El fraude de pagos puede amenazar la salud financiera de las empresas y la privacidad de los clientes, y luchar contra él requiere soluciones defensivas que son tan sofisticadas y flexibles como lo son las tácticas que utilizan los estafadores.
El fraude de pagos puede adoptar muchas formas, desde el robo de los números de la tarjeta de crédito desde un lector de tarjetas sin protección hasta correos electrónicos falsos malintencionados. Por ejemplo, un estudio de 2021 de Tessian mostró que los empleados estadounidenses reciben de media 14 correos electrónicos al año que les solicitan hacer acciones fraudulentas de tipo financiero. En algunos sectores, esta cifra es mucho mayor: los trabajadores minoristas reciben una media de 49 correos electrónicos fraudulentos al año.
El phishing es uno de los tipos más habituales de fraude de pagos, y representó el 44 % de todas las filtraciones de datos en 2020. El skimming, modalidad en la que los estafadores capturan la información de la tarjeta en los cajeros automáticos o en los terminales de pago, tuvo un coste aproximado para las empresas de 1000 millones de dólares al año. El robo de identidades, donde se roban los datos personales y se utilizan para hacer compras fraudulentas, constituyó el 24 % de los casi 6 millones de notificaciones de fraude en 2021, según FTC. Y estos son solo algunos de los tipos de fraude de pagos contra los que han de luchar las empresas.
El fraude de pagos es una grave amenaza, pero las empresas pueden mitigarla con una serie de tácticas de defensa eficaces. Esto es lo que debes saber sobre los tipos habituales de fraude de pagos, cómo funcionan y qué puedes hacer para protegerte a ti mismo, a tu negocio y a tus clientes.
¿De qué trata este artículo?
- ¿Qué es el fraude de pagos?
- Tipos de fraude de pagos
- Ventajas de la protección antifraude
¿Qué es el fraude de pagos?
El fraude de pagos es un tipo de fraude financiero que conlleva el uso de información de pago falsa o robada para obtener dinero o bienes. El fraude de pagos puede producirse de varias formas, pero suele incluir el robo de información de la cuenta bancaria o de la tarjeta de crédito, la falsificación de cheques o el uso de información de identidad robada para realizar transacciones no autorizadas por parte de los estafadores.
Tipos de fraude de pagos
Hay varios métodos que los estafadores usan para cometer el fraude de pagos. Estas son algunas de las tácticas más comunes:
Phishing
Qué es:
El phishing es un tipo de ataque de ingeniería social (una táctica en la que se engaña a la gente a través de la manipulación psicológica) donde los estafadores usan correos electrónicos fraudulentos, mensaje de texto o sitios web para engañar a las personas a que revelen información confidencial, como credenciales de inicio de sesión e información de la tarjeta de crédito.
Los ataques de phishing normalmente se realizan a través de correos electrónicos que parece que los haya enviado una fuente de confianza, como un banco o un comerciante en línea de prestigio. El correo electrónico puede instar al destinatario a que haga clic en un enlace para actualizar la información de su cuenta, verificar una transacción reciente o reclamar un premio. Cuando el destinatario hace clic en el enlace, se le dirige a un sitio web falso en el que se le solicita que escriba sus credenciales de inicio de sesión, la información de la tarjeta de crédito u otros datos confidenciales.
Los ataques de phishing también pueden hacerse a través mensajes de texto, conocidos como «smishing», o de plataformas de redes sociales, conocidos como «pharming». En estos casos, el atacante envía un mensaje o un enlace a un sitio web fraudulento que parece ser legítimo, con el fin de robar los datos personales o infectar el dispositivo con software malicioso.
Instrucciones para prevenirlo:
Para protegerte frente a ataques de phishing, ten cuidado cuando hagas clic en enlaces o abras archivos adjuntos de fuentes desconocidas o sospechosas. Mantente alerta a las tácticas habituales que utilizan los estafadores, como un lenguaje apremiante o amenazante, errores ortográficos o enlaces sospechosos. Usar software antivirus también puede ayudarte a protegerte frente a los ataques de phishing.
Al igual que otros tipos de fraude de pagos, las estafas de phishing suelen evolucionar a lo largo del tiempo, siendo más avanzadas y con un aspecto más legítimo. Los particulares y las empresas deben formarse, a ellos y a sus empleados, sobre el phishing y cómo identificar y evitar estos tipos de ataques.
Skimming
Qué es:
El skimming se produce cuando un estafador utiliza un dispositivo, llamado skimmer, para robar información de la tarjeta de débito o crédito. El estafador conecta un skimmer a un lector de tarjetas en un cajero automático o terminales de punto de venta, como surtidores de combustible, líneas de caja con pago automático y otros terminales de pago. El skimmer captura los datos de la banda magnética de la tarjeta, que se pueden usar para crear tarjetas falsificadas o hacer compras fraudulentas.
Además de los skimmers, los estafadores también pueden utilizar cámaras pequeñas o una capa superpuesta en el cajero automático o el teclado del terminal de pago para capturar el PIN del cliente. A continuación, esta información se utiliza con los datos robados de la tarjeta para sacar dinero del cajero sin autorización o hacer compras.
Instrucciones para prevenirlo:
El skimming puede ser difícil de detectar, ya que los dispositivos de skimming suelen ser pequeños y discretos, pero no es imposible. Hay señales que pueden indicar la presencia de un dispositivo de skimming, tales como lectores de tarjetas sueltos o dañados, dispositivos raros o adicionales conectados al terminal de pago, o bien dispositivos que parezcan distintos a los demás terminales de pago de la zona.
Para protegerte frente al skimming, ten cuidado al usar terminales de pago y cajeros automáticos, y revisa el dispositivo si encuentras señales de alteración. Cubrir el teclado cuando introduzcas el PIN también puede servir para protegerse frente al skimming basado en una cámara.
Supervisa frecuentemente los extractos de la tarjeta de crédito y del banco en busca de transacciones sospechosas y notifica al banco o al emisor de la tarjeta de pago cualquier sospecha de skimming lo más pronto posible.
Pagar con monederos digitales o con tarjetas habilitadas con chip EMV también puede proteger frente al skimming, ya que esta tecnología es más segura que las tarjetas con banda magnética. Asegurarse de que tu empresa está configurada para aceptar estos métodos de pago seguros es una garantía eficaz frente al skimming.
Robo de identidades
Qué es:
El robo de identidades es un tipo de fraude de pago en el que el estafador roba los datos personales de una persona, tales como su nombre, el número de la Seguridad Social o el número de la tarjeta de crédito, y los utiliza para hacer compras no autorizadas o abrir cuentas en nombre de la víctima. Este tipo de fraude puede tener graves consecuencias financieras y legales para la víctima, así como provocarle estrés y ansiedad.
El robo de identidades es un término general que describe una serie de tácticas de fraude. Por ejemplo, los ataques de phishing son un tipo de robo de identidades. Las filtraciones de datos, donde un pirata informático obtiene acceso a la base de datos de una empresa y roba datos personales a gran escala, también se calificarían como robo de identidades. Entre otros métodos de robo de identidades se incluyen el robo del correo, la búsqueda de información en contenedores de basura o el robo de carteras o bolsos. Cuando el estafador ha obtenido los datos personales de alguien, puede usarlos para abrir nuevas cuentas de tarjeta de crédito, solicitar préstamos o incluso registrar devoluciones falsas de impuestos.
Instrucciones para prevenirlo:
Para impedir el robo de identidades, las empresas pueden seguir una serie de pasos. En primer lugar, asegúrate de que los datos de los clientes están almacenados de forma segura, mediante cifrado y otras medidas de seguridad para impedir el acceso no autorizado. Las empresas deben restringir el acceso a los datos de los clientes únicamente a aquellos empleados que lo necesiten para sus trabajos, así como exigir contraseñas seguras y autenticación multifactor para todas las cuentas y sistemas que contengan datos de los clientes.
La formación de los empleados es importante para prevenir el robo de identidades, y debería incluir mejores prácticas de seguridad, tales como instrucciones para identificar correos electrónicos de phishing y la creación de contraseñas seguras.
La supervisión de las cuentas de los clientes en busca de actividad sospechosa, como inicios de sesión no autorizados o cambios en la información de la cuenta, pueden ayudar a las empresas a detectar el robo de identidades con antelación y reducir los daños. La selección de una pila tecnológica de pagos adecuada puede hacer que la detección y la prevención antifraude dejen de consumir tiempo y recursos. Stripe Radar es una tecnología sofisticada para la detección y la prevención antifraude que está integrada en todos los productos de pago de Stripe, incluido Terminal.
Por último, las empresas deberían tener implementado un plan para responder a las filtraciones de datos, incluida la notificación a los clientes afectados y la prestación de servicios de protección frente al robo de identidades.
Fraude de contracargos
Qué es:
El fraude de contracargos, también llamado «fraude no malintencionado», se produce cuando un cliente disputa una transacción legítima y reclama que él no ha hecho la compra o que no ha recibido el producto o servicio por el que ha pagado. En algunos casos, es posible que el cliente reciba un reembolso y se quede, a su vez, con el producto o servicio, lo que conlleva una pérdida financiera para la empresa. El fraude de contracargos puede tener importantes consecuencias financieras para las empresas: pueden perder los ingresos de la venta y, a la vez, estar sujetas a comisiones y sanciones por el contracargo.
El fraude de contracargos puede producirse de varias maneras. El método más habitual es cuando un cliente hace una compra legítima, pero posteriormente disputa el cargo con la empresa de su tarjeta de crédito, reclamando que el artículo no se ajustaba a su descripción o que nunca lo recibió. Otro método es cuando un cliente utiliza a propósito una tarjeta de crédito robada para hacer una compra y, posteriormente, disputa el cargo como no autorizado.
Instrucciones para prevenirlo:
Para protegerse frente al fraude de contracargos, las empresas deben verificar la identidad del cliente y asegurarse de que son el titular legítimo de la tarjeta de crédito utilizada para hacer la compra. Esto puede incluir el requerimiento de una firma o código CVV en el caso de las transacciones de tarjeta no presente, o bien la implementación de herramientas de detección de fraude , tales como la verificación de domicilio o la geolocalización de IP. Las empresas también deben contar con una política clara de reembolsos y devoluciones, así como con un proceso para gestionar las disputas de contracargos. Las empresas deben conservar registros claros de todas las transacciones, incluidos los recibos, la información de envío y las comunicaciones de los clientes, por si necesitan aportar pruebas en una disputa de contracargo.
Correo electrónico corporativo comprometido
Qué es:
El correo electrónico corporativo comprometido (BEC) es un tipo de fraude de pagos en el que los correos electrónicos engañan a los empleados para que transfieran dinero a cuentas fraudulentas. En una estafa de BEC, los estafadores obtienen acceso a la cuenta de correo electrónico corporativo, generalmente a través de tácticas de phishing o de ingeniería social, y la utilizan para enviar correos electrónicos a los empleados o proveedores en los que se les solicitan transferencias electrónicas u otros pagos.
Las estafas de BEC pueden adoptar muchas formas. A veces implica que un estafador suplanta la identidad de un alto ejecutivo o proveedor, y solicita una transferencia o pago urgente. El correo puede usar la imagen de marca de la empresa y una dirección de correo electrónico conocida, por lo que suele parecer legítimo. Pero si el empleado sigue las instrucciones del correo electrónico, transferirá el dinero a una cuenta bancaria que controlan los estafadores.
Las estafas de BEC pueden ser difíciles de detectar, ya que suelen emplear tácticas de ingeniería social que se aprovechan de la confianza de las personas en la autoridad. Sin embargo, hay algunas señales que indican la existencia de una estafa de BEC, como las siguientes:
- Solicitudes de pagos urgentes
- Instrucciones de pago atípicas
- Correos electrónicos que contienen errores gramaticales u ortográficos extraños
Instrucciones para prevenirlo:
La protección frente a BEC conlleva muchas de las tácticas y mejores prácticas que las empresas ya deberían estar usando para protegerse frente a otros tipos de fraude. Forma a los empleados en cómo reconocer y notificar correos electrónicos sospechosos, e implementa protocolos sólidos de seguridad para el correo electrónico, como la autenticación en dos pasos y el cifrado.
Las empresas también deben tener un proceso claro de aprobación de pagos que incluya instrucciones de verificación del pago a través de un canal secundario, como una llamada telefónica o una conversación en persona. Una buena práctica es tener una guía clara para solicitudes internas, sobre todo si implican transferir dinero.
Por último, al igual que con todos los tipos de fraude, es importante supervisar frecuentemente las cuentas bancarias para detectar actividad sospechosa y tener un plan para responder a una estafa de BEC, que incluya ponerse en contacto con las fuerzas de seguridad y notificar a los clientes o socios que puedan haberse visto afectados.
Fraude de tarjeta no presente
Qué es:
El fraude de tarjeta no presente (CNP) es un tipo de fraude de pagos que se produce cuando un estafador utiliza información de una tarjeta de crédito robada para hacer compras sin presentar físicamente la tarjeta, normalmente por Internet o por teléfono. Debido al aumento del e-commerce, el fraude de CNP cada vez es más habitual, y puede tener importantes consecuencias financieras para las empresas, que pueden ser responsables de contracargos o compras fraudulentas.
El fraude de CNP normalmente se produce cuando un estafador obtiene información de una tarjeta de crédito robada mediante filtraciones de datos o por otros medios, y utiliza esa información para hacer compras no autorizadas por Internet. Otro método es cuando un estafador utiliza tácticas de ingeniería social, tales como phishing, para obtener la información de la tarjeta directamente de la víctima.
Instrucciones para prevenirlo:
Para protegerse frente al fraude de CNP, las empresas pueden adoptar varias medidas, incluidas las siguientes:
- Usar herramientas de detección de fraudes, como la verificación de domicilio o geolocalización de IP, para comprobar la identidad del cliente y detectar actividad sospechosa.
- Implementar protocolos de autenticación sólidos, como la autenticación en dos pasos y la tokenización, para proteger la información de la tarjeta.
- Mantener registros claros y accesibles de todas las transacciones, incluida la información de envío y las comunicaciones de los clientes, en caso de disputas de contracargo.
- Elaborar una política de reembolsos y devoluciones exhaustiva que se comunique con claridad a los clientes, así como un proceso para gestionar los contracargos y las transacciones fraudulentas.
Ventajas de la protección antifraude
Las medidas de protección antifraude pueden aportar tranquilidad a las empresas, proteger sus activos financieros y los datos de los clientes, mejorar su reputación de cara a los clientes y aumentar el cumplimiento de la normativa. Pero hay más ventajas todavía. Este es un resumen de las ventajas clave que pueden aprovechar las empresas al implementar medidas de protección antifraude:
Protección de los activos financieros
La protección antifraude ayuda a proteger los activos financieros de la empresa. El fraude de pagos puede ser costoso en incidentes aislados, pero a medida que las empresas crecen, el potencial de fraude a gran escala puede suponer una amenaza aún mayor. Al implementar medidas de protección antifraude, las empresas pueden reducir el riesgo de pérdida financiera y planificar el futuro de forma fiable.Protección de los datos de los clientes
Cuando las empresas invierten en adoptar medidas contundentes para la detección del fraude y la prevención, no solo se están protegiendo ellas mismas, sino que también salvaguardan a sus clientes. El fraude de pagos suele implicar el robo de datos de los clientes, tales como los números de la tarjeta de crédito y datos personales. Al implementar medidas de protección antifraude, las empresas pueden proteger los datos de sus clientes y generar confianza y fidelidad.Mitigación de los contracargos
Para las empresas, los contracargos pueden suponer no solo una pérdida de ingresos y de mercancías, sino también comisiones adicionales y sanciones, además de la pérdida de tiempo y energía que se dedica a arreglar el lío. Las medidas de protección antifraude pueden prevenir los contracargos al detectar e impedir las transacciones fraudulentas, y al aflorar las tendencias y vulnerabilidades de los contracargos.Mantenimiento de la reputación y de la fidelidad de los clientes
Al adoptar todas las medidas posibles para minimizar el fraude, se mejora la confianza de los clientes en la empresa. Incluso los casos aislados de fraude de pagos pueden dañar la reputación de una empresa, a veces de forma irreparable. Al implementar las medidas de protección antifraude, las empresas demuestran su compromiso con la seguridad. Esto es especialmente cierto en el caso de las plataformas y marketplaces, ya que sus clientes ponen en juego a sus propios clientes y su reputación.Cumplimiento de la normativa
Muchos sectores están sujetos a requisitos de la normativa para la seguridad y privacidad de los datos. Al implementar las medidas de protección antifraude, las empresas pueden cumplir con esta normativa, así como evitar sanciones y multas.
Por suerte, en la mayoría del hardware y software para aceptar pagos, hacer un seguimiento de los pedidos de los clientes y gestionar los datos financieros de una empresa, se incluyen protecciones antifraude sólidas, incluidos los que ofrece Stripe. Suele ser menos caro implementar estas medidas que pagar los posibles costes derivados del fraude de pagos.
Para obtener más información sobre cómo Stripe Radar protege los productos de Stripe mediante datos de millones de empresas globales para combatir de forma inteligente el fraude en todos los canales, empieza aquí.
El contenido de este artículo tiene solo fines informativos y educativos generales y no debe interpretarse como asesoramiento legal o fiscal. Stripe no garantiza la exactitud, la integridad, adecuación o vigencia de la información incluida en el artículo. Si necesitas asistencia para tu situación particular, te recomendamos consultar a un abogado o un contador competente con licencia para ejercer en tu jurisdicción.