera transacción de eCommerce se reconoce como una venta de cannabis en 1971 o 1972 entre estudiantes en el laboratorio de Inteligencia Artificial de Stanford y el Instituto de Tecnología de Massachusetts a través de ARPANET. Pero la Sra. Jane Snowball, de 72 años, hizo historia como la primera compradora en línea, cuando compró comestibles a Tesco en 1984.
Aplicaciones de eCommerce
Las aplicaciones de eCommerce, también llamadas aplicaciones móviles, son tipos de aplicaciones que permiten a los clientes navegar y comprar en dispositivos móviles, como teléfonos inteligentes o tabletas. Funcionan de manera similar al sitio web del minorista, captando información del pago y procesamiento de transacciones. A pesar de que tienen un alcance menos amplio, ofrecen una excelente interactividad.
Las aplicaciones simples permiten que los clientes naveguen y hagan compras; aplicaciones más complejas pueden incluir funciones basadas en la ubicación y se integran a los medios sociales.
En 2017, se esperó que se bajen 197 mil millones de aplicaciones, convirtiéndose en más populares que sus pares en computadoras. En 2020, se calcula que las ventas en aplicaciones de eCommerce sumarán un 45% del mercado de eCommerce en EE.UU.
Plataforma de eCommerce
Una plataforma de eCommerce es tecnología de software que permite que los comerciantes de eCommerce abran y administren una tienda en línea; vendan productos y servicios; y cumplan otras funciones como enviar mensajes electrónicos, integrarse con los medios sociales y crear programas de lealtad. Se estima que existen entre 12 y 24 millones de tiendas que usan plataformas de eCommerce para vender sus productos en línea.
Algunas de las plataformas más comunes incluyen BigCommerce, Magento, Shopify y WooCommerce. Estas plataformas varían desde las que son simples y gratis hasta las complejas y costosas; seleccionar la plataforma correcta depende del presupuesto, las metas y las necesidades del comerciante.
EMV
La tecnología EMV (o "chip”) fue creada por Europay, MasterCard y Visa (de allí el nombre EMV) para ayudar a que las transacciones con tarjetas de crédito y de débito sean más seguras. Un microprocesador con circuito integrado se incluye en estas tarjetas e interactúa con los sistemas de punto de venta del comerciante para verificar la tarjeta. Como el nuevo estándar global para las tarjetas de crédito y de débito, estas nuevas tarjetas mejoran la seguridad ya que son casi imposibles de duplicar.
Y eso ha sido una muy mala noticia para los estafadores. MasterCard reportó en noviembre de 2017 que la adopción de EMV ha hecho que el fraude se reduzca un 60% entre los cinco principales comerciantes que usan EMV.
A pesar de que EMV ha ayudado a proteger a los consumidores contra el fraude con tarjeta presente, ha hecho poco para reducir las tasas de fraude en línea. En realidad, al buscar blancos más fáciles en las transacciones de eCommerce, los estafadores han hecho que aumente el fraude de tarjetas no presentes. La tecnología abre nuevas oportunidades para estafadores con conocimientos técnicos, haciendo que hasta soluciones de avanzada como EMV no sean suficientes para detener a criminales cibernéticos.
Cifrado
Cuando los comerciantes del eCommerce necesitan transmitir datos de transacciones con seguridad, incluyendo la información de tarjetas de crédito, dependen del cifrado: Datos codificados de manera que solamente las partes autorizadas puedan accederlas. Convertir estos datos regulares en datos cifrados hace que sea difícil para terceros no autorizados interceptar los datos y usarlos con propósitos ilegales. Y hasta si los datos cifrados son interceptados por un jáquer, no podrán descodificar la información sin la clave de descifrado.
Las grandes filtraciones de datos de 2017, incluyendo la exposición de datos personales de 143 millones de norteamericanos, ilustran la importancia de que los comerciantes cifren la información sensible de los clientes e impidan que termine en manos de los estafadores.
F
Rechazos falsos
Los rechazos falsos (también conocidos como falsos positivos) ocurren cuando una transacción legítima es detectada por el sistema de protección contra el fraude del comerciante y resulta inesperadamente rechazada. A menudo ocurre debido a que el titular de la tarjeta activa el programa de detección del fraude del comerciante (por ejemplo, haciendo una compra grande que es despachada a algún lugar que no es la dirección de facturación del cliente) y es equivocadamente identificado como un estafador.
Los falsos positivos son sorprendentemente comunes: Un 40% de los norteamericanos han sufrido una compra bloqueada o cuestionada equivocadamente. Y si bien los falsos positivos son vergonzosos e inconveniente para los clientes, también son costosos para los comerciantes: Los falsos positivos cuestan a los comerciantes más de $118 mil millones en ventas cada año, 13 veces más que las pérdidas del fraude real en el eCommerce.
Fraude
El fraude puede referirse a cualquier momento en que una persona obtiene algo de valor, que va desde dinero a bienes físicos o servicios, al participar en una decepción u omisión criminal deliberada.
Hay cantidades de tipos de fraude, que incluyen fraude a inversionistas, contable, de tarjeta de crédito y de seguro, pero el objetivo es el mismo. Un criminal recibe con conocimiento un beneficio al que no tiene derecho.
Analista de fraude
Un analista de fraude monitorea las cuentas y transacciones de una empresa o cliente para identificar y prevenir las sospechas de fraude. Las transacciones pueden ser identificadas por una cantidad de razones, que incluyen el tipo y monto de la transacción, diferencias entre la dirección de envío y de facturación o un volumen más alto que el usual. Si el analista detecta alto riesgo o una transacción sospechosa, la identificarán para un mayor análisis, que podría incluir contactar al titular de la cuenta o investigar más.
Los analistas deben estudiar constantemente las tendencias de contracargos y prevención del fraude y la evolución de las técnicas criminales de los estafadores para asegurar que no ocurra ninguna instancia de fraude. Estos analistas humanos se usan a menudo como complemento a los algoritmos del aprendizaje automático para crear un método completo de prevención del fraude.
Filtros de fraude
Los filtros de fraude son herramientas que usan los comerciantes en sus tiendas de eCommerce para prevenir el procesamiento de pedidos potencialmente fraudulentos. Los comerciantes pueden crear filtros de fraude para recibir una advertencia de una transacción potencialmente fraudulenta o cancelar un pedido si cumple ciertas características o criterios de fraude.
Hay muchos tipos diferentes de filtros de fraude, algunos de los más comunes incluyen velocidad, sistema de verificación de la dirección (AVS), valor de verificación de la tarjeta (CVV) y filtros del monto de la compra. Los comerciantes deben tener cuidado sobre el pedido al que se aplican estos filtros. Si se aplican incorrectamente, algunas reglas podrían cancelar a otras, reduciendo el monto total de la protección que ofrecen.
Si bien los filtros de fraude son una estrategia popular y relativamente barata de protección contra el fraude, no son perfectos: Los filtros de fraude típicamente generan una tasa de positivos falsos de aproximadamente un 25%.
Pérdidas debido al fraude
Después de que un criminal obtiene fraudulentamente algo de valor de un comerciante, el comerciante experimenta una variedad de pérdidas debido al fraude, desde el producto mismo hasta los cargos y penalidades asociados con los contracargos y los daños a la reputación asociados con el fraude.
Las pequeñas empresas tienden a sufrir más del fraude, especialmente las que tienen menos de 100 empleados. Estas pequeñas empresas son más proclives a no tener los recursos que tienen las empresas grandes para invertir en prácticas y tecnología contra el fraude. Como resultado, estas pequeñas empresas pierden un promedio de $155,000 por año al fraude, mientras que las empresas más grandes solamente pierden $120,000.
Servicios gestionados contra el fraude
Los servicios gestionados contra el fraude se concentran en prevenir que ocurra el fraude, en lugar de solamente reaccionar a ataques de fraude.
En los servicios gestionados contra el fraude, un equipo de analistas experimentados administra todos los aspectos de la actividad electrónica de la empresa, estudiando activamente las transacciones e implementando estrategias generales de gestión de contracargos para detener los pedidos fraudulentos antes de que sean aprobados. El proveedor de los servicios gestionados contra el fraude podría ser responsable por el riesgo del fraude si se aprueba una transacción fraudulenta. Una organización típica pierde un promedio del 5% de sus ingresos debido al fraude, lo que se traduce a casi $3.7 billones de pérdidas globales cada año.
Proveedores de prevención del fraude
Todas las empresas de eCommerce necesitan una solución de prevención del fraude y muchos proveedores se dedican a monitorear y detener transacciones fraudulentas de tarjetas no presentes. Algunos proveedores brindan análisis de las transacciones usando la inteligencia artificial avanzada (a menudo como una solución externalizada); otros usan una solución de servicios gestionados, en la cual un equipo de expertos gestiona todos los aspectos de la actividad de eCommerce de una empresa. Otros proveedores combinan ambos y usan un método híbrido a la gestión del fraude.
Al evaluar proveedores, los comerciantes deben comparar la capacidad financiera y el nivel de servicio de varios proveedores. Una matriz como la que se incluye a continuación podría ser útil.
La mayoría de los proveedores de prevención del fraude cobran un porcentaje del valor de la transacción o un monto fijo. Algunos proveedores ofrecen una garantía contra contracargos que los convierte en responsables por cualquier costo si se aprueba una transacción fraudulenta; otros no ofrecen dicha garantía. Algunos proveedores automáticamente rechazan transacciones de alto riesgo, mientras que otros solamente toman la decisión de rechazar la transacción luego de una extensa evaluación manual y contacto con el cliente.
Software de protección contra el fraude
Algunos comerciantes integran el software de protección contra el fraude a sus estrategias de prevención. Estos programas de software automatizados ayudan a las empresas a identificar transacciones arriesgadas en tiempo real y reducen el impacto del fraude del cliente. Al usar algoritmos, el software lee transacciones de varias fuentes, usa datos de transacciones pasadas para analizar los factores de riesgo e identifica transacciones a ser analizadas.
Estas clases de soluciones a menudo requieren un bajo presupuesto para pequeñas empresas, pero no son perfectas. Muchas soluciones pueden resultar en un mayor número de falsos positivos, negando los ahorros obtenidos a través de la protección automatizada contra el fraude.
Fraude amistoso
El fraude amistoso ocurre cuando el titular de una tarjeta disputa (o solicita un contracargo) una compra porque se olvidaron que hicieron la compra, otro miembro de la familia autorizó la compra o hasta porque el cliente no entendió la política de devoluciones del comerciante. Lo que diferencia a este tipo de fraude de otros es que estos clientes no tratan de defraudar, simplemente cometieron un error honestamente.
El fraude amistoso algunas veces se usa para describir cuando los clientes realizan una compra legítima con una tarjeta de crédito, reciben el producto o servicio e intencionalmente presentan un contracargo con la intención de recibir el reembolso y quedarse con el producto. Este tipo de fraude se describe con mayor precisión como fraude de contracargo.
Se estima que los negocios de eCommerce perdieron $6.7 mil millones en 2016 debido al fraude; y de dicho monto, $4.8 mil millones fue debido al fraude amistoso o de contracargo.
G
Entrada
Las entradas de pagos procesan pagos con tarjetas de crédito y otros pagos electrónicos para organizaciones, que incluyen a comerciantes de eCommerce y con tiendas minoristas, al transferir datos claves de las transacciones entre los portales de pago y el procesador “frontend” o banco.
El proceso de entrada del pago es increíblemente complejo; incluye proteger los datos del pago según las normas PCI DSS, enviar los datos de la transacción al procesador del pago y procesar el pago, sin embargo, se completa en apenas segundos.
Si bien los bancos a menudo se desempeñan como entradas de pago, los proveedores de servicios de pagos, como PayPal y Square, también pueden desempeñar este papel. La entrada correcta de pagos puede ayudar a asegurar a los clientes que un sitio web es confiable y puede proveer una experiencia de compra sin dificultades; elegir el servicio equivocado puede resultar en menos ventas y la pérdida de la confianza del cliente.
H
Industria de alto riesgo
Las industrias de alto riesgo son aquellas que son particularmente vulnerables al fraude debido al crédito y contracargos en línea, como comerciantes que hacen negocios en sistemas verticales, como juegos, entretenimiento adulto, juegos en línea y viajes. Debido a esta vulnerabilidad, muchos procesadores de tarjetas de crédito creen que los negocios en estas industrias son demasiado arriesgados, dejando a la empresa a merced de los términos y condiciones menos convencionales de los procesadores de tarjetas de crédito de alto riesgo. Hasta podrían encontrarse sin este acuerdo si el comerciante no puede controlar sus cocientes de contracargos.
Todos los comerciantes serán evaluados según normas diferentes, pero los comerciantes con estas características pueden ser etiquetados como de alto riesgo:
- Un nuevo comerciante con pocos antecedentes de procedimiento de tarjetas de crédito.
- Venden productos o servicios a países con una alta incidencia de fraude.
- El valor promedio de la transacción es menos de $500.
- El comerciante opera en una industria con altos cocientes de contracargos.
“Honeypot”
Un “honeypot” es un conjunto tentador de datos o un atractivo sistema de computación que tienta a los estafadores y bloquea sus intentos de ingresar o de otra manera comprometer un sistema de información. Es similar a un operativo policial encubierto, un “honeypot” actúa como carnada al parecer ser una parte legítima de un sitio web; sin embargo, en realidad es monitoreado por profesionales de tecnología de la información. Observar y grabar estas actividad brinda a los especialistas en prevención del fraude perspectivas sobre nuevos modos de ataque de los estafadores mientras también realizan pruebas a la seguridad de la infraestructura de la red.
Hay dos tipos de “honeypots”:
- Los “honeypots” de producción son diseñados para tener apariencia real, y tiene por objeto mantener ocupado al jáquer mientras los administradores del sistema se aseguran que no existen otras vulnerabilidades en los sistemas de producción de trabajo.
- Los “honeypots” de investigación permiten a los profesionales analizar la actividad del jáquer en un esfuerzo de fortalecer las defensas de un sistema. La información identificadora especial que es “robada” de un “honeypot” también puede usarse para seguir los datos robados e identificar a jáqueres.
I
Robo de identidad
El robo de identidad ocurre cuando los estafadores consiguen suficientes partes críticas de los datos personales sobre un individuo (como el nombre, número de la licencia de conductor, fecha de nacimiento y dirección) y se presentan como dicha persona para abrir nuevas cuentas y hacer compras. Esto también se conoce como “robo de la identidad con el nombre real”. Un criminal también puede usar información robada para asumir el control de una cuenta en existencia (llamado “control de la cuenta”).
El número de víctimas del robo de identidad en los Estados Unidos totalizó 15.4 mil millones en 2016 (2 millones más que en 2015) y generó un costo financiero de $16 mil millones.
Dirección del protocolo de Internet (IP por sus siglas en inglés)
Cada dispositivo conectado a Internet tiene una dirección del protocolo de Internet (PI), que es una identificación numérica que se aplica al dispositivo e identifican su lugar. Hay dos tipos de direcciones del protocolo de Internet:
- Estáticos: El usuario puede configurarlo al editar los valores de la red del dispositivo.
- Dinámico: Se asigna una nueva dirección IP al dispositivo cada vez que se enciende.
Los comerciantes pueden usar direcciones del protocolo de Internet para identificar pedidos potencialmente fraudulentos, como varios pedidos enviados a diferentes direcciones físicas pero colocados desde la misma dirección del protocolo de Internet.
M
Aprendizaje automático
Algunos sistemas de computación tienen la habilidad de “aprender” o introducir mejoras progresivas a una tarea basado en algoritmos y colaboración humana. Este aprendizaje automático se usa con frecuencia en el software contra el fraude, lo que permite a programas de prevención del fraude tomar rápidas decisiones sobre la transacción mientras que minimizan la exposición del riesgo.
A medida que los sistemas de aprendizaje automático detectan patrones de fraude en los datos de compras y asimilan nuevos datos, pueden realizar pronósticos cada vez más precisos y ser muy eficaces en la detección del fraude. Pero no pueden trabajar solos. Estas máquinas todavía dependen de los datos actuales y perspectivas del analista para tomar decisiones bien informadas.
“Malware”
Una abreviación de “malicioso software”, el “malware” es diseñado para dañar computadoras, servidores y hasta redes a través de virus informáticos, “ransomware”, “spyware” y mucho más. Un “malware” instalado en la computadora de la víctima hasta puede captar las teclas que oprime el usuario al escribir nombres, contraseñas y mensajes electrónicos. Los estafadores luego usan dichos datos para acceder las cuentas y usar los fondos para hacer compras fraudulentas.
McAfee Labs reportó un récord de 63.4 millones de nuevas muestras de “malware” en el cuarto trimestre de 2017, o sea, ocho muestras de “malware” por segundo. Los expertos advierten que “malware” usa nuevas herramientas y métodos, como PowerShell, búsqueda de criptomoneda y “ransomware”, para perseguir a empresas vulnerables de eCommerce.
Costos directos de mano de obra
Esto se refiere al costo del personal que trabaja directamente en una tarea particular o participan en la producción de ciertas mercaderías. Por ejemplo, el salario que se le paga a un paisajista que corta el césped es un costo directo de mano de obra.
Costos indirectos de mano de obra
Los costos indirectos de mano de obra se refieren al gasto de empleados que no producen bienes o servicios ellos mismos pero que pueden mejorar la eficiencia de la producción (como gerentes o personal de seguridad) u ofrecer apoyo a la producción. En nuestro ejemplo anterior, el salario de un mecánico que atiende las cortadoras de césped sería considerado un costo indirecto.
Cuenta del comerciante
Una cuenta del comerciante es una cuenta bancaria especial que establece el comerciante con un banco adquisitorio que permite que el comerciante acepte transacciones con tarjetas para el pago electrónico y recibir los fondos de la transacción. Las empresas pueden seleccionar entre una variedad de bancos adquisitorios para comerciantes y a menudo toman la decisión según los costos de la transacción. Los comerciantes considerados de alto riesgo podrían pagar significativamente más en cargos y penalidades.
Más de un 70% de los norteamericanos tienen por lo menos una tarjeta de crédito. Y un 83% de las empresas vieron un aumento en las ventas después de que comenzaron a aceptar tarjetas de crédito.
Proveedor de cuentas a comerciantes
Asociarse a un proveedor de cuentas a comerciantes (a veces llamado “banco adquisitorio del comerciante”) permite a una empresa aceptar tarjetas de débito y de crédito como formas de pago. Si bien muchos comerciantes trabajan con bancos o instituciones financieras, otros comerciantes pueden optar trabajar con proveedores como Square, PayPal o QuickBooks para procesar las transacciones con tarjetas de crédito.
Para encontrar el proveedor correcto, los comerciantes deben comparar los servicios, los cargos y extras que ofrece cada uno. Las empresas en categorías de alto riesgo encontrarán que tiene menos opciones.
Proveedor del seguro contra contracargos a comerciantes
Hay una cantidad de empresas de prevención del fraude en línea que ofrecen una garantía del 100% de que el comerciante no será responsable por los costos de las transacciones fraudulentas, si el proveedor aprueba una transacción que termina siendo fraudulenta y resulta en un contracargo.
Un buen proveedor de seguro contra contracargos siempre proveerá una decisión final sobre si aprobar una transacción y garantizará todas las transacciones. Pero los comerciantes también deben entender que garantizar las transacciones no es suficiente.
Sin duda, los comerciantes desean tener la confianza de que el proveedor reembolsará cualquier costo incurrido por un contracargo fraudulento. Pero los comerciantes también necesitan saber que el proveedor evalúa todas las transacciones sospechosas para determinar su validez, no solamente optar por la opción segura al rechazar todas las transacciones cuestionables para evitar pagar los contracargos. Al final, se trata de encontrar un proveedor que optimizará las aprobaciones mientras que minimizará los contracargos.
Comerciante con múltiples canales
Los comerciantes con múltiples canales se concentran en poner sus productos en las manos de clientes, donde sea que estén. Durante los años, las ventas por múltiples canales se han expandido desde tiendas físicas, ventas por teléfono y catálogos hasta ahora incluir ventas por eCommerce a través de aplicaciones, dispositivos móviles, sitios de medios sociales y mercados en línea.
Los minoristas que venden en por lo menos dos canales reciben aproximadamente el doble de ingresos de los que solamente venden en uno. Y los comerciantes que venden en dos, en lugar de uno, mercados en línea promedian un 190% más en ingresos por ventas.
N
Pagos por comunicación de campo cercano (NFC por sus siglas en inglés)
Algunas veces conocidos como “pagos sin contacto”, los pagos por comunicación de campo cercano ocurren cuando dos dispositivos “conversan” cuando están cerca el uno del otro y completan una transacción. Apple Pay, Android Pay y Samsung Pay son algunas de las plataformas de pagos por comunicación de campo cercano más comunes.
Si bien muchos teléfonos inteligentes tienen esta tecnología incorporada, los comerciantes deben comprar un lector de pagos activado para NFC para aceptar pagos sin contacto.
Debido a que los pagos móviles por NFC están cifrados dinámicamente, son considerados una manera segura de procesar las transacciones. Los clientes también están de acuerdo: El número de usuarios de pagos NFC de todo el mundo ha explotado desde 5 millones en 2012 hasta 166 millones proyectados en 2018.
O
ECommerce omnicanal
Los comerciantes omnicanales buscan hacer más que solamente vender en cada canal a su disposición. En cambio, desean crear experiencias de compras sin dificultades, independientemente de si un cliente compra en Internet, a través de una aplicación o en una tienda física. Por lo tanto, el eCommerce omnicanal se concentra en la fusión de los canales en línea y fuera de línea en una experiencia de compras singular con una presentación y sensación consistente.
Por ejemplo, un 50% de los clientes desean poder pedir un producto a través de una aplicación y recogerlo en una tienda física, y el eCommerce omnicanal permite tal cosa. Y los clientes que pueden disfrutar esta experiencia son más proclives a ser más leales: Las empresas omnicanales retienen un promedio del 89% de los clientes, comparado con un 33% en las empresas con estrategias multicanales.
Estafa en línea
Si bien la Internet ha hecho que sea más fácil completar tareas diarias, como hacer compras, ir al banco y programar vacaciones, también ha hecho que sea más fácil para los estafadores lograr sus crímenes cibernéticos. Algunas de las estafas en línea más comunes incluyen “phishing”, estafas de ayuda a desastres y estafas a ganadores de la lotería. Los clientes estafados reciben el pedido, y a menudo entregan, datos personales que luego son usados para hacer compras fraudulentas.
A pesar de que un 90% de los individuos en los EE.UU. son vulnerables a las estafas en línea, un 71% son más precavidos de lo que lo eran sobre hacer compras en línea.
P
Fraude en el pago
Fraude en el pago se refiere a cualquier transacción fraudulenta que ejecuta un criminal que resulta en el robo del dinero, bienes o datos sensibles de la víctima. Si bien los controles tradicionales de prevención del fraude solían ser suficientes para prevenir el fraude en los pagos, los estafadores ahora usan conductas sutiles para confundir a clientes confiados y lograr que entreguen su información personal.
Cumplimiento con PCI
Con un 86% de los sitios web en riesgo de ser jaqueados o comprometidos, los comerciantes no pueden permitir que datos sensibles del cliente terminen en las manos de criminales cibernéticos. Es por eso que cada comerciante que recibe tarjetas de pago debe cumplir los 12 objetivos de control establecidos por el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI por sus siglas en inglés). Estos objetivos incluyen medidas de seguridad como:
- Instalar y mantener cortafuegos para proteger los datos del titular de la tarjeta
- Cifrar las transmisiones de datos del titular de la tarjeta
- Verificar regularmente sistemas y procesos de seguridad.
El volumen de transacciones de un comerciante, su método de manejo de las tarjetas y sus antecedentes de filtrado de la seguridad determinan con qué frecuencia y qué tipo de auditorías y evaluaciones de seguridad se requieren para establecer el cumplimiento. Muchos comerciantes podrían ser elegibles para realizar una autoevaluación, mientras que los comerciantes más grandes o los que experimentaron filtrados previos necesitarán pedirle a un Asesor de Seguridad Calificado independiente que realice la auditoría.
A pesar de que el cumplimiento con la norma de seguridad de los datos de la PCI ha aumentado un 167% desde 2012, un 80% de las organizaciones todavía no cumplen las normas. Y la exposición de los datos del cliente no es el único riesgo asociado con la falta de cumplimiento. Los comerciantes pueden enfrentar penalidades financieras importantes, incluyendo altos cargos del banco adquisitorio, costosas auditorías e investigaciones y el riesgo de que se cierren las cuentas del comerciante.
PCI DSS
La Norma de Seguridad de los Datos de la Industria de Tarjetas de Pagos (PCI DSS) fue establecida en 2004 como respuesta al aumento en el robo de los datos: Más de un 80% de los datos robados en los filtrados son datos de tarjetas de pagos y ocasionaron casi 42,068 incidentes de seguridad de los datos en 2017.
El cumplimiento de la PCI DSS se concentra exclusivamente en implementar normas para mantener la seguridad de los datos de las tarjetas de crédito mientras pasa desde el comerciante al procesador de la tarjeta de crédito. Todos los comerciantes que manejan tarjetas de pago deben cumplir los 12 objetivos de control establecidos por la PCI que dictan el cifrado y transmisión de los datos de las tarjetas de crédito.
Las principales empresas de tarjetas de crédito (Visa, MasterCard, Discover, American Express y JCB) formaron un ente independiente en el 2006, llamado el Consejo de Normas de Seguridad de la PCI para gestionar la continua evolución de las normas y para destacar maneras en que los comerciantes pueden mejorar la seguridad de los pagos.
“Pharming”
Una estafa común de los estafadores es ataques de “pharming”, de naturaleza similar a ataques de “phishing”, con una importante diferencia: Los ataques de “phishing” requieren que la víctima haga clic en un enlace para llegar a un sitio web fraudulento, mientras que los ataques de “pharming” automáticamente instalan códigos maliciosos en una computadora y dirigen a los usuarios a sitios web fraudulentos. Debido a que este código no requiere ni consentimiento ni conocimiento para ser ejecutado, muchas víctimas ni siquiera saben que han sido comprometidos.
Los ataques de “pharming” aumentan, en parte porque los estafadores están buscando nuevas maneras de recolectar datos personales sensibles de los usuarios de Internet que han aprendido a evitar los ataques de “phishing”. En 2017, un ataque de “pharming” llegó a más de 50 instituciones financieras y clientes en los Estados Unidos, Europa y Asia-Pacífico. Antes de que fuera controlado, el ataque infectó a más de 3,000 computadoras en tres días.
“Phishing”
Una forma de ingeniería social y robo de identidad, los ataques de “phishing” tratan de confundir a individuos para que revelen información personal. Los estafadores típicamente contactan a las víctimas por texto, correo electrónico o por teléfono, actuando como una figura de autoridad o una empresa aparentemente legítima para obtener los datos confidenciales de la víctima.
También pueden instalar software malicioso en computadoras, infectar computadoras con virus o hasta robar información personal de las computadoras mismas.
Casi 1.5 millones de nuevos sitios de “phishing” son creados cada mes y casi un 76% de las empresas han reportado ser víctima de un ataque de “phishing” durante el último año. ¿El costo promedio para una empresa de tamaño mediano? $1.6 millones.
Cifrado punta a punta (P2PE)
El Consejo de Normas de Seguridad de la PCI estableció las normas de P2PE para mejorar la seguridad de las transacciones con tarjetas de crédito. Durante el proceso de P2PE, los datos de las transacciones son cifrados con seguridad en la entrada del punto de venta del comerciante y continúa hasta el final del punto de procesamiento de la tarjeta de crédito.
Muchos sistemas usan el cifrado de teclas público, teclas de cifrado simétrico o “hashing” para ocultar datos sensibles mientras progresa por el ciclo de vida de la transacción. Este nivel de protección se usa además del cifrado SSL.
Los comerciantes que usan una solución confirmada de P2PE no son responsables por pérdidas de datos, cargos o penalidades que pudieran resultar del fraude.
Filtro del monto de la compra
Los filtros del fraude hacen que sea más fácil para los comerciantes de eCommerce identificar y responder a transacciones potencialmente fraudulentas. Uno de los más comunes es un filtro del monto de la compra, que permite a los comerciantes de eCommerce fijar límites altos y bajos para los montos de la transacción. Cualquier compra que está fuera de los límites puede ser detectado y retenido para una mayor evaluación, procesado como siempre pero generar un reporte o ser automáticamente rechazado. Debido a que la mayoría de los comerciantes conocen el tamaño típico de una transacción, definir el filtro les enviará una notificación cuando ocurre una transacción inusual.
Los filtros de fraude pueden ser muy eficaces cuando se usan correctamente. Pero si un comerciante usa incorrectamente varios niveles con diferentes filtros, los filtros podrían no funcionar como se espera ya que algunas normas serán canceladas por otras por la reducción de la eficacia del sistema.
R
“Ransomware”
“Ransomware” es “malware” que limita a los usuarios en el uso de su sistema infectado hasta que paguen un rescate. Si bien el “ransomware” tradicional simplemente afecta una pantalla o los archivos del usuario, nuevos criptoransomware cifra archivos en el sistema comprometido y solamente provee una clave de descifrado después de que la víctima pague el rescate. Los usuarios pueden bajar inadvertidamente “ransomware” cuando visitan sitios web comprometidos o al abrir mensajes electrónicos infectados. El estafador podría pedir el pago en criptomoneda, a pesar de que algunas veces piden tarjetas de regalo, pero recibir el pago no es garantía de que la víctima recibirá la clave de descifrado o que sus archivos serán liberados.
En cada trimestre de 2016, los estafadores enviaron 500 millones de mensajes electrónicos que incluyen programas que instalan “ransomware” que encontraron el camino a 13.4 millones de computadoras. Si bien no todos los intentos fueron lanzados exitosamente, está claro que los estafadores continúan usando el “ransomware” como una manera rápida de extraer dinero a sus víctimas.
Gestión del riesgo
Los comerciantes participan en procesos de gestión del riesgo para identificar, evaluar, analizar y prevenir la exposición a los riesgos que amenazan el capital y los ingresos. Estos riesgos existen en muchas formas, que incluyen riesgos relacionados con el clima, fallos de responsabilidad, robo por empleados y fraude con tarjetas de crédito.
Los comerciantes de eCommerce se han concentrado cada vez más en asegurar sus activos digitales, incluyendo la información personalmente identificable del cliente y han implementado programas de gestión del riesgo que los ayudan a:
- Mejorar las tasas de aprobación de las transacciones
- Reducir los falsos positivos
- Reducir los cocientes de contracargos y costos de los contracargos relacionados con el fraude
- Reducir el tiempo de respuesta
S
“Skimming”
“Skimming” es el acto de usar dispositivos electrónicos y lectores de tarjetas difíciles de detectar en los sistemas de punto de venta para captar y copiar información de la cuenta transmitida electrónicamente de una tarjeta de crédito o de débito válida. El estafador luego reproduce dichos datos en una tarjeta falsa para realizar compras en las tiendas, usa la información de la tarjeta para realizar transacciones fraudulentas en línea o vende los datos en la Internet profunda.
En 2016, un hombre fue arrestado en California por poner “skimmers” en ocho cajeros automáticos de Wells Fargo. Logró captar los datos de casi 4,900 tarjetas, creó tarjetas falsas y luego robó casi $500,000. Las pérdidas globales de “skimming” alcanzaron los $2 mil millones en 2013 y continúan creciendo.
Tarjeta inteligente
Una tarjeta del tamaño de una licencia de conductor que contiene un circuito incorporado es conocida a menudo como una tarjeta inteligente o tarjeta con circuito. Pueden ser usadas con contacto, sin contacto o ambos y se usan para una variedad de propósitos, como la identificación, la autentificación y el almacenamiento de los datos.
Las tarjetas inteligentes aumentan la seguridad y conveniencia de las transacciones con tarjetas presentes y resisten los filtrados de datos y el fraude. Estas tarjetas protegidas usan criptogramas para asegurar que sensibles datos financieros (como las tarjetas de hoy que cumplen la norma EMV), pueden almacenar información médica personal, usarse como llaves y guardar información de la tarjeta de lealtad de una tienda.
Si bien las tarjetas inteligentes todavía no se usan para las transacciones de eCommerce, los consumidores en el futuro podrían tener lectores de tarjetas personales que les permiten completar transacciones CNP seguras en sus computadoras o con dispositivos móviles.
Ingeniería social
Como una de las amenazas más importantes a la seguridad a las que se enfrentan las empresas de hoy, la ingeniería social confunde a los individuos a violar las prácticas tradicionales de seguridad y divulgar información o hacer algo que compromete la seguridad. Los estafadores se presentan como figuras de autoridad para obtener el acceso aprobado a datos confidenciales a través de métodos no técnicos como “phishing”, “pharming” y “pretexting”.
La ingeniería social se usa en más de un 66% de todos los ataques de los jáqueres. “Phishing” es el método de ataque más común. De los 294 mil millones de mensajes electrónicos enviados diariamente, casi un 90% es spam y virus. En 2013, Target fue víctima de la ingeniería social cuando los estafadores lanzaron un ataque de “phishing” contra un subcontratista de calefacción, ventilación y aire acondicionado de la empresa. Los jáqueres obtuvieron las credenciales de la red de Target y robaron 40 millones de tarjetas de crédito y de débito de los sistemas de puntos de venta de la tienda.
T
Toquenización
Los servicios de pagos como Apple y Android usan la toquenización para proteger datos sensibles, eliminando la información personal con datos generados al azar. Como resultado, nunca se usan o acceden los datos de la tarjeta de crédito real del cliente.
Hay tres beneficios del uso de la toquenización:
- El proceso es sin fricción y casi invisible para los clientes.
- Esta tecnología ayuda a proteger contra el robo de la información de la tarjeta de crédito durante el proceso de la transacción.
- Ayuda a los comerciantes a cumplir con las normas de seguridad de la industria, como PCI DSS.
Se cree que la toquenización es una de las mejores soluciones actualmente disponibles que puede proteger las transacciones con tarjeta de crédito sin alterar significativamente la experiencia del titular de la tarjeta.
Tor
Tor, que quiere decir “The Onion Router”, es software gratuito que facilita la comunicación anónima. Al desviar el tráfico de Internet a través de una red superpuesta de más de 7,000 relés, Tor hace que sea difícil relacionar la actividad de Internet con un usuario.
En 2012, solamente había 500,000 usuarios de Tor por día; dicho número creció a más de 4 millones apenas un año después.
La Marina de EE.UU. creó la tecnología original de Tor con la intención de proteger a los usuarios de Internet contra la actividad de las corporaciones, no el gobierno. Si bien existen algunos usuarios inocentes, la red Tor ayuda a manejar la Internet oscura, donde ocurren muchas transacciones legales e ilegales.
V
Filtros de velocidad
Los filtros de velocidad monitorean elementos específicos de los datos (como dirección del correo electrónico, número de teléfono y dirección de facturación y envío) y limita el número de transacciones que un sitio web puede procesar en un período de tiempo determinado (por ej., una hora, un día) usando estos datos.
¿Por qué desearía un comerciante limitar el número de transacciones? Cuando un estafador consigue números de tarjetas de crédito en la Internet oscura, podrían comenzar a probar rápidamente dichos números en el sitio de un comerciante, para ver qué tarjetas funcionan. Si la transacción es aprobada, los estafadores a menudo tratan de extraer todo el crédito de la tarjeta con más compras y compras más grandes.
El uso eficaz de los filtros de velocidad depende de que el comerciante entienda a sus buenos clientes y de que conozca el tamaño y la frecuencia de sus compras usuales.
Verificado por Visa
Verificado por Visa ayuda a asegurar que el titular de la tarjeta legítimo es el que realiza las compras en línea al operar ocultamente para analizar la compra del cliente y compararla contra su conducta de pago usual. Si un cliente usa un nuevo dispositivo, “Verified by Visa” podría requerir un segundo paso de verificación, ya sea una contraseña o un código enviado al teléfono celular del cliente, antes de que se procese la compra.
Este nivel adicional de seguridad, llamado 3-D Secure, es la misma tecnología usada en “SecureCode” de MasterCard y “SafeKey” de American Express. Mientras que la tecnología ayuda a aumentar la confianza del cliente y a reducir las ventas perdidas del comerciante, no puede proteger contra el filtrado de datos y no ofrece una garantía del 100%.
