A medida que se amplía el mercado de los sitios de e-commerce y se hacen más comunes las compras por Internet, sigue aumentando el número de casos de fraude con tarjetas de crédito. Para combatirlo, el Ministerio de Economía, Comercio e Industria (METI) ha anunciado que hará obligatoria la versión 3D Secure 2.0 (también llamada "EMV 3-D Secure") a finales de marzo de 2025. Esto significa que todas las empresas de e-commerce deben tomar medidas inmediatas para introducir el nuevo sistema.
3D Secure 2.0 incluye varias mejoras respecto a la versión anterior 3D Secure 1.0, como actualizaciones en el método de autenticación y en las funcionalidades. Sin embargo, es probable que la simple introducción de 3D Secure 2.0 no evite completamente el fraude. Es por ello que las empresas necesitan aplicar otras medidas de seguridad para asegurar que sus clientes puedan usar los sitios de e-commerce con tranquilidad.
En este artículo, explicamos la situación actual del fraude con tarjetas de crédito en Japón, los motivos por los que 3D Secure por sí solo no es suficiente para hacer frente al fraude y otras medidas de prevención del fraude además de 3D Secure.
¿De qué trata este artículo?
- Daños causados por el uso no autorizado de tarjetas de crédito en Japón
- Por qué 3D Secure 2.0 por sí solo no puede prevenir completamente el uso no autorizado
- ¿Cómo asumen las empresas de e-commerce el coste del uso fraudulento de tarjetas de crédito?
- Medidas antifraude además de 3D Secure
- Comprender la situación actual del fraude y sus causas.
Daños causados por el uso no autorizado de tarjetas de crédito en Japón
Según la Asociación Japonesa de Crédito al Consumo (JCA), la cantidad de daños causados por el fraude con tarjetas de crédito de enero a diciembre de 2023 fue de 54.100 millones de yenes. Se trata de la cifra más alta registrada, superando con creces la cifra del año anterior de 43.600 millones de yenes en 2022. El daño causado por el fraude con tarjetas de crédito aumenta cada año. Además, los métodos utilizados para cometer fraude son cada vez más complejos y sofisticados, y es difícil de prevenir por completo, por lo que este es un tema clave.

Referencias:
«Situación del fraude con tarjetas de crédito (septiembre de 2024)»
«Situación del fraude con tarjetas de crédito (diciembre de 2023)»
Después de que el METI revisara las normas de seguridad varias veces, decidió que 3D Secure 2.0 sería obligatorio para todas las empresas de e-commerce como medida básica para evitar el uso no autorizado. Se espera que esta obligación mejore la tasa de adopcion de 3D Secure en Japón.
Por qué 3D Secure 2.0 por sí solo no puede prevenir completamente el uso no autorizado
Al realizar pagos con tarjeta de crédito a través de Internet, el proceso de autenticación mediante 3D Secure es eficaz hasta cierto punto como medida de prevención del fraude. Además, las empresas de tarjetas de crédito y los proveedores de servicios de pago (PSP) están progresando en la introducción de 3D Secure 2.0, en parte debido a sus mayores esfuerzos por alentar a las empresas de e-commerce a adoptarlo. Sin embargo, no es posible detectar de manera fiable todos los métodos de fraude utilizando solamente 3D Secure 2.0.
Estos son los motivos por los que 3D Secure 2.0 no es suficiente por sí solo para evitar el fraude:
Autenticación basada en el riesgo y evolución de los métodos de fraude
En primer lugar, es importante entender que la introducción de 3D Secure 2.0 por sí solo no es suficiente como respuesta al fraude. Muchas compañías de tarjetas de crédito y PSP esperan que el sistema de autenticación 3D Secure 2.0 reemplace a 3D Secure 1.0 y evite más usos fraudulentos. Sin embargo, los métodos que utilizan los grupos delictivos que intentan cometer fraude deliberadamente evolucionan constantemente, por lo que existe la posibilidad de que estos grupos delictivos acaben encontrando una forma de eludir la autenticación.
Teléfonos móviles robados y autenticación comprometida
A primera vista, 3D Secure 2.0 puede parecer un sistema de autenticación suficiente. Con 3D Secure 2.0, el sistema proporciona un código de contraseña temporal para la autenticación. Se envía a tu teléfono móvil o dirección de correo electrónico y sustituye a una contraseña única registrada de antemano, como con 3D Secure 1.0. Esto significa que los clientes ya no necesitan recordar contraseñas. Debido a que el sistema usa contraseñas y códigos diferentes cada vez, el método de autentificación es más cómodo y seguro.
Sin embargo, existen riesgos asociados al cambio de 3D Secure 1.0, que era una autenticación basada en el «conocimiento» que utilizaba contraseñas memorizadas, a la actual 3D Secure 2.0, que es una autenticación basada en la «posesión» que utiliza contraseñas enviadas a direcciones de correo electrónico o SMS. Por ejemplo, si alguien roba tu teléfono móvil y logra desbloquearlo, puede acceder fácilmente a tu contraseña de un solo uso. Podrán realizar pagos con tarjeta de crédito libremente desde cualquier aplicación en la que ya hayas iniciado sesión.
Para reducir el riesgo de que esto ocurra, es importante prestar atención a tus pertenencias cuando estés fuera de casa. Además, intenta evitar comprar artículos de sitios de e-commerce en lugares públicos donde se reúna un gran número de personas. Existe un mayor riesgo de incidentes, como que te roben la información de la pantalla de pago o los datos de tu tarjeta de crédito.
¿Cómo asumen las empresas de e-commerce el coste del uso fraudulento de tarjetas de crédito?
Una de las preocupaciones más serias para los propietarios de sitios de e-commerce son los contracargos debidos al uso fraudulento. Un contracargo ocurre cuando la compañía de la tarjeta de crédito cancela el pago y reembolsa el dinero al titular de la tarjeta si no autorizó el pago. Por ejemplo, si hay una transacción en el extracto que el titular de la tarjeta no reconoce, puede presentar un contracargo. Si el producto no llega o llega dañado, también puede presentar una reclamación.
Los contracargos son una forma importante de proteger a los titulares de tarjetas, ya que proporcionan un medio para resolver los problemas causados por la actividad fraudulenta. Sin embargo, si se produce un contracargo, el vendedor del producto (es decir, la empresa de e-commerce) debe reembolsar el importe de la transacción a la empresa de la tarjeta de crédito. En algunos casos, es posible que el vendedor también tenga que pagar una comisión por el contracargo. Además, dado que los productos enviados no se pueden devolver, los contracargos también pueden provocar daños significativos a las empresas de e-commerce.
La principal causa de los contracargos es el continuo aumento del fraude con tarjetas de crédito. Como se explicó anteriormente, 3D Secure 2.0 no es una solución definitiva y no puede ser una medida única para prevenir el fraude por completo. Para minimizar la ocurrencia de contracargos, además de implementar 3D Secure 2.0, es necesario adoptar diversas medidas para prevenir el uso no autorizado por terceros, como la «suplantación de identidad».
Medidas antifraude además de 3D Secure
Códigos de seguridad
Los códigos de seguridad evitan el uso no autorizado de las tarjetas de crédito por parte de terceros y cumplen la misma función que los contracargos para proteger a los titulares de las tarjetas. Cuando eliges pagar con tarjeta de crédito al comprar un artículo en un sitio de e-commerce, a menudo tendrás que introducir tu código de seguridad. De este modo, puedes demostrar que tú, como titular de la tarjeta de crédito, estás realizando el pago. Si introduces un código de seguridad incorrecto, el sitio no procesará el pago ni completará la transacción.
Los códigos de seguridad son medidas para prevenir el skimming, un método para obtener de forma fraudulenta números de tarjetas de crédito, fechas de caducidad, etc. A diferencia del número de tarjeta y la fecha de caducidad, el código de seguridad no se encuentra en los datos magnéticos de la propia tarjeta. Incluso si alguien roba el nombre, el número de tarjeta y la fecha de vencimiento, el uso no autorizado es imposible a menos que conozca el código de seguridad.
Sin embargo, introducir el código de seguridad no es obligatorio por ley, por lo que hay muchos sitios de e-commerce que te permiten completar el pago sin introducirlo. El código de seguridad puede prevenir el uso no autorizado a través de skimming, pero si alguien roba la tarjeta de crédito y un tercero descubre el código de seguridad, no funcionará como una medida eficaz de prevención del fraude. Por esta razón, es importante que los clientes tengan mucho cuidado al manejar y administrar las tarjetas de crédito y que los propietarios de sitios de e-commerce también implementen medidas de seguridad para proteger a los clientes.
Sistema de detección de fraude
Para crear un sitio de e-commerce que los clientes puedan usar con confianza, es una buena idea utilizar 3D Secure junto con un sistema de detección de fraudes. Con un sistema de detección del fraude, puedes prevenir de manera más efectiva daños a tu propio sitio de e-commerce al detectar y bloquear automáticamente las transacciones fraudulentas que no puedan ser verificadas mediante 3D Secure. Además, en el caso de un sistema de detección antifraude, los titulares de tarjetas legítimos pueden realizar pagos sin necesidad de pasar por procedimientos adicionales, como proporcionar autenticación adicional. Esto también ayuda a reducir el riesgo de abandono de la cesta debido a 3D Secure.
Para evitar que usuarios malintencionados utilicen indebidamente tu sitio, es importante reforzar su seguridad para que puedas hacer frente a cualquier intento fraudulento y tener un entorno en el que los clientes puedan comprar con confianza.
Ten en cuenta que Stripe Radar, la exclusiva herramienta antifraude que proporciona Stripe, es capaz de tomar medidas más avanzadas para prevenir el fraude mediante machine learning, que puede adaptarse a los patrones de fraude en constante cambio. Ponte en marcha rápidamente, ya que puedes incorporar Radar en el flujo de pagos sin tener que invertir tiempo ni dinero en desarrollar un sistema de detección de fraude interno.
Comprender la situación actual del fraude y sus causas.
Ahora que 3D Secure 2.0 es obligatorio y que las empresas de e-commerce lo están introduciendo cada vez más, se prevé que el riesgo de uso fraudulento y de devoluciones de cargo continuará disminuyendo. Sin embargo, 3D Secure no es perfecto y no puede prevenir todo uso fraudulento. Por lo tanto, es necesario tomar medidas para prevenir el fraude que no dependan únicamente de 3D Secure.
Para hacer frente a los métodos sofisticados utilizados por grupos dedicados al fraude, puedes comenzar comprobando si realmente se está produciendo fraude. Cuando confirmes un caso de fraude, es importante identificar qué detalles de los pedidos y qué segmentos de clientes están frecuentemente involucrados en el fraude, investigar a fondo las causas y, posteriormente, tomar medidas para prevenirlo.
Con la implementación obligatoria de 3D Secure, Stripe está trabajando actualmente en un enfoque por fases acorde con el plazo establecido para su implementación. Además del sistema Radar mencionado anteriormente, estamos utilizando medidas de seguridad exhaustivas para los datos personales y los datos de las transacciones, como la prevención del acceso no autorizado a través del cifrado de datos (tecnología Secure Sockets Layer/Transport Layer Security [SSL/TLS]).
Además, Stripe dispone de una amplia gama de herramientas y funciones para ayudar a optimizar las operaciones de pago, incluida la introducción de métodos de pago, el procesamiento de la información y la gestión de ingresos. Por ejemplo, si actualmente estás pensando en crear un sitio de e-commerce, puedes configurar un entorno de pagos que se adapte a tu estilo de empresa sin desarrollar tu propio sistema introduciendo Stripe Payments, que puede responder con flexibilidad a las necesidades de pagos por Internet.
El contenido de este artículo tiene solo fines informativos y educativos generales y no debe interpretarse como asesoramiento legal o fiscal. Stripe no garantiza la exactitud, la integridad, la adecuación o la vigencia de la información incluida en el artículo. Debes procurar el asesoramiento de un abogado o un contador competente con licencia para ejercer en tu jurisdicción si deseas obtener asistencia para tu situación particular.