A
Analista de fraudes
Un analista de fraudes supervisa las cuentas y transacciones de los clientes o de las empresas para identificar y prevenir posibles fraudes. Las transacciones se pueden marcar por varios motivos, incluidos el tipo y el monto de la transacción, la discrepancia en la dirección de envío/facturación o un volumen superior al habitual. Si el analista ve una transacción de alto riesgo o sospechosa, la marcará para un análisis más profundo, que puede implicar ponerse en contacto con el titular de la cuenta o realizar más investigaciones.
Los analistas deben estudiar constantemente la prevención del fraude, las tendencias de los contracargos y la evolución de las técnicas delictivas de los estafadores para garantizar que no se produzcan casos de fraude. Estos analistas humanos se utilizan a menudo como complemento de los algoritmos de aprendizaje automático para formar un enfoque global de la prevención del fraude.
Aplicaciones de ecommerce
Las aplicaciones de ecommerce, también llamadas aplicaciones móviles, son tipos de software de aplicación que permiten a los clientes navegar y realizar compras en dispositivos móviles, como teléfonos inteligentes o tabletas. Actúan de forma muy parecida al sitio web de un minorista, capturando la información de pago y procesando las transacciones. La diferencia es que condensan la funcionalidad para adaptarse a las pantallas más pequeñas al tiempo que aumentan la interactividad.
Las aplicaciones simples permiten a los clientes navegar y realizar compras; las aplicaciones más complejas permiten funciones basadas en la ubicación y se integran con las redes sociales.
Aprendizaje automático
Algunos sistemas informáticos tienen la capacidad de “aprender”, o de realizar mejoras progresivas en una tarea a partir de algoritmos y aportes humanos. Este aprendizaje automático se utiliza con frecuencia con el software de protección contra el fraude, lo que permite a los programas de prevención del fraude tomar decisiones rápidas sobre las transacciones y minimizar la exposición al riesgo.
A medida que los sistemas de aprendizaje automático encuentran patrones de fraude en los datos de compra, y a medida que asimilan nuevos datos, pueden hacer predicciones cada vez más precisas y llegar a ser bastante eficaces en la detección de fraudes. Sin embargo, no pueden funcionar por sí solos. Estas máquinas siguen basándose en los datos actuales y en las ideas de los analistas para tomar decisiones bien informadas.
Aprendizaje profundo
El aprendizaje profundo, un conjunto de técnicas de aprendizaje automático, es un enfoque de varios niveles del aprendizaje que permite a los analistas humanos alimentar un algoritmo de aprendizaje y grandes cantidades de datos a una computadora y luego hacer que la computadora aprenda a tomar decisiones con respecto a esos datos.
El resultado: El aprendizaje profundo utiliza una extensa red neuronal para formular (y responder) preguntas sobre los datos y extraer datos numéricos, utilizando las respuestas para resolver problemas que requieren pensamiento y gestionar con éxito la complejidad de la clasificación de conjuntos de datos.
Amazon utiliza hoy en día el aprendizaje profundo para predecir lo que los consumidores quieren comprar (aunque los propios clientes aún no lo sepan). Google lo utiliza para comprender mejor las solicitudes y los comandos hablados, y Netflix aprovecha el aprendizaje profundo para sugerir lo que los espectadores deberían ver a continuación.
B
Billeteras digitales
Las billeteras digitales, como PayPal, Google Wallet, Amazon Wallet y Apple Pay, hacen que sea más fácil y rápido para los clientes realizar compras en línea y en tiendas físicas. Este método de pago, que se almacena en los teléfonos inteligentes, es el más popular entre las generaciones más jóvenes (los milenials y la generación Z) y utiliza una avanzada tecnología de cifrado y contraseñas para evitar que los teléfonos perdidos se utilicen de forma fraudulenta para realizar compras.
Estas billeteras digitales no solo almacenan información de tarjetas de crédito, sino que también almacenan tarjetas de embarque y tarjetas de regalo, lo que permite a las personas llevar muchos más datos de los que podrían llevar en una billetera física. Además, con un simple movimiento o toque de sus teléfonos, los clientes pueden completar las transacciones en cuestión de minutos.
En 2020, el número de usuarios exclusivos de billeteras digitales alcanzó los 2600 millones. Se espera que esa cifra supere los 4400 millones en todo el mundo en 2025.
C
Cifrado punto a punto (P2PE)
El Consejo de Normas de Seguridad para la Industria de las Tarjetas de Pago (PCI) estableció las normas de P2PE para mejorar la seguridad de las transacciones con tarjetas de crédito. Durante el proceso de P2PE, los datos de las transacciones se cifran de forma segura en la entrada del punto de venta de la empresa y continúan hasta el punto final de procesamiento de la tarjeta de crédito.
Muchos sistemas utilizan el cifrado de clave pública, las claves de cifrado simétricas o el hashing para ocultar los datos sensibles a medida que avanzan por el ciclo de vida de las transacciones. Este nivel de protección se utiliza además del cifrado SSL.
Las empresas que utilizan una solución validada por P2PE no son responsables de ninguna pérdida de datos, comisiones ni sanciones que puedan derivarse del fraude.
Comisión por contracargo
Cuando un cliente abre una disputa de contracargo, la mayoría de los bancos adquirentes devuelven inmediatamente el importe de la transacción al cliente mientras se investiga la disputa. El banco también deduce automáticamente de la cuenta de la empresa la comisión por contracargo.
Por cada dólar de pérdidas por contracargos, las empresas deben gastar USD 2,50 más en reposición, reemplazos y comisiones. Eso incluye las comisiones por contracargo aplicadas por el banco adquirente de la empresa y el procesador de la tarjeta de crédito.
Contracargos
Cuando los clientes ven en sus cuentas compras que no reconocen o que no realizaron, suelen ponerse en contacto con su procesador de pagos para solicitar una anulación. A partir de ahí, el procesador de pagos investiga la transacción y exige pruebas de que se realizó una compra legítima. Si se determina que la transacción debe anularse, la empresa debe reembolsar el importe de la transacción y pagar una comisión asociada al procesador de pagos.
Esa comisión se denomina contracargo.
Los contracargos son difíciles (pero no imposibles) de combatir y pueden ser devastadores para las empresas: Por cada dólar en contracargos, los comerciantes pierden USD 2,50 en tiempo, comisiones, productos físicos y gastos de envío. Los contracargos también pueden amenazar la relación de un comerciante con los procesadores de pago si su tarifa de contracargo es demasiado alta.
Costos directos de mano de obra
Se trata del costo del personal que trabaja directamente en un determinado trabajo o que participa en la producción de ciertos bienes. Por ejemplo, el salario que se paga a un jardinero que corta el césped es un costo directo de mano de obra.
Costos indirectos de mano de obra
Los costos indirectos de mano de obra se refieren al gasto de los empleados que no producen bienes o servicios por sí mismos, pero que pueden mejorar la eficiencia de la producción (como los guardias de seguridad o los gerentes) u ofrecer apoyo a la producción. En nuestro ejemplo anterior, el salario de un mecánico que atiende las cortadoras de césped se consideraría un costo indirecto.
Cuenta comercial
Una cuenta comercial, o de empresa, es una cuenta bancaria especial que una empresa establece con un proveedor de cuentas comerciales (también llamado “banco adquirente comercial”) que permite a una empresa aceptar transacciones de tarjetas de pago electrónicas y recibir los fondos de las transacciones.
Las empresas pueden elegir entre una variedad de proveedores de cuentas comerciales y a menudo toman su decisión en función de los costos de las transacciones. Las empresas consideradas de alto riesgo pueden pagar mucho más en comisiones y sanciones.
Cumplimiento de la normativa de la industria de tarjetas de pago (PCI)
Desde la pandemia, el número de delitos cibernéticos ha aumentado un 300%, y ha pasado de unos 1000 casos a entre 3000 y 4000 casos diarios. Por eso, todas las empresas que manejan tarjetas de pago deben seguir los 12 objetivos de control establecidos por el Consejo de Normas de Seguridad para la Industria de las Tarjetas de Pago (PCI). Estos objetivos incluyen medidas de seguridad como las siguientes:
- Instalación y mantenimiento de cortafuegos para proteger los datos de los titulares de las tarjetas
- Cifrado de las transmisiones de datos de los titulares de las tarjetas
- Comprobación periódica de los sistemas y procesos de seguridad
El volumen de transacciones de una empresa, el método de gestión de tarjetas y el historial de infracciones de seguridad determinan la frecuencia y el tipo de auditorías y análisis de seguridad necesarios para establecer el cumplimiento. Muchas empresas pueden optar por realizar una autoevaluación, mientras que las empresas más grandes o las que hayan sufrido infracciones anteriores deberán encargar la auditoría a un asesor de seguridad calificado independiente.
El cumplimiento de las normas de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es de solo el 27,9%, lo que expone a las empresas a filtraciones de los datos de los clientes, a sanciones financieras del banco adquirente, a costosas auditorías e investigaciones y al riesgo de que se cancelen las cuentas de las empresas.
D
Disputa
La Ley de Facturación Justa de Crédito (FCBA), creada en 1975, estableció el proceso de disputa (o disputa de contracargo) que se genera cuando los clientes cuestionan e impugnan las transacciones en sus estados de cuenta. Las disputas pueden surgir por cargos fraudulentos, mercancía no recibida, cargos recurrentes olvidados o mercancía defectuosa.
El proceso de disputa comienza cuando el cliente se pone en contacto directamente con la empresa para intentar resolver la disputa, lo que puede dar lugar a un contracargo con la empresa de su tarjeta de crédito para resolver la disputa. En 2020, las empresas perdieron USD 17500 millones por contracargos.
E
Ecommerce
El comercio electrónico (ecommerce) se refiere a las transacciones que se producen a través de un medio electrónico entre empresas y consumidores. Sin embargo, en el uso común, el ecommerce se refiere generalmente a la compra y venta de productos a través de Internet y puede dividirse en tres categorías:
- Empresa a empresa (B2B)
- Empresa a consumidor (B2C)
- Consumidor a consumidor (C2C)
- También conocido como persona a persona (P2P)
Como resultado de la pandemia, el ecommerce en Estados Unidos alcanzó un crecimiento que debía darse en un periodo de cinco a siete años en cuestión de meses: El volumen total alcanzó los USD 870800 millones en 2021, un 14,2% más que en 2020.
Se dice que la primera transacción de ecommerce fue una venta de cannabis en 1971 o 1972 entre estudiantes del Laboratorio de Inteligencia Artificial de Stanford y el Instituto Tecnológico de Massachusetts a través de ARPANET. Sin embargo, la Sra. Jane Snowball, de 72 años, hizo historia como la primera compradora en línea, cuando pidió comestibles a Tesco en 1984.
Ecommerce omnicanal
Las empresas omnicanal buscan hacer algo más que vender en todos los canales disponibles. Quieren crear experiencias de compra fluidas, independientemente de si el cliente compra en la web, a través de una aplicación o en una tienda física. Por lo tanto, el ecommerce omnicanal se enfoca en fusionar los canales en línea y fuera de línea en una experiencia de compra única con un aspecto y una funcionalidad coherentes.
Por ejemplo, el 90% de los clientes desean la experiencia de compra en línea con retiro en la tienda (BOPIS). El ecommerce omnicanal puede ofrecerla. Como resultado, es más probable que los clientes sean leales. Las empresas omnicanal retienen un promedio del 89% de los clientes, frente al 46% de las empresas con estrategias multicanal.
Empresa multicanal
Las empresas multicanal se centran en hacer llegar sus productos a los clientes, estén donde estén. A lo largo de los años, la venta multicanal se ha expandido desde las tiendas físicas, la venta telefónica y los catálogos, y ahora incluye las ventas de ecommerce realizadas a través de aplicaciones, dispositivos móviles, redes sociales y tiendas en línea. Se espera que las ventas multicanal representen casi el 46% de todas las ventas de ecommerce en 2023.
EMV
La tecnología EMV (o “chip”) fue desarrollada por Europay, MasterCard y Visa (de ahí el nombre “EMV”) para ayudar a que las transacciones con tarjetas de crédito y débito sean más seguras. Estas tarjetas llevan incorporado un chip microprocesador que interactúa con el sistema de puntos de venta de la empresa para validar la tarjeta. Como nuevo estándar mundial para las tarjetas de crédito y débito, estas nuevas tarjetas mejoran la seguridad al ser casi imposibles de duplicar.
Eso ha sido una mala noticia para los estafadores. Visa informó en 2019 que las adopciones de EMV han hecho que el fraude disminuya en un 87% entre las cinco principales empresas que cumplen con la normativa de EMV.
Aunque la tecnología EMV ha contribuido a proteger a los consumidores del fraude con tarjeta, ha hecho poco por reducir los índices de fraude en línea. De hecho, a medida que los delincuentes vuelcan sus esfuerzos a objetivos más fáciles de las transacciones de ecommerce, los fraudes sin presencia de la tarjeta (CNP) y de apropiación de cuenta (ATO) han ido en aumento. La tecnología abre nuevas oportunidades para los estafadores expertos en tecnología, lo que hace que incluso las soluciones de vanguardia como EMV no sean suficientes para detener a los ciberdelincuentes decididos.
Estafa en línea
Si bien Internet ha facilitado la realización de tareas diarias, como comprar, realizar operaciones bancarias y reservar vacaciones, también ha facilitado que los estafadores lleven a cabo sus delitos cibernéticos. Algunas de las estafas en línea más comunes son el phishing, el fraude de apropiación de cuenta (ATO) [JB10], el fraude sin presencia de la tarjeta (CNP), el fraude relacionado con la pandemia y el fraude con tarjetas de regalo.
F
Filtración de datos
Las filtraciones de datos se producen cuando se accede a datos sensibles, protegidos o confidenciales (como información bancaria, datos de salud, contraseñas o información de tarjetas de crédito) a través de medios no autorizados.
Las filtraciones pueden producirse a través de contraseñas débiles, piratas informáticos, ataques de phishing, falta de parches de software, etcétera. Las filtraciones de datos no tienen por qué ser grandes eventos como la filtración de Facebook. Pueden ocurrir simplemente como resultado de que un empleado no autorizado vea a un empleado autorizado introducir las credenciales de acceso a un sitio seguro.
Las filtraciones de datos en Estados Unidos en 2021 alcanzaron su número más alto, con 1862, un 68% más que en 2020. La exposición de información sensible, como los números de seguro social, fue del 83%, más que en 2020, pero no tan alta como en 2017.
Filtro de fraude
Los filtros de fraude son herramientas que las empresas añaden a su tienda de ecommerce para evitar que se procesen pedidos potencialmente fraudulentos. Suelen incluirse en las plataformas de ecommerce y pueden configurarse para avisar a las empresas de una transacción potencialmente fraudulenta o para cancelar un pedido por completo si se ajusta a ciertos criterios característicos del fraude.
Hay muchos tipos diferentes de filtros de fraude; algunos de los más comunes son los filtros de velocidad, la hora de la compra, el sistema de verificación de direcciones (AVS), el valor de verificación de la tarjeta (CVV), el importe de la compra y los filtros de dirección IP.
Las empresas deben tener cuidado con el orden en el que aplican estos filtros. Si se aplican de forma incorrecta, algunas reglas pueden anular a otras, lo que reduce la cantidad total de protección que ofrecen.
Aunque los filtros de fraude son una estrategia de protección contra el fraude popular y relativamente económica, no son infalibles: Los filtros de fraude suelen generar una tasa de rechazos erróneos de aproximadamente el 25%.
Filtro de importe de compra
Los filtros de fraude facilitan a las empresas de ecommerce la identificación y la respuesta a las transacciones potencialmente fraudulentas. Uno de los más comunes es el filtro de importe de compra, que permite a las empresas de ecommerce establecer límites superiores e inferiores para los importes de las transacciones. Cualquier compra que quede fuera del rango puede marcarse y retenerse para una revisión adicional, procesarse como de costumbre pero activar un informe o rechazarse automáticamente. Dado que la mayoría de las empresas conocen el tamaño típico de sus transacciones, la configuración del filtro les notificará cuando se produzcan transacciones inusuales.
Los filtros de fraude pueden ser muy eficaces si se utilizan correctamente. Sin embargo, si una empresa coloca varios filtros de forma incorrecta, es posible que no funcionen como se pretende, y que algunas reglas sean anuladas por otras y disminuyan la eficacia del sistema.
Filtros de velocidad
Los filtros de velocidad controlan elementos de datos específicos (como las direcciones de correo electrónico, los números de teléfono y las direcciones de facturación/envío) y limitan el número de transacciones que un sitio web puede procesar en un determinado periodo de tiempo (por ejemplo, una hora, un día) utilizando estos datos.
¿Por qué puede querer una empresa limitar el número de transacciones? Cuando un estafador obtiene los números de las tarjetas de crédito de la web oscura, puede empezar a probar rápidamente esos números en el sitio de una empresa, y buscar qué tarjetas funcionan. Si la transacción se lleva a cabo, los estafadores suelen tratar de utilizar la tarjeta al máximo con más compras (y más grandes).
El uso eficaz de los filtros de velocidad depende de que la empresa conozca a sus buenos clientes y sepa la magnitud y la frecuencia de sus compras.
Fraude
El fraude puede referirse a la obtención de algo de valor —desde dinero hasta bienes físicos o servicios— por medio de un engaño u omisión delictiva deliberada.
Hay innumerables tipos de fraude, como el de los inversores, el de la contabilidad, el de las tarjetas de crédito y el de los seguros, pero el objetivo final es el mismo: el delincuente recibe a sabiendas un beneficio al que no tiene derecho.
Fraude amistoso
El fraude amistoso se produce cuando el titular de una tarjeta impugna una transacción (o presenta un contracargo) por motivos como olvidar que realizó la compra, no reconocer el nombre del comerciante en su extracto, no saber que otro miembro de la familia autorizó la compra o no entender la política de devoluciones de la empresa.
Lo que diferencia a este tipo de fraude de los demás es que estos clientes no suelen tratar de engañar. Más bien, simplemente están cometiendo un error de manera honesta.
Ocasionalmente, se puede ver el uso de “fraude amistoso” para describir situaciones en las que los clientes hacen compras legítimas con tarjeta de crédito, reciben el producto o servicio y luego presentan intencionadamente un contracargo con la intención de recibir un reembolso completo y quedarse con el producto. Este tipo de fraude se describe con más precisión como fraude de contracargo.
Fraude con tarjeta de crédito
El fraude con tarjeta de crédito se refiere al robo en el que se utiliza una tarjeta de crédito o débito para pagar una transacción, con la intención de quedarse con los bienes y servicios sin pagarlos.
Los tipos de fraude con tarjeta de crédito incluyen el robo de identidad, el fraude sin presencia de la tarjeta y el fraude de apropiación de cuenta. Los estafadores pueden obtener los datos de la tarjeta de crédito de la víctima comprando la información en la web oscura, utilizando skimmers en los surtidores de las gasolineras o a través de filtraciones de datos corporativos.
El ecommerce ha facilitado aún más a los estafadores el uso de estos datos robados, y el fraude con tarjetas de crédito aumentó un 44,7% entre 2019 y 2021, con 393207 informes de fraude. El verdadero costo del fraude con tarjeta de crédito para las empresas es más que el costo de la mercancía perdida: también incluye la pérdida de ganancias, las comisiones bancarias y los costos de contracargos.
Fraude de apropiación de cuenta (ATO)
El fraude de apropiación de cuenta (ATO) es un tipo de robo de identidad que ocurre cuando un estafador usa parte de la identidad de una víctima, como su número de seguro social o dirección de correo electrónico, para apoderarse de la cuenta de la víctima.
Los estafadores obtienen acceso a la cuenta de una víctima a través de una filtración de datos, malware, phishing e incluso jaqueando teléfonos móviles. Una vez que tiene las credenciales de la víctima, el estafador actualiza la información de contacto de la cuenta y toma el control de esta. Mientras tanto, la víctima no tiene ni idea de que su cuenta ha sido vulnerada.
El fraude de apropiación de cuenta es una preocupación creciente desde hace años. Con el aumento exponencial del tráfico de ecommerce a causa de la pandemia, este tipo de fraude representó uno de cada cinco intentos de inicio de sesión y el 13% de los costos de fraude de ecommerce en Estados Unidos en 2021.
Las empresas que venden suscripciones a menudo se encuentran en un riesgo particularmente alto de fraude de apropiación de cuenta. En estos casos, las empresas suelen ser complacientes porque ya han establecido una relación con el cliente; como resultado, si el cliente es víctima de un fraude, pueden aprobarse múltiples transacciones fraudulentas antes de que la empresa se dé cuenta de lo ocurrido.
Fraude de contracargo
Aunque los contracargos se establecieron para proteger a los clientes contra las pérdidas que surgen tanto por el robo de identidad como por las prácticas comerciales desleales, los clientes se aprovechan cada vez más del vacío legal que favorece automáticamente a los clientes durante una disputa de tarjetas de crédito. En estos casos, el cliente presenta un contracargo sobre una transacción legítima para poder quedarse con el producto y recibir un reembolso completo de la compra original.
Esto deja a la empresa en apuros por la pérdida de ingresos que habría obtenido con la venta, además de costosas comisiones por contracargo, sin mencionar la posible pérdida de su cuenta comercial si su índice de contracargos es demasiado alto.
Desafortunadamente, el 86% de los contracargos se consideran fraudulentos, y aumentan a un ritmo de más del 20% cada año.
Fraude de pago
El fraude de pago se refiere a cualquier transacción fraudulenta que un delincuente ejecuta y que tiene como resultado el robo de dinero, propiedades o datos sensibles de la víctima. Los controles tradicionales de prevención del fraude alguna vez fueron suficientes para prevenir el fraude de pago, pero los estafadores se han vuelto más inteligentes y más experimentados. Las empresas necesitan una estrategia integral de prevención del fraude que incluya aprendizaje automático, análisis de datos y revisión secundaria.
Fraude sin presencia de la tarjeta (CNP)
Las transacciones sin presencia de la tarjeta (CNP) son precisamente lo que su nombre indica. Un cliente realiza una compra en línea en la que no está presente físicamente para mostrar la tarjeta de crédito. Aunque este método de pago es cómodo para los clientes y fundamental para los minoristas en línea, también genera la oportunidad de que se produzcan fraudes sin presencia de la tarjeta.
El fraude sin presencia de la tarjeta es similar al fraude de apropiación de cuenta en el sentido de que suele ser el resultado de que los ciberdelincuentes roben la información de las tarjetas de crédito —a menudo mediante el skimming o la compra de datos en la web oscura— y luego utilicen la información para realizar compras fraudulentas. Los estafadores a menudo compran artículos de alto valor, como productos electrónicos, para sacar el máximo provecho del dinero antes de que el titular de la tarjeta se dé cuenta de que su cuenta ha sido vulnerada.
En lo que respecta a las empresas, el fraude sin presencia de la tarjeta suele acarrear costos significativos, como la pérdida de productos, los gastos de envío, las comisiones por contracargo y el daño a la reputación.
Los minoristas perdieron más de USD 20000 millones en 2021, un 18% más que el año anterior. A medida que las empresas continúan con la transición a la tecnología de tarjetas con chip (EMV), los estafadores seguirán buscando nuevas formas de aprovechar las vulnerabilidades de seguridad de los sitios web.
G
Gestión de riesgos
Las empresas llevan a cabo procesos de gestión de riesgos para identificar, evaluar, analizar y prevenir la exposición a los riesgos que amenazan el capital y las ganancias. Estos riesgos se presentan de muchas formas, como los relacionados con el clima, los juicios por responsabilidad civil, el robo por parte de empleados y el fraude con tarjeta de crédito.
Las empresas de ecommerce se han centrado cada vez más en la seguridad de sus activos digitales, incluida la información personal identificable de los clientes, y han implementado programas de gestión de riesgos que las ayudan a hacer lo siguiente:
- Mejorar los índices de aprobación de las transacciones
- Reducir los rechazos erróneos
- Disminuir los índices de contracargos y los costos de contracargos relacionados con el fraude
- Acortar el tiempo de respuesta
I
Índice de contracargos
El índice de contracargos de una empresa es el número de contracargos comparado con el total de transacciones de un mes determinado. A medida que aumenta el número de contracargos contra un minorista, también lo hace el índice.
Es importante tener en cuenta que cada emisor de tarjetas calcula este índice de forma ligeramente diferente. Visa, por ejemplo, divide el número de contracargos del mes actual por el número de transacciones del mes actual. En cambio, MasterCard divide el número de contracargos del mes actual por el número de transacciones del mes anterior.
Sin embargo, más allá del emisor, es importante que las empresas mantengan un índice de contracargos bajo, idealmente inferior al 1% del total de las transacciones. Un índice de contracargos superior al 1% hace que las empresas corran el riesgo de perder sus servicios bancarios, de que las comisiones del programa sean más elevadas y de que se las considere empresas de alto riesgo. Las empresas con índices de contracargos excepcionalmente altos pueden incluso perder por completo sus privilegios de procesamiento.
Desafortunadamente, incluso los contracargos que se resuelven a favor de la empresa se contabilizan en su índice.
Industria de alto riesgo
Se considera que una industria es de alto riesgo cuando es especialmente vulnerable al fraude y los contracargos en línea, como los juegos de azar, el entretenimiento para adultos, las apuestas en línea y los viajes. Debido a esta vulnerabilidad, muchos procesadores de tarjetas de crédito someten a estas empresas a términos y condiciones poco deseables, o no están dispuestos a asumir el riesgo en absoluto. Las empresas pueden incluso ser privadas de este acuerdo si no pueden mantener sus índices de contracargos dentro de un rango aceptable.
Cada empresa se evalúa según diferentes criterios, pero ciertas características empresariales suelen calificarse de alto riesgo:
- Una nueva empresa con poco historial de procesamiento de tarjetas de crédito
- Una empresa que vende productos o servicios a países con una alta incidencia de fraude
- Una empresa con valores de transacción promedio de más de USD 500
- Una empresa que opera en una industria con índices de contracargos tradicionalmente altos
N
Normas de seguridad de datos de la industria de tarjetas de pago (PCI DSS)
Las normas de seguridad de datos de la industria de tarjetas de pago (PCI DSS) se establecieron en 2004 en respuesta al aumento de los robos de datos.El cumplimiento de las normas de seguridad de datos de la industria de tarjetas de pago se centra exclusivamente en la aplicación de normas para mantener la seguridad de los datos de las tarjetas de crédito en su recorrido desde la empresa hasta el procesador de tarjetas de crédito. Todas las empresas que manejan tarjetas de pago deben seguir los 12 objetivos de control establecidos por la industria de tarjetas de pago que dictan el cifrado y la transmisión de los datos de las tarjetas de crédito.
Las principales empresas de tarjetas de crédito (Visa, MasterCard, Discover, American Express y JCB) crearon en 2006 un organismo independiente, denominado Consejo de Normas de Seguridad para la Industria de las Tarjetas de Pago (PCI), para gestionar la evolución continua de las normas y destacar las formas en las que las empresas pueden mejorar la seguridad de los pagos.
P
Pagos de comunicación de campo cercano (NFC)
A veces conocidos como “pagos sin contacto”, los pagos de comunicación de campo cercano se producen cuando dos dispositivos se comunican al estar cerca el uno del otro y completan una transacción. Apple Pay, Android Pay y Samsung Pay son algunas de las plataformas de pago de comunicación de campo cercano más comunes.
Aunque muchos teléfonos inteligentes incorporan esta tecnología, las empresas deben adquirir un lector de pagos con comunicación de campo cercano para aceptar los pagos sin contacto.
Dado que los pagos móviles de comunicación de campo cercano están codificados de forma dinámica, se consideran una forma segura de procesar las transacciones. Los clientes también piensan lo mismo: El número de usuarios de pagos de comunicación de campo cercano en todo el mundo se disparó a más de 1180 millones en 2020, un aumento de más del 22% en comparación con los niveles de 2019.
Pérdidas por fraude
Después de que un delincuente toma algo de valor de una empresa de manera fraudulenta, esta experimenta una serie de pérdidas por fraude, desde el producto en sí mismo hasta las comisiones y las sanciones asociadas con cualquier contracargo y el daño a la reputación asociado con el fraude.
La Comisión Federal de Comercio informó pérdidas por fraude de más de USD 5800 millones en 2021, lo que representa un aumento del 70% respecto a los volúmenes de 2019.
Las pequeñas empresas tienden a ser más afectadas por el fraude porque es menos probable que tengan los recursos para invertir en prácticas y tecnología antifraude que sus contrapartes más grandes. Por no mencionar que el costo del fraude puede tener un mayor impacto en las finanzas de las pequeñas empresas.
Pharming
Una estafa común son los ataques de “pharming”, que son similares a los ataques de “phishing”, con una importante diferencia: Los ataques de phishing requieren que las víctimas hagan clic en un enlace que las lleve al sitio web fraudulento, mientras que los ataques de pharming instalan automáticamente malware en una computadora y dirigen a los usuarios a sitios web fraudulentos. Como este código no requiere ni consentimiento ni conocimiento para ejecutarse, muchas víctimas ni siquiera se dan cuenta de que han sido atacadas.
Los ataques de pharming están aumentando, en parte, porque los estafadores están buscando nuevas formas de recopilar datos personales sensibles de los usuarios de Internet, que están aprendiendo a evitar los ataques de phishing. En 2017, un ataque de pharming afectó a más de 50 instituciones financieras y a sus clientes en Estados Unidos, Europa y la región Asia-Pacífico. Antes de ser detenido, el ataque infectó más de 3000 computadoras en tres días.
Phishing
Las estafas de phishing, que son una forma de ingeniería social y de robo de identidad, intentan engañar a las personas para que revelen información personal. Los estafadores suelen ponerse en contacto con las víctimas mediante mensajes de texto, correo electrónico o teléfono, y se hacen pasar por una figura de autoridad o una empresa aparentemente legítima para obtener los datos confidenciales de la víctima.
Los phishers también pueden instalar software malicioso en las computadoras, infectarlas con virus o incluso robar información personal de estas.
Cada mes se crean más de 2 millones de nuevos sitios de phishing, con un costo promedio para los consumidores de 14,65 millones.
Plataforma de ecommerce
Una plataforma de ecommerce es una tecnología de software que permite a las empresas de ecommerce abrir y administrar una tienda en línea; vender productos y servicios; y realizar otras funciones, como enviar correos electrónicos, integrarse con las redes sociales y crear programas de fidelización. Se calcula que hay entre 12 y 24 millones de tiendas que utilizan plataformas de ecommerce para vender sus productos en línea.
Algunas de las plataformas más comunes son BigCommerce, Magento (ahora Adobe Commerce), Shopify, Oracle, VTEX y WooCommerce. Estas plataformas van desde las sencillas y gratuitas hasta las complejas y costosas; la selección de la plataforma adecuada depende del presupuesto, los objetivos y las necesidades de la empresa.
Protección de contracargos
La protección de contracargos generalmente cubre una parte de las pérdidas que una empresa puede sufrir debido a transacciones fraudulentas. Aunque la protección de contracargos funciona para limitar las pérdidas por fraude, no reembolsa a las empresas la totalidad de los contracargos que se produzcan. En cambio, las empresas reciben descuentos en las facturas en función de indicadores clave de rendimiento (KPI) predeterminados que no se cumplen.
La protección de contracargos puede variar mucho según el proveedor. Algunos proveedores no cubren ninguna pérdida, sino que se limitan a ofrecer herramientas para ayudar a controlar las transacciones e identificar el fraude, lo que responsabiliza a las empresas de todos los contracargos y las sanciones.
La protección de contracargos tampoco protege contra el daño a la reputación del vendedor ni contra los posibles aumentos de las comisiones de procesamiento de pagos que pueden producirse a medida que aumenta el índice de contracargos de una empresa.
Proveedor de cuentas comerciales
Asociarse con un proveedor de cuentas comerciales (a veces llamado “banco adquirente comercial”) permite a las empresas aceptar tarjetas de crédito y débito como formas de pago. Mientras que muchas empresas trabajan con bancos o instituciones financieras, otras pueden optar por trabajar con proveedores como Square, PayPal o QuickBooks para procesar las transacciones con tarjeta de crédito.
Para encontrar el proveedor más adecuado, las empresas deben comparar los servicios, las comisiones y los extras que ofrece cada proveedor. Las empresas en las categorías de alto riesgo se encuentran con menos opciones.
Proveedor de seguro de contracargo comercial
Hay una serie de empresas de prevención del fraude en línea que ofrecen una garantía del 100% de que la empresa no será responsable de los costos de las transacciones fraudulentas, si el proveedor aprueba una transacción que resulta ser fraudulenta y da lugar a un contracargo.
Un buen proveedor de seguros de contracargos siempre emite una decisión final sobre la aprobación de una transacción y garantiza cada transacción. Sin embargo, las empresas también deben comprender que no basta con garantizar las transacciones.
Por supuesto, las empresas quieren estar seguras de que su proveedor les reembolsará cualquier costo derivado de un contracargo fraudulento. Sin embargo, también deben saber que su proveedor está revisando minuciosamente cada transacción sospechosa para determinar su validez, y no limitarse a ir sobre seguro rechazando cada transacción dudosa para evitar el pago de comisiones de contracargo [JB9]. En última instancia, se trata de encontrar un proveedor que optimice las aprobaciones y minimice los contracargos.
Proveedores de prevención del fraude
Todas las empresas de ecommerce necesitan una solución de prevención del fraude, y muchos proveedores se dedican a supervisar y detener las transacciones fraudulentas sin presencia de la tarjeta. Algunos proveedores proporcionan análisis de transacciones utilizando inteligencia artificial avanzada (a menudo como solución subcontratada); otros utilizan una solución de servicios de gestión, en la que un equipo de expertos gestiona cada aspecto de la actividad de una empresa de ecommerce. Otros proveedores combinan los dos servicios para ofrecer un enfoque híbrido de la gestión del fraude.
Al evaluar a los proveedores, las empresas deben comparar la responsabilidad financiera de cada uno, el nivel de servicio, el impacto en la experiencia del cliente y del usuario, y la facilidad de integración. Una matriz como la siguiente puede ser útil.
La mayoría de los proveedores de prevención del fraude cobran un porcentaje del valor de la transacción o una comisión fija. Algunos proveedores ofrecen una garantía de contracargo que los hace responsables de cualquier costo si se aprueba una transacción fraudulenta; otros no ofrecen tales garantías. Algunos vendedores rechazan automáticamente las transacciones de alto riesgo, mientras que otros deciden rechazar una transacción solo después de una exhaustiva revisión manual y de contactarse con el cliente.
R
Rechazos erróneos
Los rechazos erróneos (también llamados “falsos positivos”) se producen cuando el sistema de protección contra fraudes de una empresa marca una transacción legítima y se rechaza inadvertidamente. Suele ocurrir porque el titular de una tarjeta activa el programa de detección de fraudes de una empresa (por ejemplo, al realizar una compra grande que se envía a un lugar distinto de la dirección de facturación del cliente) y se lo identifica erróneamente como estafador.
Sorprendentemente, los rechazos erróneos son bastante comunes: Casi el 90% de las transacciones válidas se rechazan.
Además, si bien los rechazos erróneos son vergonzosos e incómodos para los clientes, también son costosos para las empresas: Los rechazos erróneos les cuestan a las empresas más de USD 118000 millones en ventas al año, 13 veces más que las pérdidas por fraude real en el ecommerce.
Robo de identidad
El robo de identidad ocurre cuando los estafadores recopilan suficientes datos personales críticos sobre una persona (como el nombre, el número de licencia de conducir, la fecha de nacimiento y la dirección) y se hacen pasar por esa persona para abrir nuevas cuentas y realizar compras. Esto también puede denominarse “robo de identidad con nombre verdadero”. Un delincuente también puede utilizar la información robada para apropiarse de la cuenta existente de un consumidor, lo que se denomina fraude de apropiación de cuenta (ATO). El fraude de apropiación de cuenta representa uno de cada cinco intentos de inicio de sesión y el 13% de los costos de fraude de ecommerce de Estados Unidos en 2021.
Los incidentes de robo de identidad casi se duplicaron en Estados Unidos en 2021, lo que representa USD 16900 millones en pérdidas.
S
Seguro de contracargo
Para las empresas que aceptan tarjetas de crédito, el seguro de contracargo ofrece una garantía del 100% que protege a la empresa en caso de que el socio de soluciones contra el fraude apruebe una transacción que resulte ser fraudulenta y dé lugar a un contracargo. El seguro de contracargo ofrece una garantía de protección del 100% para las empresas que aceptan tarjetas de crédito, en caso de que el socio de soluciones contra el fraude apruebe una transacción que resulte ser fraudulenta y dé lugar a un contracargo. En caso de que esto ocurra, el socio de soluciones contra el fraude paga todo el costo del contracargo.
Un buen programa de seguro de contracargo funciona como cualquier otro tipo de seguro, cubriendo las pérdidas en las que incurre el asegurado tras pagar una prima nominal a la empresa de seguros de contracargo.
Servicios de gestión del fraude
La organización típica pierde un promedio del 5% de los ingresos debido al fraude. Los servicios de gestión del fraude se centran en evitar que este se produzca, en lugar de limitarse a reaccionar ante los ataques.
Con los servicios de gestión del fraude, un equipo de analistas experimentados gestiona todos los aspectos de la actividad de ecommerce de la empresa, observa activamente las transacciones e implementa estrategias integrales de gestión de contracargos para detener los pedidos fraudulentos antes de que se aprueben. El proveedor de servicios de gestión del fraude puede ser responsable del riesgo de fraude si se aprueba una transacción fraudulenta.
Sistema de verificación de direcciones (AVS)
El sistema de verificación de direcciones (AVS) es un filtro de fraude que muchas empresas utilizan para evitar que se procesen pedidos potencialmente fraudulentos. Se trata de una comparación automática entre los números de la dirección de facturación y de envío que introduce el cliente y los que tiene registrados el banco emisor de la tarjeta. Si los números no coinciden, la transacción puede rechazarse automáticamente o marcarse para su revisión manual.
Al mismo tiempo, el sistema de verificación de direcciones es uno de los mayores causantes de los rechazos erróneos. Al fin y al cabo, ¿quién no se ha olvidado de actualizar su dirección después de una mudanza o ha hecho una compra de un regalo en línea durante la temporada de vacaciones y se lo han enviado directamente al destinatario? Por eso, las transacciones con discrepancias en el sistema de verificación de direcciones deben marcarse para su revisión manual en lugar de rechazarse automáticamente.
Skimming
El skimming es el acto de utilizar dispositivos electrónicos o lectores de tarjetas difíciles de detectar en los sistemas de puntos de venta para capturar y copiar la información de la cuenta transmitida electrónicamente de una tarjeta de crédito o débito válida. Luego, el estafador clona esos datos en una tarjeta falsificada para hacer compras en la tienda, usa la información de la tarjeta para realizar transacciones en línea fraudulentas o vende los datos en la web profunda.
En 2016, un hombre fue detenido en California por colocar skimmers en ocho cajeros automáticos del banco Wells Fargo. Capturó los datos de casi 4900 tarjetas, creó tarjetas falsas y luego robó casi USD 500000. Los casos de skimming han ido disminuyendo a medida que aumenta el fraude en el ecommerce.
Software de protección contra el fraude
Algunas empresas integran el software de protección contra el fraude en sus estrategias de prevención. Estos programas de software automatizados ayudan a las empresas a identificar las transacciones de riesgo en tiempo real y a reducir el impacto del fraude de los clientes. Mediante algoritmos, el software analiza las transacciones de múltiples fuentes, utiliza los datos de transacciones anteriores para analizar los factores de riesgo y marca las transacciones para su posterior análisis.
Este tipo de soluciones suelen ser económicas para las empresas más pequeñas, pero no son infalibles. Muchas soluciones pueden aumentar el número de rechazos erróneos ya que tratan a todas las transacciones sospechosas como fraude. A su vez, esto puede contrarrestar los ahorros obtenidos gracias a la protección automática contra el fraude.
T
Tokenización
Los servicios de pago como Apple y Android utilizan la tokenización para proteger los datos sensibles, y cambian la información personal por datos generados aleatoriamente. Como resultado, los datos reales de la tarjeta de crédito del cliente nunca se utilizan ni se accede a ellos.
El uso de la tokenización tiene tres ventajas:
- El proceso no tiene complicaciones para los clientes (y es casi invisible para ellos).
- Esta tecnología ayuda a proteger contra el robo de información de tarjetas de crédito durante el proceso de la transacción.
- Ayuda a las empresas a cumplir las normas de seguridad de la industria, como las normas de seguridad de datos de la industria de tarjetas de pago (PCI DSS).
Se cree que la tokenización es una de las mejores soluciones disponibles en la actualidad para asegurar las transacciones con tarjetas de crédito sin alterar significativamente la experiencia del titular de la tarjeta.
V
Valor de verificación de la tarjeta (CVV)
Los valores de verificación de la tarjeta (CVV) son números de tres a cuatro dígitos que aparecen en el reverso o el anverso de las tarjetas de crédito y que pueden ayudar a reducir el riesgo de fraude. Estos números están impresos en la tarjeta, en lugar de estar grabados o almacenados en la banda magnética. Como resultado, solicitar estos números puede minimizar el fraude sin presencia de la tarjeta (CNP), ya que los estafadores generalmente necesitarán tener la tarjeta en la mano para disponer de esta información.
Exigir un valor de verificación de la tarjeta para cada compra puede añadir otro nivel de seguridad a las transacciones en línea. Si el número que proporciona el cliente coincide con el que tiene registrado el banco, la transacción puede procesarse de manera segura. Algunos emisores de tarjetas de crédito incluso proporcionan un valor de verificación de la tarjeta de un solo uso para las compras en línea, lo que aumenta aún más la seguridad de las transacciones.
American Express utiliza un código de identificación de la tarjeta (CID) de cuatro dígitos, mientras que el código de validación de la tarjeta de MasterCard (CVC2) y los códigos CVV2 de Visa son de tres dígitos.
W
Web oscura
La web oscura (también conocida como web profunda) es una parte oculta de la World Wide Web que no está indexada por los motores de búsqueda tradicionales como Google. Los sitios de la web oscura utilizan una estructura de red para cifrar el tráfico web dentro de varios niveles y rebotar el tráfico a computadoras aleatorias en todo el mundo. Cada rebote elimina un nivel de cifrado, lo que hace que nadie pueda cotejar el origen del tráfico con su destino.
En la web oscura se puede comprar una sorprendente variedad de bienes y servicios, como números de tarjetas de crédito, títulos universitarios falsos, asesinos a sueldo, números de seguro social robados y mucho más.
Mientras que se estima que hay 3660 millones de páginas indexadas en Internet, se calcula que hay unos sorprendentes 7500 TB de información en la web profunda.
