En este informe presentamos una visión global y detallada sobre la situación del fraude en línea. Entre 2019 y 2022, analizamos miles de millones de intentos de pago efectuados a millones de empresas que trabajan con Stripe; además, de la mano de Milltown Partners (en colaboración con Focaldata), encuestamos a más de 2.500 personas con cargos ejecutivos en nueve mercados de distintas partes del mundo (Alemania, Australia, Canadá, Estados Unidos, Francia, Japón, Países Bajos, Singapur y Reino Unido).
Al cruzar los resultados de esta encuesta con los de nuestros propios análisis, hemos podido identificar las tendencias de fraude más importantes durante el pasado año, como el aumento en el 2020 de las disputas relacionadas con productos y el hecho de que las empresas con ingresos recurrentes están muy concienciadas con el impacto económico del fraude. Además, a partir de los resultados obtenidos, hemos preparado unas serie de consejos que te ayudarán a adaptarte a estas tendencias de fraude. Al final del informe, presentamos cuatro prácticas recomendadas basadas en cómo predecimos que será la evolución de la industria del fraude.
Hemos organizado este informe en cuatro secciones:
- Razones del aumento del fraude
- Diferencias del fraude en función de la región, el país y el tamaño de la empresa
- Repercusión del fraude en una empresa
- Predicciones sobre la industria del fraude
Resumen ejecutivo
- El 64 % de los ejecutivos encuestados a nivel mundial afirma que le resulta más complicado combatir el fraude desde que comenzó la pandemia. Consideramos que se debe, en cierta medida, a un aumento de los tipos de fraude y de su volumen.
- Cuando empezó la pandemia, observamos un aumento temporal del 156 % de las disputas relacionadas con productos, con códigos como «producto no recibido» y «producto no aceptable». Suponemos que los clientes solicitaban contracargos tras haber esperado semanas (en algunos casos, incluso meses) a que los vendedores enviaran los pedidos a causa de las interrupciones de las cadenas de suministro.
También observamos un aumento del 40 % en el número de empresas que sufrieron intentos de ataque de prueba de tarjetas. Durante la pandemia, se crearon miles de nuevas empresas de e-commerce, y creemos que este auge brindó nuevas oportunidades a los malhechores. - El fraude aumentó en todas las empresas del mundo, si bien las latinoamericanas fueron y son particularmente susceptibles a ataques fraudulentos. De hecho, estas últimas registraron una tasa de fraude un 97 % más alta que las de Norteamérica y un 222 % más alta que las de la región de Asia-Pacífico. Esas cifras excepcionalmente elevadas se deben a una serie de factores regionales, como el hecho de contar con una infraestructura de pagos operada a nivel local.
- Las empresas con ingresos recurrentes, sobre todo las que venden a particulares (B2C), fueron las más afectadas. Más del 75 % de las empresas con modelos de negocio por suscripción B2C afirmó que, durante el último año, había tenido que intensificar el trabajo de revisión manual y dedicar más recursos a combatir el fraude. Las marcas de estas empresas B2C son más reconocidas entre el público general, lo que facilita la reventa de sus productos y, en consecuencia, las pone en el punto de mira de los estafadores.
- La repercusión empresarial del fraude va mucho más allá de las pérdidas económicas. El análisis de Stripe reveló que cuanto más intenta una empresa prevenir el fraude, más probabilidades tendrá también de bloquear los pagos legítimos, con la reducción consecuente de sus tasas de conversión de pagos. Para reducir estos falsos positivos, las empresas pueden revisar manualmente cada uno de estos pagos marcados como sospechosos, aunque esto genera otro gasto operativo.
- A continuación, presentamos las cuatro formas de adaptarse a estas tendencias que prevemos que pondrán en marcha los negocios:
1) Las intervenciones, como 3D Secure (3DS), tendrán un papel más importante.
2) Las fuentes de datos serán más completas y ayudarán a las empresas a tomar decisiones más rápidas y precisas.
3) Los emisores y las empresas colaborarán más para simplificar las disputas y reducir los pagos rechazados incorrectamente.
4) Las preferencias de pago de los consumidores seguirán cambiando, lo que obligará a los estafadores a adaptarse, pero presentará nuevas oportunidades para el fraude.
Razones del aumento del fraude
La COVID-19 marcó un hito histórico en el auge del e-commerce. Las empresas que usan Stripe procesaron más de 640.000 millones de dólares en pagos en 2021, un 60 % más que el año anterior. Estos pagos procedían de un grupo de empresas que creció con rapidez: 1.400 nuevas empresas se unieron cada día a Stripe el año pasado. Este aumento, sobre todo de nuevas empresas, creó más oportunidades para los malhechores.
Para muchos, se trataba de la primera vez que montaban un negocio y, por tanto, carecían de las herramientas o los recursos necesarios para afrontar el fraude. En otros casos, estaban más centrados en constituir la empresa y conseguir rentabilidad que en crear una estrategia para prevenir el fraude. No obstante, las nuevas empresas no son las únicas que han de hacer frente a estos retos; de hecho, incluso las más consolidadas tuvieron más dificultades a la hora de prevenir el fraude, bien porque los tipos de fraude eran mucho más complejos o porque los volúmenes eran más altos que antes de la pandemia.
Además, los malhechores son cada vez más sofisticados. Hallan nuevas formas de atacar a las empresas, a veces organizándose en grupos y colaborando con otros malhechores para compartir sus «prácticas recomendadas».
A medida que más compradores compran en línea en nuestras tiendas, el volumen de pagos fraudulentos ha aumentado. Es difícil revisar manualmente todas las transacciones, por lo que nos centramos en unos pocos seleccionados ya que [no son] suficientes [recursos].
Las disputas relacionadas con productos se duplicaron en 2020 en comparación con 2019
En el análisis de Stripe, observamos que, desde marzo hasta mayo de 2020, había más del doble de probabilidades que en 2019 de que los pagos generaran disputas con códigos que no están relacionados con el fraude, como «producto no recibido» y «producto no aceptable». Suponemos que los clientes solicitaban más contracargos tras haber esperado semanas (en algunos casos, incluso meses) a que los vendedores enviaran los pedidos a causa de las interrupciones de las cadenas de suministro.
Latinoamérica, aparentemente, registró las tasas más bajas de disputas relacionadas con productos, pero creemos que se debe al comportamiento de los emisores. En México hay siete veces más probabilidades de que las disputas se presenten sin ningún código que identifique el motivo que en el resto de países juntos; por otro lado, en Brasil hay un 50 % de probabilidades de que las disputas se presenten por motivos de fraude.
Prácticas recomendadas para prevenir las disputas relacionadas con productos:
-
Elabora una política de devoluciones clara, transparente y razonable. Por ejemplo, el plazo de devoluciones debería empezar cuando el cliente recibe el artículo, no cuando se envía.
-
Añade el nombre de tu empresa directamente en la descripción de los pagos con tarjeta de crédito.
-
Establece un proceso de disputa formal.
-
Informa a los clientes antes de procesar el pago. Si se trata de empresas con modelos de suscripción, asegúrate de que los clientes reciban al menos un recordatorio antes del próximo pago.
-
En el caso de empresas de e-commerce, exige la firma del cliente cuando se le entregue el pedido.
Los intentos de ataque de prueba de tarjetas afectaron a un 40 % más de empresas
La prueba de tarjetas consiste en que alguien intenta averiguar si la información de una tarjeta robada sigue siendo válida para poder comprar con ella. Para ello, un estafador puede comprar información de tarjetas de crédito robadas y, después, intentar validarlas o comprar con ellas para saber si siguen activas.
Durante el primer año de la pandemia, observamos un aumento del 40 % en la proporción de empresas que fueron víctimas de estos intentos de ataque de prueba de tarjetas.
Esta tendencia afectó tanto a nuevas empresas como a las más consolidadas, pero fueron las nuevas (las que habían creado una cuenta en Stripe en los últimos 90 días) las que experimentaron un mayor aumento en la tasa de ataques de prueba de tarjetas.
Estos ataques pueden perjudicar a las empresas de formas muy distintas. La afluencia de transacciones debidas a ataques de prueba de tarjetas puede aumentar el coste del procesamiento de los pagos y el riesgo de caídas (si una empresa no logra atender el aumento del tráfico, el sitio web se puede colapsar). Además, los ataques exitosos dañan el ecosistema financiero mundial: al haber más probabilidades de que las empresas procesen pagos con tarjetas robadas, la cantidad de disputas crece y la experiencia del cliente se deteriora. Por otra parte, los emisores y las redes de tarjetas pueden penalizar a las empresas por haber aceptado pagos provenientes de estos ataques de prueba de tarjetas debido al riesgo que entraña para el ecosistema financiero.
En noviembre de 2021, Stripe llevó a cabo un análisis independiente que reveló que las organizaciones benéficas son especialmente vulnerables a los ataques de prueba de tarjetas y recibieron un 11 % del total de estos ataques. ¿Por qué? Muchas organizaciones benéficas aceptan donativos por cantidades muy pequeñas (desde 1,00 € o 5,00 €). Es menos probable que el verdadero titular de la tarjeta se dé cuenta de estas pequeñas transacciones en el extracto de la tarjeta. Además, estas organizaciones benéficas suelen tener equipos antifraude más reducidos y carecen de los recursos necesarios para bloquear las transacciones. Por otra parte, tanto ellas como cualquier empresa que sufra ataques de prueba de tarjetas no solo pierden dinero, sino que también pueden recibir penalizaciones de los bancos por permitir que sucedan estos ataques.
Prácticas recomendadas para prevenir los ataques de prueba de tarjetas:
-
Optimiza la integración con tu proveedor de servicios de pago. Muchos proveedores de servicios de pago aplican distintos controles para mitigar un ataque de prueba de tarjetas, pero su éxito dependerá de la calidad de tu integración y de las señales que envíes al proveedor. En general, cuantos más datos ofrezca tu integración, mejores resultados podrán proporcionar estos sistemas de prevención.
-
Mantén tus claves de las API a buen recaudo. Alguien podría utilizar tu clave secreta de una API para comunicarse con ella en nombre de tu cuenta, por ejemplo, para crear cargos o hacer reembolsos. Trata esta clave como cualquier otra contraseña y compártela solo con quien la necesite.
-
Habilita la verificación CAPTCHA en el flujo del proceso de compra para diferenciar entre los clientes legítimos y los bots de prueba de tarjetas.
-
Establece límites de velocidad para controlar el volumen de tráfico entrante y saliente. Por ejemplo, si quienes ejecutan estos ataques de prueba de tarjetas las validan usando nuevos perfiles de cliente, podrías limitar el número de clientes nuevos que proceden de una misma dirección IP en un solo día.
-
Plantéate exigir a los clientes que inicien sesión en su cuenta para efectuar un pago.
Diferencias del fraude en función de la región, el país y el tamaño de la empresa
La importancia de combatir el fraude es universal: el 90 % de los ejecutivos encuestados afirma que prevenir el fraude en el e-commerce es importante para su negocio. Sin embargo, la situación se complica a causa de las diferencias en función de la ubicación y el sector de cada empresa.
El fraude en función de la región y el país
Stripe tiene un mayor volumen de pagos para negocios norteamericanos, por lo que se han usado los datos de Norteamérica como referencia para otras regiones en el análisis de esta sección.
Todas las empresas que operan en Internet tienen que lidiar con el fraude, aunque nuestro análisis reveló que las empresas latinoamericanas eran más susceptibles al aumento en las tasas de fraude.
Según los datos que recopilamos en el periodo de nuestro estudio, Latinoamérica presentó las tasas de fraude con tarjeta más altas del mundo: un 97 % más altas que en Norteamérica y un 222 % más altas que en la región de Asia-Pacífico. Una infraestructura de pagos operada a nivel local y un uso menos frecuente de las tarjetas de crédito son indicios de que los modelos de fraude que usan los bancos pueden ser más débiles que en otras regiones. Las reglas lógicas que se aplican en estos sistemas antifraude suelen favorecer a los titulares de las tarjetas durante procesos de disputa, lo que provoca que las empresas sean especialmente vulnerables al fraude. A estos factores locales se suma el hecho de que el mercado opera cada vez más por Internet (observamos un aumento del 518 % en el número de empresas que empezaron a usar Stripe en Latinoamérica en 2021), con lo que se crean aún más oportunidades de ataque para los estafadores.
Las empresas de Europa, Oriente Próximo y África registraron tasas de fraude más bajas que Norteamérica, probablemente por el impacto de la normativa de la autenticación reforzada de clientes (SCA), que exige a las empresas incorporar la autenticación en dos pasos al flujo del proceso de compra.
También se observaron variaciones considerables entre países. Por ejemplo, Francia experimentó una tasa de fraude casi dos veces más alta que Alemania, mientras que la de Singapur fue la mitad que la de toda la región de Asia-Pacífico. Esta diferencia en el fraude entre países puede provocar que las empresas internacionales encuentren todavía más dificultades para combatir el fraude. Por tanto, no existe un enfoque único para lidiar con el fraude.
Si dispones de los recursos suficientes, te recomendamos que estudies el comportamiento de tus clientes, las tendencias del mercado y las normativas de cada país en que operas para familiarizarte más con los vectores y ataques de fraude a los que puedes estar expuesto. No obstante, la expansión de una empresa puede agravar rápidamente este problema; de ahí la importancia de utilizar una herramienta antifraude sofisticada y automatizada.
El fraude en función del tamaño de la empresa y modelo de negocio
El tamaño de la empresa y el modelo de negocio influyen en la forma en que las personas con cargos ejecutivos perciben el riesgo de fraude. Por ejemplo, nuestra encuesta reveló que la prevención del fraude adquiere más importancia con el tamaño de la empresa y, como era de esperar, las empresas más grandes pueden invertir más recursos en esa estrategia antifraude en comparación con las más pequeñas. Sin embargo, los recursos por sí solos no previenen el fraude. Nuestra encuesta muestra que los ejecutivos que cuentan con grandes equipos antifraude son más propensos a tener que enfrentarse a retos operativos y a registrar unas pérdidas mayores causadas por el fraude.
Estas tendencias pueden presentarse como una oportunidad para las empresas más pequeñas, ya que pueden optar por desarrollar una estrategia antifraude sólida desde una fase inicial y, así, anticiparse al problema a medida que se expande su negocio. Sin embargo, dedicar tiempo y recursos a combatir el fraude puede ir en detrimento de ese crecimiento, y estas pequeñas empresas deben prestar especial atención a qué áreas de su negocio pueden verse afectadas si se dedican más recursos a la lucha antifraude.
También analizamos los resultados de la encuesta en función del modelo de negocio y clasificamos a las empresas en las siguientes categorías:
- Software como Servicio (SaaS)
- Suscripciones B2C
- Marketplaces y plataformas
- E-commerce
Observamos que las empresas con ingresos recurrentes eran las más sensibilizadas con el impacto económico del fraude. En comparación con los otros modelos de negocio analizados en la encuesta, los responsables del fraude de empresas con ingresos recurrentes eran los que más preocupación mostraban por las pérdidas económicas causadas por el fraude y, también, eran más propensos a pensar que las pérdidas causadas por el fraude en 2021 fueron superiores a las de antes de la pandemia. Su modelo de negocio puede ser la causa de sus inquietudes: dado que generan ingresos según un calendario establecido (por ejemplo, mensualmente o trimestralmente) y debido a que han observado un aumento de las tasas de fraude durante el año pasado, es más probable que piensen que esa tendencia seguirá en constante crecimiento a medida que su negocio se expanda.
En particular, las empresas con suscripciones B2C tuvieron mayores problemas con la carga operativa del fraude. Se quejaron con mayor frecuencia por el aumento de las revisiones manuales en 2021, por haber tenido que dedicar más recursos a combatir el fraude y por haber tenido que retrasar inversiones y planes de expansión para poder centrarse en el fraude.
Creemos que uno de los motivos principales por los que las empresas B2C sufrieron más el fraude es que suele tratarse de marcas conocidas, lo que las convierte en un blanco fácil para que los estafadores puedan revender productos o servicios robados (por ejemplo, compran una suscripción digital con una tarjeta de crédito robada y después la venden a un precio más bajo).
Repercusión del fraude para las empresas
El fraude sale caro. De hecho, el 59 % de los encuestados prevé que su empresa perderá más ingresos por fraude durante este año que el anterior.
Las empresas pierden dinero no solo debido a las disputas por fraude, sino también a su esfuerzo para prevenirlo. Por ejemplo, si tu negocio pierde una disputa, tendrás que pagar más que el propio importe de la transacción original. El fraude suele generar comisiones por contracargos (el importe que cobra el banco por anular el pago realizado con la tarjeta) y elevar las comisiones de las redes de tarjetas a raíz de las disputas.
Sin embargo, la encuesta reveló que el impacto del fraude en las empresas va más allá de estas pérdidas económicas. Muchas de ellas se ven obligadas a aumentar su equipo antifraude o a dedicar recursos de sus áreas de producto o ingeniería a gestionar el gasto operativo, lo que acaba restándole recursos a su actividad principal.
Disminución en la tasa de conversión de pagos
El análisis de Stripe reveló que cuanto más intenta una empresa prevenir el fraude, más probabilidades tendrá también de bloquear los cargos legítimos.
Los falsos positivos, también conocidos como falsos pagos rechazados, se producen cuando un cliente legítimo intenta efectuar una compra pero se le impide finalizar el proceso. Estos pagos rechazados de forma errónea pueden dañar la reputación y los beneficios de una empresa. De hecho, el 33 % de los consumidores afirmó que no volvería a comprar en un negocio después de que su pago se hubiese rechazado erróneamente.
El más mínimo problema debido al [fraude] puede plantear un montón de inconvenientes y quizá hasta hacernos perder a un comprador legítimo a causa del aumento de las revisiones de seguridad.
Existe una estrecha relación entre prevenir las disputas y reducir el número de clientes legítimos bloqueados. Cuanto más fraude prevengas, mayor será el número de clientes legítimos bloqueados. Por otra parte, reducir el número de clientes legítimos bloqueados por error suele aumentar la probabilidad de que los casos de fraude acaben colándose entre tus medidas de seguridad. Este dilema también depende de tu solución antifraude: si tu solución antifraude es estática y no inviertes constantemente en mejorarla, deberás aceptar que, para bloquear más ataques fraudulentos, debes bloquear más compras legítimas. En cambio, si los modelos de tu solución se adaptan constantemente y cambian en función de los vectores de fraude, este dilema se vuelve menos problemático.
Dada la relación que existe entre prevenir las disputas y bloquear los pagos legítimos, las empresas pueden seleccionar el umbral en el que bloquear los pagos a fin de maximizar los beneficios. En este punto en el que se maximizan los beneficios es donde más se aprecia la diferencia entre los costes del fraude que se han conseguido prevenir y las ganancias legítimas bloqueadas.
La puntuación de riesgo es el umbral en el que se bloquean las transacciones con Radar (por defecto, Radar bloquea las transacciones que superan una puntuación de riesgo de 75).
Los ahorros netos por fraude son el resultado de los costes totales prevenidos por fraude menos las ganancias legítimas bloqueadas.
El punto de operaciones de mayor beneficio es el punto exacto en el que una empresa ha maximizado los ahorros netos por fraude, con una optimización entre el bloqueo de las transacciones fraudulentas y el bloqueo de las transacciones lícitas.
Cómo interpretar este gráfico: cuanto más alta es la puntuación de riesgo (eje X), más probabilidades hay de que una transacción sea fraudulenta. Cuanto más alto es el umbral de riesgo, menos transacciones se bloquean. Cuantas más transacciones bloquees, más altos serán tus ahorros netos por fraude, pero también aumentarán las probabilidades de bloquear transacciones legítimas.
La relación entre la prevención del fraude y el bloqueo de las transacciones legítimas depende del margen por transacción. Por ejemplo, las empresas con transacciones que tienen un margen más elevado (50 %) a lo largo de la línea azul oscuro del gráfico serán más propensas a permitir más transacciones y a tener un umbral de riesgo más alto, porque cada transacción legítima es mucho más valiosa (en comparación con una empresa con menos margen de beneficio, por ejemplo).
Las empresas tienen que hacer frente a este dilema en función de sus márgenes, su perfil de crecimiento y otros factores. Si los márgenes de tu empresa son bajos —por ejemplo, en un negocio de venta de comida por Internet—, puede que tengas que compensar el coste de una transacción fraudulenta con cientos de transacciones legítimas, así que, cada falso positivo te costará muy caro. Las empresas con este perfil pueden decantarse por ampliar su umbral de bloqueo y, así, detener más transacciones fraudulentas. En cambio, una empresa con un mayor margen de beneficios —por ejemplo, un negocio SaaS— se encuentra en el caso contrario: la pérdida de ingresos por haber bloqueado un solo cliente puede superar el coste del aumento del fraude. También cabe destacar que, aunque las empresas pueden elegir cómo optimizar sus tasas de fraude, existen límites a esta capacidad de personalización: cuando el fraude alcance determinados niveles, las redes de tarjetas impondrán comisiones y multas.
Gasto operativo
Para reducir los falsos positivos, las empresas pueden revisar manualmente los pagos marcados como sospechosos para confirmar si realmente son fraudulentos. Esta revisión manual requiere una cantidad de recursos realmente importante. Por ejemplo, se necesita un equipo de analistas de fraude que evalúe el riesgo en función de una serie de factores, como el historial del cliente o los detalles de las transacciones, entre otros.
Es muy frustrante, porque tengo que dedicar recursos a realizar estas tareas o, de lo contrario, creo que la situación se me irá de las manos.
Observamos que las empresas más grandes son las que más suelen adoptar las revisiones manuales, pero cuanto más grandes son, menor es el porcentaje de transacciones revisadas. Por ejemplo, más del 20 % de las empresas con más de 100.000 transacciones registradas durante el año pasado realizaron revisiones manuales, pero revisaron menos del 1 % de su total de transacciones. Las grandes empresas disponen de recursos para revisar las transacciones manualmente, aunque reservan estas revisiones manuales para las transacciones más importantes.
Recomendaciones para reducir la carga operativa:
-
Una solución que ofrezca garantías para los contracargos (es decir, que un tercero se comprometa a hacerse cargo de los costes que conlleva cada contracargo) puede resultar de gran utilidad para las empresas más pequeñas que no cuentan con equipos antifraude dedicados.
-
En el caso de las empresas de e-commerce medianas y grandes, una solución que haga uso del machine learning puede servir para combatir el fraude a escala, sin necesidad de dedicar recursos de ingeniería adicionales.
-
Las grandes empresas suelen aplicar una serie de soluciones puntuales (como herramientas específicas que admitan la verificación CAPTCHA o el escaneo de tarjetas) junto con un software antifraude o como complemento a sus propios modelos de fraude.
Predicciones sobre la industria del fraude
El fraude evoluciona constantemente con el paso del tiempo, y 2021 no fue una excepción. De hecho, los estafadores se volvieron aún más sofisticados el año pasado, con nuevas amenazas dirigidas a las empresas que operan en Internet. En este informe hemos abordado una serie de desafíos, pero ¿cómo afectan a tu negocio? A continuación, presentamos cuatro consideraciones que creemos imprescindibles para adaptarse al panorama actual del fraude:
1. Las intervenciones, como 3DS, tendrán un papel más importante
Las intervenciones te permiten bloquear o aceptar transacciones que te parezcan sospechosas con mayor seguridad al solicitar la participación de tus clientes, por ejemplo, pidiéndoles que introduzcan un código único que se les envía por mensaje de texto.
Estas intervenciones pueden adoptar muchas formas. Aquí tienes algunos ejemplos:
- 3DS, que obliga a los clientes a completar la autenticación en dos pasos para efectuar un pago. Se trata del método de autenticación de tarjetas más utilizado para cumplir los requisitos de la autenticación reforzada de cliente (SCA) en Europa y, además, es un mecanismo clave para que las empresas soliciten exenciones a la SCA.
- Verificaciones de identidad, como pedir a los clientes que escaneen su documento de identidad oficial para acreditar que son realmente quienes dicen ser.
- Escaneos de tarjetas para confirmar que el cliente tiene la tarjeta física en su poder en el momento de la transacción.
- Herramientas CAPTCHA que requieren que los usuarios del sitio web resuelvan un rompecabezas sencillo, como transcribir una serie de números o letras de una imagen
distorsionada.
Estas intervenciones son cada vez más comunes. Estudiamos la actividad de una intervención específica, 3DS, entre las empresas que trabajan con Stripe 2021 y observamos que la adopción de 3DS aumentó a nivel general, si bien los avances más notables se percibieron fuera de Norteamérica. Como era de esperar, las empresas europeas registraron el mayor aumento en la adopción de 3DS, debido a que los requisitos de SCA se aplicaron por completo en casi todos los países europeos pertinentes durante el año pasado. Las normativas de tipo SCA también están ganando cada vez más popularidad fuera de Europa, sobre todo, en la India.
En un experimento, Stripe descubrió que la reducción del umbral en el que se activa 3DS conllevó una disminución del 74 % de la tasa de disputas por fraude. Asimismo, en comparación con el bloqueo directo de los cargos, 3DS permite que la mayoría de los pagos lleguen a buen término (un 67 % en todos los niveles de riesgo y un 5 % para el nivel de alto riesgo). Sin embargo, los resultados de 3DS pueden variar en función del emisor.
Esperamos que el uso de las intervenciones aumente con el paso del tiempo. Así, las empresas aplicarán las intervenciones a una mayor cantidad de sus transacciones y usarán tipos más diversos, en particular, las intervenciones menos invasivas y que consigan que el proceso de compra sea más agradable para el cliente.
Consejos para usar las intervenciones:
-
Sustituye el bloqueo automático de transacciones por la activación de una intervención para aumentar la conversión y evitar el bloqueo de los cargos legítimos.
-
Las intervenciones pueden generar ciertos problemas en la experiencia del cliente y, en consecuencia, afectar negativamente a la conversión. Optimiza y prueba detenidamente cómo se activarán las intervenciones para asegurarte de no perjudicar a los clientes legítimos.
-
Cada intervención tiene una tasa de éxito diferente y un resultado distinto en la reducción del fraude. Por ejemplo, si bien las claves de seguridad son sumamente eficaces frente a los estafadores, pueden dañar bastante la conversión. Elige la intervención más conveniente en función del riesgo de la acción que el cliente está realizando y de tu grado de tolerancia a riesgos y al descenso de tus tasas de conversión.
-
Aplica las intervenciones donde resulte más lógico en la experiencia del usuario; por ejemplo, solicita que un cliente escanee una tarjeta física solo cuando introduzca los datos de la tarjeta.
2. Las fuentes de datos serán más completas y ayudarán a las empresas a tomar decisiones más rápidas y precisas
Gestionar el fraude solía ser una tarea prácticamente manual, ya que un equipo de analistas tenía que revisar las transacciones una a una. Hoy, sin embargo, la mayoría de las empresas utilizan algún tipo de modelo de machine learning y de automatización para combatir el fraude a gran escala, además de llevar a cabo revisiones manuales cuando resulta necesario (este enfoque híbrido varía en función de las industrias y los modelos de negocio). Los modelos de machine learning aprenden a diferenciar las transacciones legítimas de las potencialmente fraudulentas, y algunos incluso pueden entrenarse a sí mismos, por lo que resultan más escalables y eficaces.
Estos modelos antes se consideraban una tecnología puntera para combatir el fraude, pero ahora se han convertido en una tecnología base en torno a la cual diseñar un modelo. De hecho, las funcionalidades del machine learning por sí solas no son suficientes para hacer frente a unos riesgos de fraude que están en constante evolución. Más de la mitad de los encuestados, aquellos cuyo proceso de revisión es principalmente automático, coincidían en que el tipo y el volumen de fraude al que se enfrentan está evolucionando demasiado rápido para poder adaptarse a él internamente.
Las oportunidades para el fraude financiero se han vuelto más diversas y complejas con el tiempo. Tenemos que adaptarnos constantemente para luchar contra las nuevas tendencias y oportunidades de fraude.
Creemos que la próxima etapa en esta evolución de la gestión del fraude se centrará en conseguir mejores datos que sirvan de base para los modelos de seguridad antifraude. Actualmente, ya disponemos de las herramientas y la tecnología para recabar esta información, pero suelen encontrarse en varios sistemas aislados; por ejemplo, las empresas podrían contar con distintas herramientas para la verificación de la identidad y la biometría. Auguramos que, en el futuro, las empresas podrán beneficiarse de una tecnología y unas integraciones mejoradas que les permitan consolidar toda esta información en un único lugar y conseguir un enfoque holístico para mejorar la eficacia de los modelos de fraude.
Las empresas pueden conseguir una mayor precisión en la detección del fraude gracias al análisis de los datos más relevantes de la experiencia del cliente, como los datos biométricos de su comportamiento y unos mejores datos de terceros relacionados con números de teléfono, direcciones de correo electrónico y la fuente inagotable de datos que son los emisores o las redes sociales.
Aunque todos estos datos resultan muy útiles para mejorar los modelos antifraude, las empresas deben actuar con cautela al recopilar y almacenar esta información para garantizar el cumplimiento de las distintas normativas de todo el mundo destinadas a regular la privacidad y seguridad de los datos.
3. Los emisores y las empresas estrecharán su colaboración para optimizar las disputas y reducir los falsos positivos
Cuando un cliente compra en tu sitio web, el proveedor de pagos recopila los datos del cargo y los envía a través de las redes de tarjetas —por ejemplo Visa, Mastercard o China UnionPay— al banco emisor (el banco del cliente) en forma de solicitud de pago. El banco emisor, como Banco Santander, BBVA o Barclays, es el que tiene la última palabra a la hora de aceptar o rechazar una transacción durante la fase de autorización. Los bancos emisores calculan el riesgo de fraude en función de las señales recibidas durante la autorización, que son bastante limitadas.
Las empresas, sin embargo, cuentan con bastantes datos sobre los clientes y las transacciones, como la dirección de facturación y el correo electrónico. Combinar estos datos con la información de la que dispone el emisor puede aumentar el porcentaje de transacciones aceptadas.
Las mejoras en las tasas de autorización y de detección del fraude se benefician mútuamente: el banco emisor puede reducir las pérdidas por fraude, ahorrar en costes operativos y aumentar el volumen de transacciones al reducir la cantidad de reclamaciones recibidas por pagos rechazados erróneamente. Por otra parte, las empresas disfrutan de unas tasas de conversión de pagos más altas y de una mayor fidelización de los clientes. No obstante, la mayoría de empresas sigue sin compartir estos datos con los emisores, lo que provoca una asimetría de la información que contribuyó en 2021 a unas pérdidas por valor de 443.000 millones de dólares a causa de los falsos positivos.
Por suerte, actualmente se está observando un cambio, y los emisores están invirtiendo en diseñar unas API de autorización mejoradas, como la API de datos para una toma de decisiones mejorada de Capital One y la API de autorización mejorada de Amex. Las grandes empresas, para las que cada subida porcentual en sus tasas de autorización puede suponer un aumento de millones de dólares en sus ingresos, también reconocen la importancia de estas colaboraciones en materia de datos y están empezando a invertir en sus integraciones con los emisores. Sin embargo, existe un vacío en el caso de los millones de empresas que no disponen de capacidad técnica o de un volumen de pagos significativo para justificar el retorno de la inversión de estas integraciones personalizadas con emisores. Esperamos que estas empresas encuentren en los socios financieros, como Stripe y otros proveedores de pagos, la ayuda necesaria para facilitar este intercambio y puedan aprovechar su alcance y sus acuerdos con los emisores.
4. Las preferencias de pago de los consumidores seguirán cambiando, lo que obligará a los estafadores a adaptarse, pero presentará nuevas oportunidades para el fraude
Los métodos de pago como «compra ahora y paga después», los monederos digitales y las tarjetas para criptomonedas sin numeración (como la tarjeta de crédito de Gemini) están en auge. Entre ellos, el aumento más significativo ha sido para los servicios de «compra ahora y paga después»: más de la mitad de los clientes de Estados Unidos han utilizado un servicio de este tipo y, en 2020, fue el método de pago que más rápido creció en la India y en el Reino Unido.
Todos los métodos de pago utilizados para las transacciones en línea entrañan cierto nivel de riesgo de fraude, y los métodos sin tarjeta no son una excepción. Por ejemplo, los métodos de pago como «compra ahora y paga después» conllevan un riesgo más bajo de fraude en las propias transacciones, pero pueden ser más susceptibles al fraude en la creación de cuentas (cuando los estafadores crean nuevas identidades y abren cuentas fraudulentas durante el proceso de onboarding, que suele estar menos protegido) y en la usurpación de cuentas (cuando un tercero malintencionado consigue averiguar las credenciales de la cuenta de un cliente y usa la información de pago de la cuenta para efectuar compras fraudulentas).
Sin embargo, las empresas pueden minimizar estos riesgos poniendo en marcha estrategias de prevención de fraude durante las primeras etapas de la trayectoria del cliente. En lugar de fijarse exclusivamente en la propia transacción, las empresas pueden monitorizar la actividad durante los primeros pasos de la experiencia del cliente y, así, valorar el riesgo antes de que el cliente (o el estafador) intente una compra. Por ejemplo, toda empresa debería confirmar la identidad de un cliente durante el onboarding, comprobar que no haya cuentas duplicadas y aplicar medidas de verificación de la identidad (como la autenticación en dos pasos) al iniciar sesión.
Cómo puede ayudarte Stripe
Stripe ofrece un paquete totalmente integrado de productos para pagos que optimiza los pagos, tanto en Internet como en persona, para minoristas, negocios con modelos de suscripción, marketplaces, plataformas de software, y mucho más. Aunque este informe está centrado en erradicar el fraude, Stripe es mucho más. Esto es lo que consiguen los millones de empresas que usan Stripe:
Optimizar la experiencia en el proceso de compra
- Recopila más información relevante durante el proceso de compra: pedir a los clientes que proporcionen más información relevante al efectuar una compra te ayudará a verificar mejor su legitimidad. Por ejemplo, asegúrate de recopilar la dirección de correo electrónico y el nombre del cliente. Esta información adicional se puede enviar a Stripe Radar, lo que permitirá detectar mejor el fraude mediante machine learning y te aportará más pruebas que podrás presentar durante una posible disputa.
- Explora otros métodos de pago: seleccionar los métodos de pago adecuados puede ofrecer flexibilidad a los clientes y reducir el riesgo de fraude. Los monederos digitales, como Apple Pay o Google Pay, exigen una verificación adicional del cliente (como datos biométricos, SMS o un código de acceso) para completar un pago, lo que disminuye las tasas de disputa. Asimismo, la mayoría de las tarjetas de débito —en las que los fondos se retiran directamente de la cuenta bancaria de un cliente— requieren que los clientes acepten la transacción o verifiquen la titularidad de la cuenta, lo que añade una capa adicional de seguridad y reduce la posibilidad de que se presenten disputas.
Prevenir el fraude durante el proceso de compra
- Sácale todo el partido al machine learning para detectar el fraude: la detección de fraude basada en reglas, que aplica una lógica de tipo «si sucede X, haz Y», no se diseñó para las empresas en línea de hoy en día y puede provocar pérdidas de ingresos. El funcionamiento de Stripe Radar se basa en el machine learning adaptativo, con algoritmos que evalúan cada transacción y asignan una puntuación de riesgo, para bloquear o aceptar las transacciones en función del riesgo de fraude. Los algoritmos de Radar se adaptan rápidamente a las tendencias cambiantes del fraude y al caso específico de tu empresa.
- Prevén el fraude y aumenta la autorización colaborando con los emisores: las asociaciones de Stripe con los emisores te permiten compartir datos sobre riesgos específicos (siempre que sea posible) que ayudarán a los emisores a bloquear transacciones fraudulentas y, al mismo tiempo, aceptar las legítimas. La integración con los emisores es ventajosa tanto para el titular de la tarjeta como para la empresa: los clientes pueden efectuar más compras con mayor seguridad y las empresas experimentan un aumento en las transacciones aprobadas sin que se incrementen las disputas por fraude.
- Aplica la autenticación en dos pasos de forma dinámica: Stripe Checkout puede gestionar los requisitos de SCA europeos y aplicar la autenticación de forma dinámica (por ejemplo, 3DS) cuando lo exija el banco del titular de la tarjeta o cuando haya alguna sospecha de fraude. Stripe Checkout también acepta el método más sencillo de validación de PCI con un formulario SAQ A (el cuestionario de autoevaluación obligatorio) previamente completado y activa una verificación CAPTCHA para prevenir el fraude si sospecha de un ataque de pruebas de tarjetas.
Cómo gestionar el fraude con tu equipo
- Crea reglas para personalizar la gestión del fraude: gracias a Radar for Fraud Teams, puedes crear reglas personalizadas para gestionar la forma en que tu empresa procesa los pagos entrantes, lo que te permite bloquear los que consideres sospechosos o pasarlos a revisión. Por ejemplo, podrías bajar la puntuación de riesgo requerida para activar las revisiones manuales o revisar pedidos grandes de clientes nuevos. Radar for Fraud Teams también ofrece informes de riesgo de tus pagos de forma individual, lo que te permitirá conocer los factores más importantes a la hora de asignarle una puntuación de riesgo alta a una transacción. Además, puedes usar esta información para crear otras reglas más específicas.
- Revisa manualmente los pagos de alto riesgo: Radar for Fraud Teams incluye un proceso de revisión adicional que te permite marcar determinados pagos para los que creas necesaria una revisión manual (aunque dichos pagos se procesan y el cargo se efectúa en la tarjeta de crédito). Aunque las empresas que utilizan Radar for Fraud Teams suelen ser de un tamaño considerable, la capacidad de revisar los pagos manualmente resulta útil para empresas de todos los tamaños (si bien las empresas más pequeñas han observado que las revisiones
manuales resultan de gran ayuda). La revisión manual de los pagos sospechosos puede ayudarte a tomar las medidas oportunas de forma más precisa, incluso antes de que se produzca una posible disputa. Por ejemplo, si un pago te plantea dudas al revisarlo, puedes llamar al cliente o enviarle un correo electrónico. Por otra parte, si sospechas que un pago puede ser fraudulento, puedes reembolsarlo.
Otros consejos para la prevención del fraude
- Accede a informes más exhaustivos sobre las tendencias de fraude: Stripe Sigma te permite analizar rápidamente tus datos de Stripe a través de consultas SQL predefinidas o personalizadas desde el Dashboard de Stripe. Encuentra respuestas para las preguntas más complejas de tu negocio, desde por qué los clientes disputan los pagos hasta qué porcentaje de disputas impugnas. También puedes usar Stripe Data Pipeline para enviar datos actualizados de Stripe a tu sistema de almacenamiento de datos de Snowflake o Amazon Redshift. De esta forma, podrás combinar fácilmente tus puntuaciones de riesgo de fraude de Stripe con otros datos sobre fraude y obtener informes más precisos.
- Verifica a los clientes internacionales:Stripe Identity te permite confirmar la identidad de los usuarios internacionales de forma programática para reducir los ataques de los estafadores y, al
mismo tiempo, causar los mínimos inconvenientes a tus clientes legítimos. - Optimiza la conversión y recupera más ingresos: la verificación por imagen para tarjetas de Stripe te ayuda a reducir el número de transacciones bloqueadas por error. En lugar de bloquear automáticamente las transacciones de alto riesgo, ofrece a los usuarios la posibilidad de confirmar que realmente disponen de la tarjeta escaneando una imagen de la misma (esperamos lanzar esta función en 2022).
Para obtener más información sobre cómo Radar puede ayudar a tu empresa a combatir el fraude, contacta con ventas o crea una cuenta.
Recursos adicionales
A continuación, te presentamos otros recursos que te ayudarán a combatir el fraude y a proteger tu negocio:
Metodología
Stripe analizó miles de millones de intentos de pagos de millones de empresas entre 2019 y 2021. En esos pagos y empresas, analizamos las disputas y sus motivos, las predicciones de nuestros modelos de machine learning, el uso de 3DS y la actividad de revisión manual de las empresas. En cuanto a las tasas de fraude por país, excluimos del análisis a los países con menos de 10.000 pagos en 2021 porque tenían muy pocas transacciones como para calcular de forma fiable las tasas de fraude.
A principios de 2022, Stripe también trabajó con Milltown Partners (en colaboración con su proveedor de datos, Focaldata) para encuestar a más de 2.500 personas con cargos ejecutivos en nueve mercados de diferentes partes del mundo (Alemania, Australia, Canadá, Estados Unidos, Francia, Japón, Países Bajos, Reino Unido y Singapur) que consideran que sus empresas obtienen al menos el 10 % de sus ingresos a través de las ventas por Internet.