Los pagos ACH («Automated Clearing House» o cámara de compensación automatizada) son pagos electrónicos que mueven los fondos entre cuentas bancarias usando la red ACH en los Estados Unidos. Este sistema es administrado por Nacha y facilita una variedad de tipos de pago, incluidos depósitos directos de empresarios, pagos a contratistas, pagos automáticos de facturas y transferencias entre particulares.
Al igual que otros tipos de pagos electrónicos, las transferencias ACH son vulnerables al fraude. El 30 % de las organizaciones informaron haber enfrentado este tipo de actividad fraudulenta en 2022, frente al 24 % en 2021. Esta guía explica lo que debes saber sobre el fraude de ACH, incluidos los métodos comunes de fraude, la responsabilidad en caso de fraude de ACH y cómo prevenir y detectar el fraude de ACH.
¿De qué trata este artículo?
- Tipos de fraude de ACH
- Cómo rastrear pagos ACH
- Responsabilidad en el fraude de ACH
- Detección del fraude de ACH
- Prevención del fraude de ACH
Tipos de fraude de ACH
El fraude de ACH incluye una variedad de tácticas que aprovechan el proceso de transferencias electrónicas de fondos dentro de la red ACH. Estos son los diferentes tipos de fraude de ACH y los métodos comunes utilizados para perpetrar el fraude ACH.
Tipos de transacciones ACH fraudulentas
La mayoría de los tipos de fraude de ACH ocurren cuando los estafadores usan débitos ACH para transferir fondos a cuentas que controlan o a las que pueden acceder. Lo hacen obteniendo acceso no autorizado a los datos bancarios de la víctima o manipulando los sistemas de pago existentes para enviar fondos no autorizados a sus propias cuentas. Los estafadores también pueden emplear tácticas a largo plazo para evitar ser detectados, integrándose lentamente en los flujos de trabajo o sistemas financieros.
Adeudos no autorizados
Los estafadores pueden iniciar adeudos no autorizados cuando obtienen el número de cuenta bancaria y el número de ruta bancaria de la víctima, que pueden usar para retirar fondos de esa cuenta. Pueden obtener esta información mediante ataques de phishing, filtraciones de datos o interceptando documentos físicos, como cheques.
Ejecución: Una vez que tienen los datos de la cuenta, los estafadores pueden iniciar adeudos ACH haciéndose pasar por el propietario de la cuenta u otras entidades legítimas autorizadas a retirar fondos. Estas transacciones pueden ser pequeñas para evitar ser detectadas.
Detección y prevención: Los clientes y los bancos pueden usar herramientas como filtros y bloqueos ACH que permiten a los titulares de cuentas especificar qué personas y entidades están autorizadas a realizar débitos. Los clientes deben supervisar periódicamente las cuentas para detectar cualquier transacción no autorizada.
Usurpación de cuenta
La usurpación de cuentas ocurre cuando los estafadores obtienen acceso no autorizado a las plataformas digitales de una cuenta bancaria. Los ciberdelincuentes pueden utilizar malware, phishing o registro de teclas para robar las credenciales de inicio de sesión.
Ejecución: Usando las credenciales de inicio de sesión, el infractor puede iniciar sesión en una cuenta bancaria e iniciar transferencias ACH a otras cuentas que controla.
Detección y prevención: Minimiza el riesgo de apropiación de cuentas implantando la autenticación multifactor (AMF) para acceder a las plataformas bancarias y medidas de seguridad avanzadas como la biometría de la conducta, así como formando a los empleados sobre prácticas de ciberseguridad.
Kiting de ACH
El kiting de ACH se produce cuando los estafadores aprovechan el desfase entre el inicio de la transferencia ACH y el momento en que se depositan o abonan los fondos, creando así un saldo falso.
Ejecución: Los estafadores transfieren fondos entre cuentas que controlan en diferentes bancos para inflar artificialmente el saldo antes de que se liquiden las transacciones, lo que les permite retirar o gastar dinero que no existe.
Detección y prevención: Los bancos pueden usar herramientas para analizar patrones que podrían ser indicativos de kiting, como las frecuentes transferencias interbancarias de sumas redondas. También pueden implementar una verificación mejorada para la liberación de fondos.
Pagos falsos
Este esquema consiste en enviar facturas fraudulentas a las empresas o manipular las instrucciones de pago existentes para desviar pagos a cuentas que controlan los actores fraudulentos.
Ejecución: Al hacerse pasar por vendedores legítimos o crear pedidos totalmente ficticios, los estafadores convencen a las empresas para que realicen pagos ACH a las cuentas equivocadas.
Detección y prevención: Las empresas deben verificar los cambios en los detalles de pago con contactos conocidos a través de un canal de comunicación seguro e independiente. La formación periódica de los empleados sobre el control de las facturas y las solicitudes de pago puede prevenir este tipo de fraude.
Tácticas comunes contra el fraude de ACH
Los estafadores pueden usar los siguientes métodos para obtener acceso a los datos necesarios para cometer fraude o convencer a las partes autorizadas para que inicien débitos a sus cuentas. Los estafadores también pueden aprovechar las debilidades de los diferentes sistemas (banca, correo electrónico, almacenamiento de datos) para orquestar un ataque en múltiples frentes, lo que dificulta a las empresas y a los bancos rastrear y prevenir el fraude.
Robo de datos
Un estafador intercepta o roba información del cliente que puede usar para iniciar transacciones fraudulentas. Esto puede implicar el pirateo de las bases de datos de una empresa, el robo físico, como el robo de documentos o técnicas de ingeniería social para recopilar datos confidenciales.
Ejecución: Una vez que los actores fraudulentos tienen suficientes datos, pueden usarlos para iniciar transacciones fraudulentas ACH o vender los datos en el mercado negro.
Detección y prevención: Las empresas pueden protegerse contra el robo de datos cifrando los datos confidenciales, manteniendo estrictas prácticas de seguridad de TI y realizando auditorías de seguridad periódicas. Las empresas deben asegurarse de que los documentos físicos se almacenen y eliminen de forma segura.
Estafas de phishing
El phishing es cuando los actores fraudulentos engañan al objetivo para que revele información confidencial, como credenciales de inicio de sesión y números de cuenta, generalmente a través de correos electrónicos falsos o sitios web que imitan entidades legítimas.
Ejecución: Una vez que se obtiene la información, los estafadores pueden usarla para acceso y transacciones no autorizados, incluidos los débitos ACH.
Detección y prevención: Educar a los usuarios para que reconozcan los intentos de phishing y verifiquen la autenticidad de las solicitudes de información confidencial puede reducir el riesgo. Las empresas también deben considerar la implementación de filtros de correo electrónico y protocolos de seguridad para detectar y bloquear los correos electrónicos de phishing.
Suplantación de correo electrónico de empresa (BEC)
En esta sofisticada estafa, los delincuentes utilizan tácticas de phishing para hacerse pasar por ejecutivos o proveedores de la empresa.
Ejecución: Los estafadores pueden falsificar o interceptar correos electrónicos en los que se indica al personal de finanzas que cambie la información de las cuentas para pagos ACH, redirigiendo estos pagos a las cuentas que controlan los estafadores o indicándoles que inicien transferencias a cuentas fraudulentas.
Detección y prevención: Los procedimientos de verificación, como las aprobaciones secundarias por parte de otro empleado, pueden ayudar a prevenir este tipo de fraude. Los empleados deben ser capaces de reconocer el phishing y mostrarse escépticos ante los cambios en los datos de pago que se comunican únicamente por correo electrónico.
Amenazas internas
A veces, las personas dentro de una organización, como los empleados o los contratistas, pueden hacer un mal uso de sus privilegios para beneficio personal.
Ejecución: Las personas con información privilegiada pueden iniciar transacciones no autorizadas o alterar la información de la cuenta para desviar fondos.
Detección y prevención: Las auditorías periódicas, la segregación de funciones y el control de la actividad inusual pueden ayudar a mitigar este riesgo. También es importante establecer una cultura de seguridad y comportamiento ético.
Cómo rastrear pagos ACH
El seguimiento de los pagos ACH puede ayudar a resolver problemas como la no recepción de fondos, errores o sospechas de fraude. Cuanto antes inicies un rastreo, más fácil será seguir los datos con precisión.
Recopilar información
Para rastrear un pago ACH, hay que empezar por recopilar toda la información relevante sobre la transacción ACH, como el importe de la transacción, la fecha, el número de ID o de referencia de la transacción, así como los números de cuenta y los nombres bancarios de origen y recepción.
Contactar con el banco
Ponte en contacto con el banco donde se inició la transacción (si eres el remitente) o con el banco donde se enviaron los fondos (si eres el destinatario). Las llamadas telefónicas pueden ser más efectivas que los correos electrónicos para problemas urgentes. Proporciona al banco todos los detalles de las transacciones.
Iniciar el rastreo
Es probable que tu banco te pida que rellenes un formulario para solicitar formalmente un rastreo. Enviarán este formulario a través de la red ACH al otro banco involucrado en la transacción y verificarán si la transacción fue procesada correctamente por cada banco, el estado actual de la transacción y dónde ocurrieron discrepancias o errores. Algunos bancos pueden cobrar comisiones por los servicios de rastreo.
Los rastreos de ACH pueden tardar varios días hábiles en completarse. Haz un seguimiento periódico para comprobar el progreso del rastreo.
Revisar los resultados
Una vez que se complete el rastreo, los bancos involucrados proporcionarán un informe que detalla la ruta de la transacción y cualquier problema que haya surgido. Si se ha producido un error, los bancos pueden corregirlo reprocesando la transacción o haciendo los ajustes necesarios en los saldos de las cuentas. Documentar todas las comunicaciones y los resultados del rastreo. Esta documentación puede ayudar a resolver disputas y servir como prueba en caso de que sea necesario emprender acciones legales.
Responsabilidad en el fraude de ACH
La cuestión de la responsabilidad en el fraude de ACH dependerá de los detalles de cada caso, aunque las leyes son generalmente favorables para los consumidores y tienen requisitos más estrictos para las empresas y los bancos. Leyes como la Ley de Transferencia Electrónica de Fondos (EFTA) de los EE. UU. limitan en gran medida la responsabilidad de los consumidores por transacciones electrónicas no autorizadas, siempre y cuando los titulares de las cuentas actúen dentro de los plazos estipulados. Las empresas podrían verse obligadas a asumir el coste del fraude si no pueden demostrar que contaban con los controles adecuados y los bancos podrían ser responsables si sus procedimientos de seguridad se consideran inadecuados o si no siguen los protocolos acordados.
En muchos casos, la resolución de la responsabilidad en escenarios de fraude ACH puede implicar negociaciones entre las partes afectadas y podría requerir la intervención legal para determinar la culpa. La implementación de medidas preventivas sólidas y el mantenimiento de procedimientos claros y documentados para el manejo de transacciones electrónicas pueden ayudar a las organizaciones a mitigar los riesgos y aclarar la responsabilidad en caso de fraude.
Así es como normalmente se asigna la responsabilidad en situaciones habituales como adeudos no autorizados, BEC o usurpación de cuentas.
Adeudos no autorizados
Normativas como la AELC de EE. UU. requieren que el banco del cliente le reembolse los cargos no autorizados, siempre que el cliente informe de la transacción no autorizada en un plazo de 60 días a partir de la fecha del extracto que muestra el cargo.
Suplantación de correo electrónico de empresa (BEC)
En los casos de BEC, la responsabilidad a menudo recae en la empresa cuyo empleado autorizó la transferencia fraudulenta, especialmente si el empleado fue negligente y no siguió los procedimientos de seguridad internos.
Usurpación de cuenta
Por lo general, los clientes no son responsables de las transacciones fraudulentas resultantes de una toma de control de la cuenta si notifican al banco de manera oportuna. Los bancos podrían asumir la responsabilidad si no implementan medidas de seguridad razonables.
Robo de datos
Cuando se vulneran los datos de una empresa, esta puede ser considerada responsable si fue negligente en la forma en que los protegió. La negligencia puede incluir no cumplir con los estándares de seguridad de la industria o no tomar las medidas preventivas adecuadas.
Estafas de phishing
Si un cliente es víctima de una estafa de phishing y denuncia las transacciones no autorizadas a tiempo, normalmente el banco cubrirá las pérdidas. Si el cliente cometió una negligencia grave (por ejemplo, compartiendo el PIN o las contraseñas), es posible que tenga que asumir una parte o la totalidad de la pérdida.
Amenazas internas
La organización en la que opera la persona con información privilegiada suele asumir la responsabilidad de estas pérdidas, especialmente si los controles o la supervisión inadecuados facilitaron el fraude. En algunos casos, los bancos pueden emprender acciones contra el perpetrador individual.
Kiting de ACH
El autor del kiting de ACH puede ser considerado responsable de fraude. Los bancos también podrían enfrentarse a la responsabilidad si no detectan y detienen la actividad sospechosa debido a la falta de sistemas de supervisión adecuados.
Pagos falsos
La responsabilidad podría recaer en la entidad que no verificó la autenticidad de la solicitud de pago o factura, en particular si no ha actuado con la diligencia debida. Por lo general, los bancos no son responsables si procesaron la transacción de acuerdo con las instrucciones recibidas.
Detección del fraude de ACH
La detección del fraude de ACH requiere una supervisión, revisión e intercambio de información diligentes. A continuación, te explicamos lo que debes saber.
Supervisión de transacciones
Implementa software especializado que analice continuamente tus transacciones ACH contra líneas de base y patrones históricos establecidos. El aprendizaje automático y la inteligencia artificial pueden aprender el comportamiento de pago típico de tu empresa y señalar transacciones potencialmente sospechosas en función de patrones complejos que los humanos podrían pasar por alto. A continuación, se enumeran los posibles signos de fraude.
Direcciones IP o dispositivos inusuales asociados con las transacciones
Desviaciones en el volumen o importe de las transacciones en comparación con los promedios históricos
Pagos a nuevos beneficiarios, especialmente aquellos que se encuentran en ubicaciones geográficas de alto riesgo
Tiempos de transacción irregulares (fuera del horario comercial estándar)
Solicitudes urgentes (p. ej., correos electrónicos o llamadas exigiendo una acción inmediata) que presionen a las empresas para que agilicen los pagos o envíen dinero a cuentas desconocidas.
Inconsistencias en los nombres, números de cuenta u otros detalles dentro de una solicitud de pago.
Revisar los procedimientos
Escrutinio manual de transacciones de alto riesgo: Examina detenidamente las transacciones que marcan tus herramientas de supervisión. El personal dedicado debe verificar si hay irregularidades en los detalles de los beneficiarios, el historial de pagos y cualquier comunicación asociada.
Auditorías puntuales: Realiza auditorías aleatorias de un subconjunto de transacciones ACH. Aunque no descubras ningún fraude, algunos estafadores podrían disuadirse si saben que una empresa está examinando detenidamente las transacciones en todo momento.
Análisis de devoluciones de ACH: Supervisa de cerca las devoluciones de ACH. Las altas tasas de devolución pueden indicar adeudos no autorizados o información fraudulenta del beneficiario. Analiza las razones de las devoluciones y busca patrones.
Prácticas para conocer a tus clientes (KYC)
Verificación del cliente: Antes de iniciar pagos recurrentes o agregar nuevos beneficiarios, realiza la debida diligencia. Verifica las direcciones y la legitimidad de la empresa, y compáralas con las listas de sanciones y las bases de datos de fraudes.
Supervisión de las relaciones: Verifica periódicamente si hay cambios en el comportamiento del destinatario, en el estilo de comunicación o en la información actualizada de la cuenta bancaria que puedan indicar que una cuenta está en peligro.
Intercambio de información
Colaboración bancaria: Mantén una comunicación abierta con el departamento de prevención del fraude de tu banco. Pueden alertarte sobre la aparición de patrones de fraude y colaborar en las investigaciones.
Redes del sector: Únete a asociaciones del sector y redes de prevención de fraude. Compartir la inteligencia sobre amenazas y las mejores prácticas ayuda a todos a ir un paso por delante de los estafadores.
Plan de respuesta al fraude
No esperes a que ocurra un incidente para decidir qué hacer. Crea de forma proactiva un plan que incluya los siguientes pasos.
A quién contactar en tu banco
Protocolos internos de denuncia e investigación
Medidas para mitigar daños adicionales (p. ej., congelar cuentas, cambiar credenciales)
Requisitos para la participación de las fuerzas del orden
Prevención del fraude de ACH
El fraude de ACH representa una amenaza importante para las empresas, incluida la pérdida de fondos y el daño a la reputación. Aquí te explicamos cómo fortalecer tus defensas y prevenir los intentos de fraude de ACH.
Autenticación multifactor (MFA): Aplica la MFA para todos los inicios de sesión y transacciones financieras. Solicita un paso de verificación adicional más allá de un nombre de usuario y una contraseña. Esto reduce el riesgo de acceso no autorizado, incluso si las credenciales de inicio de sesión se ven comprometidas.
Pagos preautorizados: Este sistema de verificación de adeudos ACH permite a las empresas preautorizar a destinatarios e importes legítimos para adeudos ACH. Cualquier desviación activa alertas para su revisión antes del procesamiento, lo que evita retiros fraudulentos.
Formación del personal: Forma al personal para que reconozca los intentos de phishing, las tácticas de ingeniería social y las señales de alerta asociadas con el fraude de ACH. Edúcalos sobre los procedimientos adecuados para manejar transacciones ACH y reportar actividades sospechosas.
Segregación de funciones: Implementa un sistema en el que los diferentes empleados se encarguen de tareas tales como iniciar pagos, aprobar transacciones y conciliar cuentas. Esto reduce el riesgo de que un solo empleado manipule el sistema con fines fraudulentos.
Supervisión en tiempo real: Utiliza herramientas de supervisión de transacciones en tiempo real para identificar anomalías y actividades sospechosas y detenerlas antes de que se procesen.
Procedimientos de conciliación: Establece procedimientos de conciliación exhaustivos para comparar los pagos previstos con los débitos y créditos reales. Revisa periódicamente los extractos bancarios e identifica cualquier discrepancia que pueda indicar actividad fraudulenta.
Cifrado de datos: Asegúrate de que todos los datos confidenciales, incluida la información de la cuenta y los registros financieros, estén cifrados en reposo y en tránsito. Esto hace que sea mucho más difícil para los estafadores robar información valiosa, incluso si violan sus sistemas.
Controles de acceso: Implementa estrictos controles de acceso para datos financieros y sistemas de procesamiento ACH. Otorga acceso solo cuando sea necesario y usa políticas de contraseñas seguras con cambios regulares de contraseña.
Servicios de prevención de fraude: Considera la posibilidad de asociarte con especialistas en prevención de fraude que ofrezcan servicios avanzados de supervisión e inteligencia sobre amenazas. Estos servicios pueden proporcionar capas adicionales de seguridad y experiencia en la detección de intentos de fraude sofisticados.
Participación en la red ACH: Participa en las iniciativas de mitigación de riesgos de la red ACH. Estas iniciativas ofrecen recursos y herramientas para identificar amenazas emergentes y mejores prácticas para combatir el fraude de ACH.
El contenido de este artículo tiene solo fines informativos y educativos generales y no debe interpretarse como asesoramiento legal o fiscal. Stripe no garantiza la exactitud, la integridad, adecuación o vigencia de la información incluida en el artículo. Si necesitas asistencia para tu situación particular, te recomendamos consultar a un abogado o un contador competente con licencia para ejercer en tu jurisdicción.