Lograr el éxito de un negocio no es solo cuestión de buenas ideas o intenciones. Es necesario identificar las amenazas que existen y que pueden poner en peligro la seguridad de tus datos o los de tus clientes
El uso de diferentes medios para aceptar pagos exige que cuentes con sistemas y canales seguros que transfieran a tus clientes la confianza de realizar negocios o compras contigo. Esto lo consigues teniendo una estrategia de negocios definida y seleccionando al proveedor de servicio correcto.
Tanto en el comercio electrónico como en el presencial, es crucial que se apliquen medidas de mitigación de riesgos, prevención, y seguridad que protejan a los usuarios, su dinero y sus datos financieros para evitar uno de los crímenes más comunes: el fraude.
Siendo el fraude un concepto bastante ambiguo lo podemos definir como el uso de engaños, hurto u otros medios para causar pérdidas a otra persona. Estos actos pueden ser cometidos por un individuo o un grupo cuyo fin es generar ganancias económicas injustas e ilegales.
Partiendo del concepto de fraude el proceso de definir un marco de mitigación de riesgos nos exige entender que el fraude puede venir de cualquier parte. El riesgo puede ser tanto interno como externo y estar siendo perpetrado por individuos conocidos al negocio como desconocidos.
Prevenir el fraude es el objetivo máximo en cualquier estrategia de negocio y entender las razones por las que se perpetra el fraude es el primer paso para prevenirlo. Existe una teoría del triángulo que determina la potencialidad de que ocurra un fraude cuando existe la combinación de motivo, oportunidad y racionalización. El fraude no puede ocurrir cuando uno de los tres elementos no está presente.
Para realizar un fraude, el estafador debe contar con 3 elementos:
- Motivo es el elemento que causa que una persona reaccione o actúe ilícitamente. Puede implícitamente estar asociado a una emoción o deseo. Un motivo puede ser presiones financieras, avaricia o simplemente la satisfacción de hacer daño a otro.
- Oportunidad es la combinación de circunstancias que permiten que se cometa el fraude. Una oportunidad puede ser el acceso a los datos del tarjetahabiente, la falta de controles en la revisión de contracargos e incluso la falta de segregación de roles en el negocio.
- Racionalización es la justificación de por qué comete el fraude el estafador a través del autoconvencimiento. Esto sucede cuando el individuo internaliza que el acto fraudulento no es malo o incorrecto, o el fin justifica los medios.
Mientras más oportunidades existan, más racionalización hay y este evento puede crecer al punto de generar pérdidas de miles o millones de dólares para las empresas. Por eso, es importante cerrar todas las vías posibles que un estafador pueda utilizar para cometer fraude.
En los tres elementos, la oportunidad es el área en la que puede sobresalir la prevención del fraude. Eliminar o reducir la oportunidad de cometer fraude se da identificando las falencias en nuestra estrategia de negocio. |
¿En qué punto son más vulnerables las empresas?
Las empresas suelen ser más vulnerables a partir del punto más débil de su cadena de operaciones. Como negocio debes conocer el entorno de tus sistemas, procesos y aquellos actores que interactúan con ellos.
Todos los puntos que interactúan en tu negocio deben adherirse a procesos que mitiguen eventos de fraude. Igualmente, el acceso a estos sistemas debe contar con controles que protejan la información que albergan y procesan. De esta forma te aseguras de que nadie pueda darles mal uso a los datos.
La carencia de conocimientos sobre los riesgos que potencialmente puedan amenazar tu negocio crea la oportunidad de que se cometa fraude. No implementar los controles y procedimientos necesarios puede generar pérdidas y afectar la reputación de tu empresa. Mientras te vuelvas más conocedor sobre las vulnerabilidades y potenciales riesgos que tiene tu negocio, podrás tomar medidas más asertivas para prevenir el fraude.
¿Qué tipos de fraude en línea existen?
Existen innumerables esquemas de fraude utilizados por los estafadores en comercios en línea. Estaremos enfocados en aquellas modalidades más comunes y que han demostrado ser exitosas contra pequeños y grandes comercios en línea. Conocerlos ahora puede ayudarte a evitar que te conviertas en una víctima en el futuro.
Fraude de Pruebas de Tarjeta
El fraude de prueba de tarjeta es cuando alguien obtiene acceso a uno o más números de tarjetas de crédito o débito a través del robo o comprando datos de la tarjeta en la dark web. Aunque tienen los números de tarjeta, no saben si los números de tarjeta pueden usarse para completar con éxito una transacción o cual es el balance disponible en esa tarjeta.
Los estafadores visitan el sitio de un negocio en línea, realizan pequeñas compras de prueba. A menudo usan scripts o bots para probar rápidamente múltiples números de tarjetas. Estas compras iniciales son extremadamente pequeñas, ya que todo el propósito es ver si la tarjeta se puede usar para completar transacciones. Una vez saben que un número de tarjeta de crédito funciona, comenzarán a hacer compras mucho más grandes.
Fraude Amistoso o Contracargos
El fraude amistoso (también llamado fraude de contracargos) es cuando alguien compra un artículo o servicio en línea y luego solicita una devolución de fondos al procesador de pagos, alegando que la transacción no fue válida. Las compañías emisoras de tarjetas de crédito o débito devuelven el valor de la transacción al cliente, que aún debe pagar el comerciante.
Fraude de Reembolso
El fraude de reembolso es cuando alguien usa una tarjeta robada para realizar una compra en un negocio en línea y luego de completada el estafador se contacta con el negocio y solicita un reembolso debido a un sobrepago accidental. Sin embargo, solicitan que el monto excedente deberá enviarse a través de un método alternativo, ya que su tarjeta está cerrada. En última instancia, esto significa que el cargo original de la tarjeta no se reembolsa y el negocio de comercio electrónico es responsable ante el propietario de la tarjeta por el monto total.
Fraude de toma de cuenta o Account Takeover
El fraude de toma de cuenta, también conocido como Account Takeover, ocurre cuando alguien obtiene acceso a la cuenta de un usuario en una tienda o negocio en línea. Esto se puede lograr a través de una variedad de métodos, incluida la compra de contraseñas robadas, códigos de seguridad o información personal en la dark web. Estos casos también se ven cuando se logra la implementación exitosa de un esquema de phishing o mediante el uso de otros mecanismos de ingeniería social donde se obtienen datos personales y/o de autenticación mediante la intimidación o coerción de un cliente en particular.
Fraude de intercepción
El fraude de intercepción es cuando los estafadores hacen compras en un negocio en línea y la dirección de facturación y la dirección de envío coinciden con la información vinculada a una tarjeta robada. Una vez realizada la compra, el objetivo principal es interceptar el paquete y tomar los productos sin crear sospechas.
Fraude de triangulación
El fraude de triangulación envuelve tres actores:
1) la persona que realiza el fraude,
2) un cliente comprador y 3) un negocio en línea.
El esquema surge de la siguiente manera. El estafador establece un negocio en línea que aparenta ser legítimo donde vende productos de alta demanda a precios competitivos. Este negocio en línea atrae una serie de clientes que realizan compras para aprovechar las ofertas. Una vez ha capturado suficientes tarjetas, el estafador utiliza los números de tarjetas robadas para comprar productos en un negocio en línea legítimo.
Mantén tu negocio seguro en todo momento
- Tu plataforma de procesamiento de pagos, canal de aceptación o proveedor de servicios deben contar con controles mitigantes sobre potenciales riesgos y proveer evidencia de estos, tales como cumplimento con el Payment Card Industry (PCI) y sus estándares de seguridad para datos.
- El cumplimiento de PCI da como resultado precauciones de seguridad básicas, que incluyen cosas como crear un firewall entre su conexión a Internet y cualquier sistema que almacene números de tarjetas de crédito. En última instancia, el cumplimiento de PCI es obligatorio, por lo que debes asegurarte de cumplir con las pautas pertinentes de PCI para evitar sanciones o penalidades.
- Toma en consideración que existen otros mecanismos que podrían estar colocando a tu negocio en línea en riesgo. Debes monitorear el tráfico de tu sitio en línea para identificar incremento en las visitas de manera que puedas conocer si estás siendo víctima de un ataque cibernético.
Estos sistemas deben permitirte identificar incongruencias en las transacciones de tu negocio, tales como fluctuaciones en los volúmenes de ventas, capturar el exceso de devoluciones e incluso facilitar que se identifique un incremento en los contracargos.
Defenderte del fraude no debe ser complicado
Cada negocio es distinto y sus estrategias de prevención de fraude varían de acuerdo con su naturaleza. Sin embargo, hay medidas básicas que toda empresa debe aplicar para garantizar la seguridad de sus datos e integridad de sus pagos.
A la hora de buscar herramientas antifraude, muchas empresas se enfocan en la tendencia o en el fraude de moda, y olvidan que lo importante es encontrar una herramienta que se adapte a las necesidades del negocio y que los ayude a tomar mejores decisiones.
El fraude nunca se va a eliminar por completo, pero es necesario tener la información necesaria sobre los riesgos potenciales de tu negocio para poder mitigarlo. Para eso, es importante contar con aliados y proveedores confiables como Evertec, que ofrezcan transparencia en sus negocios a los clientes y mecanismos de pago seguros.
La buena noticia es que, si estás atento y sigues de cerca los métodos de prevención de fraude para negocios en línea, podrías comenzar a prevenir el fraude en tu negocio.
Sobre el autor: Antuam Traverso, CPM es el gerente de Productos para Manejo de Riesgo y Fraude en Evertec.
Es un profesional con sobre 8 años de experiencia en sistemas de pago, canales alternos, servicios digitales y operaciones de manejo de fraude y riesgo de la industria bancaria.