Seis tipos de fraude de pagos y cómo las empresas pueden prevenirlos

Radar
Radar

Combate el fraude con la solidez de la red de Stripe.

Más información 
  1. Introducción
  2. ¿Qué es el fraude de pagos?
  3. Types of payment fraud
    1. Ataques de suplantación de identidad (phishing)
    2. Skimming
    3. Robo de identidad
    4. Fraude por contracargo
    5. Compromiso del correo electrónico empresarial
    6. Fraude por tarjeta no presente
  4. Ventajas de la protección antifraude

El fraude de pagos puede amenazar la salud financiera de las empresas y la privacidad de los clientes, y luchar contra él requiere soluciones defensivas que son tan sofisticadas y flexibles como lo son las tácticas que utilizan los estafadores.

El fraude de pagos puede adoptar muchas formas, desde el robo de los números de la tarjeta de crédito desde un lector de tarjetas sin protección hasta correos electrónicos falsos malintencionados. Por ejemplo, un estudio de 2021 de Tessian mostró que los empleados estadounidenses reciben de media 14 correos electrónicos al año que les solicitan hacer acciones fraudulentas de tipo financiero. En algunos sectores, esta cifra es mucho mayor: los trabajadores minoristas reciben una media de 49 correos electrónicos fraudulentos al año.

El phishing es uno de los tipos más habituales de fraude de pagos, y representó el 44 % de todas las filtraciones de datos en 2020. El skimming, modalidad en la que los estafadores capturan la información de la tarjeta en los cajeros automáticos o en los terminales de pago, tuvo un coste aproximado para las empresas de 1000 millones de dólares al año. El robo de identidades, donde se roban los datos personales y se utilizan para hacer compras fraudulentas, constituyó el 24 % de los casi 6 millones de notificaciones de fraude en 2021, según FTC. Y estos son solo algunos de los tipos de fraude de pagos contra los que han de luchar las empresas.

El fraude de pagos es una grave amenaza, pero las empresas pueden mitigarla con una serie de tácticas de defensa eficaces. Esto es lo que debes saber sobre los tipos habituales de fraude de pagos, cómo funcionan y qué puedes hacer para protegerte a ti mismo, a tu negocio y a tus clientes.

¿De qué trata este artículo?

  • ¿Qué es el fraude de pagos?
  • Tipos de fraude de pagos
  • Ventajas de la protección antifraude

¿Qué es el fraude de pagos?

El fraude de pagos es un tipo de fraude financiero que conlleva el uso de información de pago falsa o robada para obtener dinero o bienes. El fraude de pagos puede producirse de varias formas, pero suele incluir el robo de información de la cuenta bancaria o de la tarjeta de crédito, la falsificación de cheques o el uso de información de identidad robada para realizar transacciones no autorizadas por parte de los estafadores.

Types of payment fraud

There are several methods that fraudulent actors use to commit payment fraud. Here are some of the most common tactics:

Most common types of payment fraud - Icons representing ten different types of payment fraud

Ataques de suplantación de identidad (phishing)

Qué es:
El phishing es un tipo de ataque de ingeniería social, una táctica que consiste en engañar a las personas mediante la manipulación psicológica, en el que los actores fraudulentos utilizan correos electrónicos, mensajes de texto o sitios web fraudulentos para engañar a las personas para que revelen información confidencial, como credenciales de inicio de sesión e información de tarjetas de crédito.

Los ataques de phishing generalmente se llevan a cabo a través de correos electrónicos que parecen provenir de una fuente confiable, como un banco o un minorista en línea de buena reputación. El correo electrónico puede solicitar al destinatario que haga clic en un enlace para actualizar la información de su cuenta, verificar una transacción reciente o reclamar un premio. Cuando el destinatario hace clic en el enlace, se le dirige a un sitio web falso en el que se le pide que introduzca sus credenciales de inicio de sesión, información de la tarjeta de crédito u otros datos confidenciales.

Los ataques de phishing también se pueden llevar a cabo a través de mensajes de texto, conocidos como «smishing», o a través de plataformas de redes sociales, conocidas como «pharming». En estos casos, el atacante envía un mensaje o un enlace a un sitio web fraudulento que parece ser legítimo, con el fin de robar información personal o infectar el dispositivo con malware.

Cómo prevenirlo:
Para protegerse contra los ataques de phishing, ten cuidado al hacer clic en enlaces o abrir archivos adjuntos de fuentes desconocidas o sospechosas. Mantente alerta ante las tácticas habituales de los estafadores, como el lenguaje urgente o amenazante, las palabras mal escritas o los enlaces sospechosos. El uso de software antivirus también puede ayudar a protegerse contra los ataques de suplantación de identidad.

Al igual que con otros tipos de fraude de pagos, las estafas de phishing tienden a evolucionar con el tiempo, volviéndose más avanzadas y de apariencia más legítima. Las personas, las empresas y sus empleados deben formarse sobre el phishing para poder reconocer y evitar este tipo de ataques.

Skimming

Qué es:
El skimming se produce cuando el delincuente utiliza un dispositivo, llamado skimmer, para robar información de tarjetas de crédito o débito. El estafador conecta un skimmer a un lector de tarjetas en cajeros automáticos o terminales de puntos de venta, como surtidores de gasolina, carriles de autopago y otros terminales de pago. El skimmer captura los datos de la banda magnética de la tarjeta, que se pueden utilizar para crear tarjetas falsificadas o para realizar compras fraudulentas.

Además de los skimmers, los estafadores también pueden usar pequeñas cámaras o superposiciones que se colocan sobre el cajero automático o el teclado del terminal de pago para capturar el PIN del cliente. Esta información se utiliza junto con los datos de la tarjeta robada para realizar retiradas o compras no autorizadas.

Cómo prevenirlo:
El skimming puede ser difícil de detectar, ya que los dispositivos de skimming suelen ser pequeños y discretos, pero no es imposible. Hay señales que pueden indicar la presencia de un dispositivo de skimming, como lectores de tarjetas sueltos o dañados, dispositivos inusuales o adicionales conectados al terminal de pago o dispositivos que se ven diferentes de otros terminales de pago en el área.

Para protegerse contra el skimming, ten cuidado al usar terminales de pago y cajeros automáticos, e inspecciona el dispositivo en busca de signos de manipulación. Cubrir el teclado al introducir un PIN también puede ayudar a protegerse contra el fraude de skimming que emplea una cámara.

Supervisa periódicamente los extractos bancarios y de tarjetas de crédito para detectar cualquier transacción sospechosa e informa de cualquier sospecha de skimming al banco o al emisor de la tarjeta de pago lo antes posible.

El pago con monederos digitales o tarjetas con chip EMV también pueden proteger contra el skimming, ya que esta tecnología es más segura que las tarjetas de banda magnética. Asegurarte de que tu empresa está configurada para aceptar estos métodos de pago seguros representa una poderosa protección contra el skimming.

Robo de identidad

Qué es:
El robo de identidad es un tipo de fraude de pago en el que un actor fraudulento roba la información personal de una persona, como su nombre, número de Seguridad Social o número de tarjeta de crédito, y la usa para realizar compras no autorizadas o abrir cuentas a nombre de la víctima. El robo de identidad puede tener graves consecuencias financieras y legales para la víctima y causar una gran cantidad de estrés y ansiedad.

El robo de identidad es un término general que describe una serie de tácticas de fraude. Por ejemplo, los ataques de phishing son un tipo de robo de identidad. Las filtraciones de datos, en las que un hacker obtiene acceso a la base de datos de una empresa y roba información personal a gran escala, también son robos de identidad. Otros métodos de robo de identidad incluyen el robo de correo, la búsqueda en la basura o el robo de carteras o bolsos. Una vez que un actor fraudulento ha obtenido la información personal de una persona, puede usarla para abrir nuevas cuentas de tarjetas de crédito, solicitar préstamos o incluso presentar declaraciones de impuestos falsas.

Cómo prevenirlo:
Para prevenir el robo de identidad, las empresas pueden adoptar una serie de medidas. En primer lugar, asegúrate de que los datos de los clientes se almacenan de forma segura, utilizando el cifrado y otras medidas de seguridad para evitar el acceso no autorizado. Las empresas deben limitar el acceso a los datos de los clientes solo a aquellos empleados que los necesitan para sus trabajos y exigir contraseñas seguras y autenticación multifactor para todas las cuentas y sistemas que contengan datos de los clientes.

La capacitación de los empleados es importante para prevenir el robo de identidad y debe incluir las mejores prácticas de seguridad, como la forma de identificar correos electrónicos de phishing y crear contraseñas seguras.

Supervisar las cuentas de los clientes en busca de actividades sospechosas, como inicios de sesión no autorizados o cambios en la información de la cuenta, puede ayudar a las empresas a detectar el robo de identidad a tiempo y reducir los daños. Elegir la pila tecnológica de pagos adecuada puede evitar que la detección y prevención del fraude agoten tiempo y recursos. Radar de Stripe es una sofisticada tecnología para la detección y prevención del fraude integrada en todos los productos Stripe para pagos, incluido Terminal.

Por último, las empresas deben contar con un plan para responder a las filtraciones de datos, que incluya notificar a los clientes afectados y ofrecer servicios de protección contra el robo de identidad.

Fraude por contracargo

Qué es:
El fraude por contracargo, también conocidos como "fraude no malintencionado", se producen cuando un cliente disputa una transacción legítima, alegando que no realizó la compra él mismo o que no recibió el producto o servicio por el que pagó. En algunos casos, el cliente puede recibir un reembolso mientras conserva el producto o servicio, lo que genera una pérdida financiera para la empresa. El fraude por contracargo puede tener importantes consecuencias financieras para las empresas: pueden perder los ingresos de la venta y estar sujetas a comisiones por contracargos y sanciones.

El fraude de contracargo puede estar presente de diferentes maneras. El método más común es cuando un cliente realiza una compra legítima pero luego disputa el cargo con la compañía de su tarjeta de crédito, alegando que el artículo no se ajustaba a la descripción o que nunca lo recibió. Otro método es cuando un cliente usa intencionalmente una tarjeta de crédito robada para realizar una compra y luego disputa el cargo como no autorizado.

Cómo prevenirlo:
Para protegerse contra el fraude por contracargos, las empresas deben verificar la identidad del cliente y asegurarse de que es el propietario legítimo de la tarjeta de crédito que se usó para efectuar la compra. Esto puede incluir solicitar una firma o un código CVV para transacciones sin tarjeta presente o la implementación de herramientas de detección del fraude como la verificación de dirección o la geolocalización de IP. Las empresas también deben tener una política clara de reembolsos y devoluciones, así como un proceso para gestionar las disputas por contracargos. Las empresas deben mantener registros claros de todas las transacciones, incluidos los recibos, la información de envío y las comunicaciones con los clientes, en caso de que necesiten aportar pruebas en una disputa por un contracargo.

Compromiso del correo electrónico empresarial

Qué es:
El compromiso del correo electrónico empresarial (BEC) es un tipo de fraude de pago en el que los correos electrónicos engañan a los empleados para que transfieran dinero a cuentas fraudulentas. En una estafa BEC, los actores fraudulentos obtienen acceso a una cuenta de correo electrónico comercial, a menudo a través de tácticas de phishing o ingeniería social, y la usan para enviar correos electrónicos a empleados o proveedores solicitando transferencias electrónicas u otros pagos.

Las estafas BEC pueden adoptar muchas formas. A menudo involucran a un actor fraudulento que se hace pasar por un ejecutivo o proveedor de alto nivel y solicita un pago o transferencia urgente. El correo electrónico puede parecer legítimo y utilizar la imagen de marca de la empresa y una dirección de correo electrónico conocida. Pero si el empleado sigue las instrucciones del correo electrónico, transferirá el dinero a una cuenta bancaria controlada por los estafadores.

Las estafas BEC pueden ser difíciles de detectar, ya que a menudo involucran tácticas de ingeniería social que explotan la confianza humana en la autoridad. Sin embargo, hay algunas señales que apuntan a una estafa BEC, como:

  • Solicitudes urgentes de pago
  • Instrucciones de pago inusuales
  • Correos electrónicos que contienen errores gramaticales u ortográficos inusuales

Cómo prevenirlo:
La protección contra BEC implica muchas de las mismas tácticas y mejores prácticas que las empresas ya deberían usar para protegerse contra otros tipos de fraude. Forma a los empleados para que sepan cómo reconocer y reportar correos electrónicos sospechosos e implementa protocolos de seguridad de correo electrónico sólidos, como la autenticación de dos factores y el cifrado.

Las empresas también deben contar con un proceso claro de aprobación de pagos que incluya la verificación de las instrucciones de pago a través de un canal secundario, como una llamada telefónica o una conversación en persona. Es una buena práctica tener un manual claro para las solicitudes internas, especialmente si implican mover dinero.

Por último, como con todo fraude, es importante controlar regularmente las cuentas bancarias en busca de actividades sospechosas y contar con un plan para responder a una estafa BEC, que incluya ponerse en contacto con las fuerzas del orden y notificar a los clientes o socios que puedan haberse visto afectados.

Fraude por tarjeta no presente

Qué es:
El fraude por tarjeta no presente (CNP) es un tipo de fraude de pagos que ocurre cuando un estafador utiliza información de una tarjeta de crédito robada para hacer compras sin presentar físicamente la tarjeta, generalmente en línea o por teléfono. El fraude con CNP se ha vuelto cada vez más común con el auge del comercio electrónico, y puede tener consecuencias financieras significativas para las empresas, que pueden ser responsables de contracargos o compras fraudulentas.

El fraude CNP generalmente ocurre cuando un actor fraudulento obtiene información de tarjetas de crédito robadas a través de brechas de datos u otros medios y usa esa información para realizar compras no autorizadas en línea. Otro método es cuando un actor fraudulento utiliza tácticas de ingeniería social, como el phishing, para obtener la información de la tarjeta directamente de la víctima.

Cómo prevenirlo:
Para protegerse contra el fraude de CNP, las empresas pueden tomar varias medidas, entre las que se incluyen:

  • Usar herramientas de detección del fraude, como la verificación de dirección o la geolocalización de IP, para verificar la identidad del cliente y detectar actividades sospechosas.
  • Implementar protocolos de autenticación sólidos, incluida la autenticación de dos factores y la tokenización, para proteger la información de la tarjeta.
  • Mantener registros claros y accesibles de todas las transacciones, incluida la información de envío y las comunicaciones con los clientes, en caso de disputas de contracargos.
  • Crear una política exhaustiva de reembolsos y devoluciones que se comunique claramente a los clientes, así como un proceso para gestionar los contracargos y las transacciones fraudulentas.

Ventajas de la protección antifraude

Las medidas de protección antifraude pueden aportar tranquilidad a las empresas, proteger sus activos financieros y los datos de los clientes, mejorar su reputación de cara a los clientes y aumentar el cumplimiento de la normativa. Pero hay más ventajas todavía. Este es un resumen de las ventajas clave que pueden aprovechar las empresas al implementar medidas de protección antifraude:

  • Protección de los activos financieros
    La protección antifraude ayuda a proteger los activos financieros de la empresa. El fraude de pagos puede ser costoso en incidentes aislados, pero a medida que las empresas crecen, el potencial de fraude a gran escala puede suponer una amenaza aún mayor. Al implementar medidas de protección antifraude, las empresas pueden reducir el riesgo de pérdida financiera y planificar el futuro de forma fiable.

  • Protección de los datos de los clientes
    Cuando las empresas invierten en adoptar medidas contundentes para la detección del fraude y la prevención, no solo se están protegiendo ellas mismas, sino que también salvaguardan a sus clientes. El fraude de pagos suele implicar el robo de datos de los clientes, tales como los números de la tarjeta de crédito y datos personales. Al implementar medidas de protección antifraude, las empresas pueden proteger los datos de sus clientes y generar confianza y fidelidad.

  • Mitigación de los contracargos
    Para las empresas, los contracargos pueden suponer no solo una pérdida de ingresos y de mercancías, sino también comisiones adicionales y sanciones, además de la pérdida de tiempo y energía que se dedica a arreglar el lío. Las medidas de protección antifraude pueden prevenir los contracargos al detectar e impedir las transacciones fraudulentas, y al aflorar las tendencias y vulnerabilidades de los contracargos.

  • Mantenimiento de la reputación y de la fidelidad de los clientes
    Al adoptar todas las medidas posibles para minimizar el fraude, se mejora la confianza de los clientes en la empresa. Incluso los casos aislados de fraude de pagos pueden dañar la reputación de una empresa, a veces de forma irreparable. Al implementar las medidas de protección antifraude, las empresas demuestran su compromiso con la seguridad. Esto es especialmente cierto en el caso de las plataformas y marketplaces, ya que sus clientes ponen en juego a sus propios clientes y su reputación.

  • Cumplimiento de la normativa
    Muchos sectores están sujetos a requisitos de la normativa para la seguridad y privacidad de los datos. Al implementar las medidas de protección antifraude, las empresas pueden cumplir con esta normativa, así como evitar sanciones y multas.

Por suerte, en la mayoría del hardware y software para aceptar pagos, hacer un seguimiento de los pedidos de los clientes y gestionar los datos financieros de una empresa, se incluyen protecciones antifraude sólidas, incluidos los que ofrece Stripe. Suele ser menos caro implementar estas medidas que pagar los posibles costes derivados del fraude de pagos.

Para obtener más información sobre cómo Stripe Radar protege los productos de Stripe mediante datos de millones de empresas globales para combatir de forma inteligente el fraude en todos los canales, empieza aquí.

El contenido de este artículo tiene solo fines informativos y educativos generales y no debe interpretarse como asesoramiento legal o fiscal. Stripe no garantiza la exactitud, la integridad, la adecuación o la vigencia de la información incluida en el artículo. Debes procurar el asesoramiento de un abogado o un contador competente con licencia para ejercer en tu jurisdicción si deseas obtener asistencia para tu situación particular.

¿A punto para empezar?

Crea una cuenta y empieza a aceptar pagos: no tendrás que firmar ningún contrato ni proporcionar datos bancarios. Si lo prefieres, puedes ponerte en contacto con nosotros y diseñaremos un paquete personalizado para tu empresa.
Radar

Radar

Combate el fraude con la solidez de la red de Stripe.

Documentación de Radar

Utiliza Stripe Radar para proteger tu empresa contra fraude.