Cómo respondió Stripe a una oleada de ataques de prueba de tarjetas

Lead image 3 (higher res)

Entre febrero y agosto de 2022, Stripe hizo un seguimiento de una oleada de fraudes con tarjetas de crédito en el que agentes malintencionados inundaron los comercios con millones de transacciones de importe bajo o cero. Estos ataques de «prueba de tarjetas» permiten a los delincuentes verificar si las tarjetas de crédito robadas siguen funcionando, y son capaces de paralizar los negocios. En el punto más alto de la oleada, Stripe Radar, la solución de prevención del fraude de Stripe bloqueó más de 20 millones de intentos de prueba de tarjetas al día.

La oleada de este verano formaba parte de una tendencia. La prueba de tarjetas se ha acelerado durante los últimos años a medida que más empresas han dado el salto a Internet. Muchas de ellas no están familiarizadas con los entresijos del e-commerce y son vulnerables frente a los agentes malintencionados. Como resultado, los intentos de prueba de tarjetas han aumentado hasta 100 veces más desde 2019.

Card testing sent to Stripe vs baseline v4b OL

Verificación de tarjetas robadas

La prueba de tarjetas desempeña una función esencial en el proceso que usan los ciberdelincuentes para extraer valor de los datos de tarjetas de crédito robadas. Cuando compran una lista de datos de tarjetas de crédito, no saben qué tarjetas siguen activas. Puede que algunas estén anuladas y que otras hayan caducado. Esto hace que sea difícil conocer el valor real de la lista.

Aquí es donde entra en escena la prueba de tarjetas.

Quienes prueban las tarjetas crean programas que, de forma automática, intentan realizar un pequeño pago con cada tarjeta de un grupo o guardarla en un sitio web como fuente de pago validada. Las tarjetas que se utilizan o se guardan con éxito se pueden vender a otros ciberdelincuentes, quienes pueden utilizarlas para realizar compras mayores o fabricar tarjetas falsificadas.

«Por lo general, el fraude es un ecosistema en el que hay diferentes agentes que realizan acciones diferentes en la cadena de valor para, en definitiva, ganar dinero», afirma Will Megson, líder de producto de Radar.

Daño a los comerciantes

La prueba de tarjetas en masa es un problema para los proveedores y plataformas, aparte de su función de incitación al fraude. Los proveedores pagan comisiones a la red por cada transacción, que son pequeñas en proporción a la transacción, pero se acumulan cuando un sitio web de repente se utiliza para miles o incluso millones de pruebas de tarjetas. Los pequeños comerciantes pueden quebrar debido a la prueba de tarjetas en tan solo unas pocas horas.

Y eso es solo el principio. Los titulares de tarjetas pueden disputar incluso los pequeños cargos de prueba de tarjetas, lo que da lugar a contracargos que suponen una serie de costes para los comerciantes: comisiones de disputas, comisiones de resolución, comisiones de intercambio y horas adicionales de trabajo para resolverlo todo. Como resultado, las redes de tarjetas pueden incluir a los comerciantes en categorías de alto riesgo, como el Programa de control del fraude de Visa o el Programa de cumplimiento de fraude excesivo de los comerciantes de Mastercard, que conllevan un aumento de las tasas de procesamiento y reservas de los comerciantes.

«Aunque estos programas ofrecen controles de protección, también pueden tener un carácter sancionador», comenta Megson.

Radar responde

La buena noticia es que las empresas no tienen que dedicar mucho esfuerzo, pues Radar se ocupa del resto.

En respuesta al aumento de la prueba de tarjetas, los ingenieros de Stripe agilizaron el flujo de datos de la red de Stripe hacia Radar. Esto ha permitido lanzar modelos actualizados en cuestión de una hora, acelerando un proceso que anteriormente llevaba un día o dos y permitiendo que Radar se adapte a las rápidas tendencias de fraude.

«Al aprovechar el machine learning y las normas de fraude personalizadas de Stripe, hemos observado una disminución en nuestras tasas de fraude y de contracargos», afirma Lourdes García, gestora de productos de la óptica en línea Ben & Frank.

Stripe también desarrolló un nuevo modelo de machine learning de prueba de tarjetas a nivel de transacciones. Para ello, hubo que desarrollar nuevos métodos para etiquetar con precisión las transacciones de prueba de tarjetas más allá de la tecnología existente, un paso anteriormente imposible porque las redes de tarjetas no proporcionaban etiquetas de prueba de tarjetas de ningún tipo.

Además de estas mejoras de machine learning, Stripe introdujo docenas de nuevos limitadores de velocidad, una tecnología que limita el número de solicitudes que la API de Stripe procesa en un corto período de tiempo. Solo este paso ha bloqueado casi 40 millones de transacciones de pruebas de tarjetas este año.

«Nos estamos volviendo mucho más inteligentes en cuanto a la supervisión de cómo interactúan los scripts de prueba de tarjetas con comerciantes», señala Megson.

Bloqueo de más ataques

Los resultados han sido alentadores. En lo que llevamos de año, Radar ha bloqueado unas 400 millones de transacciones fraudulentas adicionales, reduciendo a la mitad el número de ataques de prueba de tarjetas exitosos, sin aumentar la tasa a la que las transacciones legítimas se identifican erróneamente como fraude.

«Estábamos a punto de perder la capacidad de procesar pagos debido al gran número de transacciones fraudulentas. Fue en ese momento cuando comenzamos a utilizar Radar, que nos permitió combatir el fraude con programación e instaurar formas más precisas de luchar contra las pruebas de tarjetas», explica Matt Maier, CEO de AdBlock.

Stripe sigue invirtiendo en Radar, combinando innovaciones en machine learning con lecciones del mundo real procedentes de la lucha contra la prueba de tarjetas. A medida que la prueba de tarjetas evolucione, Radar también lo hará.