Empieza ahora  Ponerse en contacto con ventas 

Pagos

Ingresos

Gestión del dinero

Plataformas y marketplaces

Por etapa
Por caso de uso
Por sector
Documentación
Guías
Recursos
Aprender
Soporte
Empresa
Empieza ahora  Contacta a ventas 

Gestión de riesgos de fraude: cómo evaluar, mitigar y monitorear la exposición

Radar
Radar

Descubre cómo combatir el fraude con la eficacia de la red de Stripe.

Más información 
  1. Introducción
  2. ¿Qué es la gestión de riesgos de fraude?
  3. ¿Cómo funciona la gestión de riesgos de fraude?
    1. Identificación del riesgo de fraude
    2. Evaluación de riesgos de fraude
    3. Mitigación de riesgos de fraude
    4. Revisión y monitoreo continuo
  4. ¿Cómo se lleva a cabo una evaluación de riesgos de fraude?
  5. ¿Qué riesgos de fraude son más relevantes para las plataformas financieras y el comercio electrónico?
    1. Fraude sin tarjeta presente (CNP)
    2. Fraude por usurpación de cuentas
    3. Fraude no malintencionado
    4. Abuso de las políticas
  6. ¿Cómo se conecta un marco de gestión de riesgos de fraude a las herramientas que usas día a día?
  7. ¿Cómo creas una política de gestión de riesgos de fraude para tu empresa?
  8. Cómo puede ayudar Stripe Radar
  9. Primeros pasos con Stripe 

Para las empresas, los costos del fraude se traducen en mucho más que mercadería perdida; de hecho, por cada USD 1.00 de fraude de pagos cometido en el sector de servicios financieros de EE. UU., hay un costo promedio de USD 5.75. Se trata de costos en capas: los contracargos merman los márgenes y las investigaciones de los fraudes consumen el tiempo del personal. Los gastos generales del manejo de fraudes pueden limitar severamente el crecimiento de la empresa, pero el marco de la gestión de riesgos de fraude te brinda un abordaje estructurado para minimizar estos costos: te permite entender tu grado de exposición, priorizar los riesgos más relevantes e implementar controles que conserven su eficacia a medida que cambian los patrones de ataque.

A continuación, te explicamos en qué consiste la gestión de riesgos de fraude, cómo funciona en la práctica el ciclo de cuatro fases y cómo crear un marco acorde a tu empresa.

Aspectos destacados

  • Por lo general, la gestión de riesgos de fraude obedece a un ciclo de identificación, evaluación, mitigación y monitoreo continuo.

  • Los tipos de fraude que tienden a ser más perjudiciales para las empresas online (el fraude sin tarjeta presente o CNP, la apropiación de cuentas y el fraude amistoso) se aprovechan de los vacíos que dejan las transacciones digitales remotas.

  • Para que una política de gestión de riesgos de fraude funcione, debe contemplar explícitamente a un responsable, un apetito de riesgo definido y una cadencia de revisiones desde el inicio.

¿Qué es la gestión de riesgos de fraude?

La gestión de riesgos de fraude es el proceso para identificar, evaluar y responder a las formas en las que se podría aprovechar tu empresa con fines de lucro. Se distingue de la gestión de riesgos general por una cuestión importante: el fraude conlleva una intención. Te proteges contra el comportamiento de personas que intentan evadir tus controles de forma activa.

¿Cómo funciona la gestión de riesgos de fraude?

El ciclo de gestión de riesgos de fraude consta de cuatro fases: identificación, evaluación, mitigación y monitoreo continuo; las fases se estructuran una sobre la otra.

Identificación del riesgo de fraude

Empieza por tu superficie de ataque: cómo luce tu flujo de transacciones, dónde interactúan las personas y qué partes se han automatizado. Las empresas que cuentan con grandes volúmenes de transacciones CNP se enfrentan a vectores de ataque diferentes a los de aquellas empresas que aceptan pagos en persona. Los datos históricos de fraude son un punto de partida, pero solo informan sobre el fraude que ya experimentaste. El análisis de patrones y el mapeo del modelo de negocio te ayudan a detectar vulnerabilidades antes de que otros actores logren aprovecharlas.

Evaluación de riesgos de fraude

No todos los riesgos de fraude son iguales, de manera que no se los puede tratar de esa forma. Asigna una puntuación a cada riesgo en torno a dos ejes: probabilidad e impacto. La probabilidad refleja la asiduidad con la que se produce un tipo de fraude en empresas similares a la tuya. Por ejemplo, el fraude sin tarjeta presente (CNP) es habitual en las empresas de comercio electrónico, mientras que el abuso de origen prevalece en mayor medida en los productos de crédito y suscripciones. El impacto abarca las pérdidas financieras, las comisiones de contracargo, los costos de rectificación y el deterioro en la experiencia del cliente. Los riesgos de alto impacto y alta probabilidad deberían acaparar la atención inmediata y contar con controles dedicados.

Mitigación de riesgos de fraude

La mitigación vuelca los resultados de la evaluación en controles distribuidos en tres capas. Los controles preventivos detienen el fraude antes de que se produzca, y los controles de detección permiten identificarlo mientras está ocurriendo o poco tiempo después de ocurrido. Los procedimientos de respuesta establecen las medidas a adoptar una vez confirmado el fraude, como la suspensión de cuentas, la recopilación de evidencias en el caso de las disputas o la notificación a las fuerzas policiales de ser necesario. Recurrir solo a la prevención te puede tomar por sorpresa si aparece un nuevo vector de ataque.

Revisión y monitoreo continuo

Los patrones de fraude cambian y los controles que dieron resultado hace seis meses pueden no funcionar el día de hoy. Los actores fraudulentos comparten técnicas, las nuevas funcionalidades de productos generan nuevas vulnerabilidades y los vectores de ataque se desarrollan a un ritmo mayor de lo que pueden registrar los ciclos de revisión anual. La referencia debería partir de una revisión trimestral, a la que se suman revisiones ad hoc motivadas por grandes cambios en las tasas de contracargo, lanzamientos de nuevos productos o incidentes de fraude confirmados.

¿Cómo se lleva a cabo una evaluación de riesgos de fraude?

Una evaluación de riesgos de fraude es una auditoría estructurada de tu exposición. Estos son los pasos que se deben seguir:

  • Define tu alcance: decide si evaluarás toda la empresa, una línea de productos específica o un tipo de transacción en particular. El alcance determina qué incluyes en tu inventario de activos y quién debe participar.

  • Crea un mapa de transacciones: documenta cada punto de tu flujo de transacciones en el que podría producirse un fraude. En una empresa de comercio electrónico, esto incluye el proceso de confirmación de compra, la creación de cuentas, el almacenamiento de métodos de pago, los reembolsos y las disputas. Cada uno representa una posible superficie de ataque.

  • Identifica los escenarios de fraude: en cada punto de contacto, pregúntate qué podría hacer un actor fraudulento (p. ej., prueba de tarjetas durante el proceso de confirmación de compra, apropiación de la cuenta al iniciar sesión, fraude amistoso en la etapa de disputa) y qué ganaría. Si se especifica el escenario, resulta mucho más fácil realizar una evaluación y mitigación.

  • Asigna puntuaciones para la probabilidad y el impacto: usa los datos históricos, los puntos de referencia del sector y los aportes de tu proveedor de servicios de pago. Las puntuaciones de probabilidad deben reflejar el volumen de transacciones reales y el perfil de clientes, no los promedios generales del sector. Las puntuaciones de impacto deben dar cuenta de las pérdidas financieras directas, las comisiones de contracargo, los costos de rectificación y el deterioro en la experiencia del cliente.

  • Prioriza y asigna la propiedad: los riesgos de alta prioridad requieren una persona o un equipo específico a cargo del control. Si no hay una persona a cargo, no se implementan controles ni se hacen las revisiones.

  • Documenta y establece una fecha de revisión: el resultado de una evaluación de riesgos de fraude es un documento vivo que debe contar con una cadencia de revisiones desde el inicio.

¿Qué riesgos de fraude son más relevantes para las plataformas financieras y el comercio electrónico?

Los tipos de fraude que suelen ser más perjudiciales para las empresas online se aprovechan de la ausencia de verificación física. Entre estos, se encuentran los siguientes:

Fraude sin tarjeta presente (CNP)

El fraude sin tarjeta presente (CNP) ocurre cuando se utilizan credenciales de tarjeta robadas o vulneradas para hacer compras por cualquier canal en el que la tarjeta no esté físicamente presente: procesos de confirmación de compra online, pedidos por teléfono, facturación recurrente y compras in-app. Como la tarjeta no cambia de manos, resulta difícil detectarlo sin una verificación en capas. Las tasas de fraude CNP tienden a alcanzar su pico luego de grandes filtraciones de datos, en el momento en que entran conjuntos de credenciales recientes en los mercados de la web oscura.

Fraude por usurpación de cuentas

El relleno de credenciales (ataques automatizados mediante los cuales se prueban combinaciones de contraseñas y nombres de usuario robados en muchos sitios web) resulta económico, motivo por el cual la apropiación de cuentas se ha convertido en una amenaza habitual. Los actores fraudulentos usan las combinaciones de contraseñas y nombres de usuario filtradas para acceder a las cuentas de los clientes y luego cambian las direcciones de envío, agregan nuevos métodos de pago o agotan el valor almacenado. Resulta particularmente perjudicial porque socava la confianza de los clientes incluso cuando la empresa responde de manera correcta.

Fraude no malintencionado

El fraude amistoso, también llamado «fraude de contracargo» (y en ocasiones incluido en la categoría más amplia de fraude de origen), se produce cuando un titular de tarjeta legítimo hace una compra y luego disputa el cargo con su banco, con el pretexto de que no recibió los bienes o de que no autorizó la transacción. Las tasas de disputa por encima de un porcentaje aproximado del 1 % del volumen de transacciones suelen ser una señal de advertencia frecuente, aunque los umbrales varían según el proveedor de servicios de pago y la categoría de empresa.

Abuso de las políticas

Ubicado a mitad de camino entre el fraude y el comportamiento legítimo de los clientes, el abuso de las políticas abarca el fraude de reembolsos, la acumulación de códigos promocionales y el abuso de programas de referidos. No siempre es obra del crimen organizado, a veces son clientes comunes que se aprovechan de los vacíos en tus políticas. En cualquier caso, el impacto financiero es real, y los controles en cuestión se superponen con los mecanismos para la prevención de fraude de pagos.

¿Cómo se conecta un marco de gestión de riesgos de fraude a las herramientas que usas día a día?

Un marco de gestión de riesgos de fraude que no se ejecuta solo queda en documentos. El pasaje de la estrategia a la prevención de fraude del día a día se concreta mediante tres categorías de herramientas:

  • Motores de reglas: estos consisten en controles lógicos que permiten bloquear aquellas transacciones efectuadas desde cuentas nuevas y que se sitúan por encima de un monto determinado, marcar aquellos pedidos en los que el país de facturación no coincide con el de envío o exigir una verificación adicional para las categorías de productos de alto riesgo. Las reglas son veloces y transparentes, pero tienen un carácter estático. Los fraudes sofisticados logran adaptarse con rapidez a las reglas conocidas, y es por eso que los sistemas basados en reglas por sí solos no son suficientes.

  • Modelos de machine learning: este tipo de herramientas analizan transacciones que contrastan con conjuntos de características mucho más amplios de los que podría manejar manualmente un motor de reglas. Un modelo bien capacitado logra ponderar cientos de variables en simultáneo para generar una puntuación de riesgo en cuestión de milisegundos. La compensación a esto es la opacidad, ya que los modelos de machine learning no siempre aportan una explicación clara de por qué una transacción resultó sospechosa, aspecto que puede complicar el servicio de atención al cliente y la resolución de las disputas.

  • Sistemas de alertas y monitoreo: son la pieza encargada de cerrar el circuito. Los paneles en tiempo real, las integraciones con los sistemas de alertas de contracargos y los informes automatizados te dan un aviso cuando se modifica algo. Si no se cuenta con un sistema de monitoreo, resulta imposible detectar vulnerabilidades entre un ciclo de revisión y el próximo.

Stripe Radar integra las tres capas a la infraestructura de pagos de Stripe. El modelo de machine learning de Radar se capacita empleando los datos de las transacciones de toda la red de Stripe, lo que significa que obtiene sus beneficios de las señales que tu empresa de por sí no lograría generar. Puedes añadir tus propias reglas personalizadas a todo esto y solicitar el uso de 3D Secure en determinados tipos de transacciones, o sumar fricción en los pedidos que concuerden con los patrones de fraude que se conocen. Así, las reglas específicas de las empresas se combinan con el trabajo de inteligencia en la red de forma unificada y no asilada.

¿Cómo creas una política de gestión de riesgos de fraude para tu empresa?

Una política de gestión de riesgos de fraude formaliza tu marco de trabajo: define qué proteges, quién se encarga de hacerlo y qué sucede en caso de que ocurra algún imprevisto.

Aquí tienes un análisis paso a paso para crear esa política:

  • Define el alcance y los objetivos de tu política: aporta detalles concretos. «Mantenerse por debajo de los umbrales estándar del sector correspondientes a disputas y fraude» es un objetivo útil; «reducir el fraude» no lo es.

  • Elabora una declaración explícita de apetito de riesgo: esto ayuda a tu equipo a tomar decisiones coherentes. «Aceptamos una tasa de fraude máxima del 0.1 % en las transacciones con tarjeta antes de escalar los controles» es una declaración clara; «nos tomamos el fraude en serio» no lo es.

  • Enumera los controles específicos que implementaste: incluye qué buscan prevenir y de quién son responsabilidad. No hace falta que sea una lista exhaustiva, pero debe tener un nivel de detalle que le permita a un nuevo miembro del equipo leerla y entender tu postura frente a la prevención.

  • Establece procedimientos de escalamiento: define qué circunstancias motivan el escalamiento, a quién se notifica en caso de superar los umbrales de fraude y cuál es el tiempo de respuesta ante los incidentes confirmados. Estos procedimientos revisten un mayor nivel de importancia cuando las cosas avanzan rápidamente y no hay tiempo para aprender cómo es el proceso desde cero.

  • Fija la cadencia de revisiones: ¿cuándo se revisa la política y qué es lo que provoca una revisión fuera de ciclo? Defínelo al principio o es probable que no suceda.

Cómo puede ayudar Stripe Radar

Stripe Radar utiliza modelos de IA para detectar y prevenir fraudes. Estos modelos, entrenados con datos de la red global de Stripe, se actualizan continuamente en función de las últimas tendencias de fraude, lo cual mantiene a tu empresa protegida a medida que evoluciona.

Stripe también ofrece Radar para Equipos de Fraude, que permite a los usuarios agregar reglas personalizadas que abordan situaciones de fraude específicas de sus empresas y acceder a información avanzada sobre fraude.

Radar puede ayudar a tu empresa a lograr lo siguiente:

  • Prevenir pérdidas por fraude: Stripe procesa más de $1 billón en pagos al año. Este crecimiento permite que Radar detecte y prevenga el fraude con precisión y ahorre dinero.

  • Aumentar los ingresos: los modelos de IA de Radar se entrenan con datos reales de disputas, información de clientes, datos de navegación y más. Esto permite que Radar identifique transacciones de riesgo y reduzca falsos positivos, lo que aumenta tus ingresos.

  • Ahorrar tiempo: Radar se integra en Stripe y no necesita líneas de código para su configuración. También puedes controlar el rendimiento del fraude, escribir reglas y mucho más en una sola plataforma, lo que aumenta la eficiencia.

Obtén más información sobre Stripe Radar o empieza a utilizarlo hoy.

El contenido de este artículo tiene solo fines informativos y educativos generales y no debe interpretarse como asesoramiento legal o fiscal. Stripe no garantiza la exactitud, la integridad, adecuación o vigencia de la información incluida en el artículo. Si necesitas asistencia para tu situación particular, te recomendamos consultar a un abogado o un contador competente con licencia para ejercer en tu jurisdicción.

Más artículos

  • Hubo un problema. Vuelve a intentarlo o comunícate con soporte.

¿Todo listo para empezar?

Crea una cuenta y empieza a aceptar pagos sin necesidad de firmar contratos ni proporcionar datos bancarios. Si lo prefieres, puedes ponerte en contacto con nosotros para que diseñemos un paquete personalizado para tu empresa.
Radar

Radar

Combate el fraude con la solidez de la red de Stripe.

Documentación de Radar

Utiliza Stripe Radar para proteger tu empresa contra fraude.