El fraude es todo un desafío para las grandes empresas. Puedes ofrecer un producto muy codiciado, conseguir clientes fieles y mantener un servicio estelar de atención al cliente, pero nada de esto protege tu empresa contra los agentes fraudulentos que intentan acceder indebidamente a las cuentas de los usuarios. El Fraude de apropiación de cuentas es una de las formas más habituales de robo de identidad, la cual representó el 53 % de todo el fraude de cuentas en 2019. Se trata de un tipo de fraude que supone una enorme carga para las empresas. El fraude de apropiación de cuentas les costó a las empresas estadounidenses USD 25 600 millones en 2020; es decir, un 500 % más que en 2017, según Juniper Research. Este problema puede deteriorar la reputación de una empresa, así como la confianza que había conseguido desarrollar entre sus clientes.
Puesto que la cantidad de dinero perdido a causa de la apropiación de cuentas aumenta de año en año, las empresas en línea necesitan contar con un plan que les permita detectar y bloquear a los agentes fraudulentos antes de que ataquen. A continuación, te contamos lo que debes saber para detectar y prevenir el fraude de apropiación de cuentas.
¿Qué contiene este artículo?
- ¿Qué es el fraude de apropiación de cuentas (ATO)?
- Tipos de fraude de apropiación de cuentas
- Por qué el fraude de apropiación de cuentas es perjudicial para las empresas
- Maneras de detectar y prevenir el fraude de apropiación de cuentas
¿Qué es el fraude de apropiación de cuentas (ATO)?
El fraude de apropiación de cuentas, también denominado «fraude de usurpación de cuentas», se produce cuando un agente fraudulento asume el control de la cuenta de un cliente legítimo para obtener información sobre ella o retirar dinero. Puede tratarse de cualquier tipo de cuenta en línea, desde la del banco hasta la de un servicio de entrega de comida a domicilio. En función del tipo de cuenta de la que se apropie, el agente fraudulento puede utilizar la información extraída para suplantar al cliente y abrir otra cuenta bancaria, solicitar una tarjeta de crédito, canjear puntos de recompensa o realizar pedidos en sitios de compras o restaurantes en línea. También puede emplear esos datos para acceder a otras cuentas o vender la información a otros delincuentes.
Tipos de fraude de apropiación de cuentas
Según un estudio de Aite Group realizado en 2020, el 38 % de los consumidores afirman haber sido recientemente víctimas de un fraude de apropiación de cuentas. Este tipo de fraude puede adoptar diversas formas.
Suplantación de identidad (phishing)
Las estafas de phishing suelen producirse por correo electrónico o mensajes de texto. El cliente recibe un mensaje en el que le solicitan una donación o datos personales, o que haga clic en un enlace o archivo adjunto que automáticamente instala el malware en el dispositivo.Software malicioso (Malware)
El software malicioso, también denominado «malware», es un software intrusivo diseñado para dañar un dispositivo u obtener acceso no autorizado a este. Los troyanos son un tipo de software malicioso que toman el control del dispositivo de un usuario y permiten que los piratas informáticos intercepten información, como los datos de la cuenta bancaria o de la tarjeta de crédito. Los troyanos de banca móvil están diseñados expresamente para robar dinero de las cuentas bancarias; por lo general, muestran una página falsa que imita la aplicación bancaria del móvil y la utilizan para capturar la cuenta del usuario y sus datos de autorización.Relleno de credenciales
El uso de listas de credenciales de usuarios filtradas o robadas para acceder indebidamente a una cuenta se denomina «relleno de credenciales» (o «credential stuffing»). También recibe el nombre de «reutilización de credenciales robadas». Debido a que muchas personas utilizan las mismas combinaciones de nombre de usuario y contraseña en varias cuentas, una vez que el pirata informático descubre las credenciales de una cuenta, ya puede obtener acceso a varias de estas.Desciframiento de credenciales
La práctica de ir probando con distintas combinaciones de nombre de usuario y contraseña hasta que una de ellas permite abrir la cuenta se denomina «desciframiento (o cracking) de credenciales» o «ataque de fuerza bruta». Los estafadores suelen utilizar listas de contraseñas habituales creadas por bots para encontrar una que sea válida, o bien utilizan los bots para probar distintas combinaciones de caracteres aleatorios hasta que descubren la contraseña de un usuario.Ataques de intermediario
Los ataques de intermediario (MITM) tienen lugar cuando un agente fraudulento encuentra un modo de situarse entre el usuario y la aplicación (por ejemplo, un sitio de comercio electrónico o la aplicación bancaria móvil) a la que este intenta acceder. Un tipo habitual de ataque de intermediario consiste en instalar un punto de conexión wifi fraudulento y robar las credenciales de inicio de sesión, los datos de las cuentas y los números de las tarjetas de crédito de las personas que intentan conectarse a este.Secuestro de sesiones
El secuestro de sesiones consiste en tomar el control de la sesión cuando un usuario se conecta a un servicio en línea. Por ejemplo, si un usuario inicia sesión en su cuenta de una tienda en línea para realizar una compra, el secuestrador podría robar todos los datos de la tarjeta de crédito necesarios y realizar cargos fraudulentos en esta.Intercambio de tarjetas SIM
El intercambio de tarjetas SIM consiste en que el agente fraudulento se ponga en contacto con la empresa de telefonía móvil de la víctima y suplante a esta última para engañar al empleado del centro de llamadas y convencerlo de que pase el número de teléfono de la víctima a otra tarjeta SIM. Controlar el número de teléfono de la víctima permite al delincuente acceder a los datos bancarios o realizar transacciones que requieren autenticación mediante mensaje de texto.
Por qué el fraude de apropiación de cuentas es perjudicial para las empresas
Todos los tipos de actividad fraudulenta suponen un riesgo grave para las empresas en línea y el fraude de apropiación de cuentas no es una excepción. Desde problemas de retención de clientes hasta sanciones económicas, a continuación indicamos los tipos de perjuicios que el fraude puede acarrear para tu empresa.
Daño reputacional
La reputación de una empresa se puede ver gravemente dañada si se produce una vulneración de cuentas. A los clientes les interesa que sus datos personales y de otra índole se mantengan protegidos. Por eso, enterarse de un fraude de apropiación de cuentas en las redes sociales o en las noticias puede disuadirlos de abrir una cuenta en la empresa en la que haya ocurrido el fraude. El daño reputacional se produce a gran velocidad, pero se tarda mucho más en recuperarse de él.
Problemas de retención de clientes
Las noticias de un ataque de piratería informática pueden afectar también a los clientes existentes. Los que no se han visto afectados por la vulneración de la seguridad pueden asustarse y cerrar sus cuentas a modo de precaución. Según una encuesta global de Vodafone, el 89 % de las empresas afirman que mejorar la ciberseguridad mejoraría la fidelidad y confianza de los clientes.
Sanciones económicas
Las sanciones económicas asociadas con el fraude de apropiación de cuentas son acumulativas. Si un pirata informático efectúa una compra fraudulenta mediante la cuenta de un cliente, lo normal será que el propietario de esa cuenta reciba el reembolso del importe a través de la entidad emisora de la tarjeta de crédito después de que se conteste el reclamo. En cambio, la empresa que ha vendido los productos adquiridos pierde esos ingresos, pierde los productos que ha enviado al agente fraudulento y, casi siempre, debe abonar una comisión por contracargo al procesador de pagos. Si el fraude se produce más veces, puede resultar aún más caro. Si una empresa sufre una tasa de fraude elevada, podría tener que someterse a un programa de supervisión de contracargos en red. Además, se le podrían cobrar comisiones por procesamiento más elevadas. Incluso, el procesador de pagos podría dejar de hacer operaciones con ella.
Además de las comisiones por contracargo, el Reglamento General de Protección de Datos (RGPD) y otras leyes de protección de la privacidad pueden dar lugar a multas por no haber protegido los datos de los clientes. En virtud del RGPD, las multas son proporcionales según el caso. Sin embargo, incluso las empresas que han cometido infracciones menos severas pueden enfrentarse a multas de millones de euros.
Maneras de detectar y prevenir el fraude de apropiación de cuentas
La clave para proteger tu empresa del fraude de apropiación de cuentas es adoptar una actitud proactiva, no reactiva. Para ello, es preciso tomar medidas para detectar y bloquear a los agentes fraudulentos antes de que tengan la oportunidad de vulnerar la seguridad. Dado que las distintas formas de apropiación de cuentas se manifiestan de diferentes maneras, las empresas deben mantener siempre la vigilancia en términos de detección y prevención.
A continuación, compartimos algunas medidas que puedes adoptar para proteger tu empresa:
Supervisar los cargos en las cuentas
Hay algunas señales que pueden ser indicativas de determinados tipos de fraude. Por ejemplo, si los datos de varios clientes distintos cambian a la vez o si de pronto se actualizan varias cuentas con los mismos datos de cliente. Sin embargo, hay ataques más sofisticados que son más sutiles. En ese caso, se debe detectar un patrón de comportamiento; por ejemplo, si alguien actualiza lo datos de un cliente, enseguida inicia sesión desde un nuevo dispositivo y, a continuación, solicita productos para enviarlos a una dirección de entrega que antes no estaba registrada. Las herramientas de machine learning, como Stripe Radar, utilizan datos para ayudar a las empresas a distinguir a los agentes fraudulentos de los clientes reales y tienen la capacidad de adaptarse a nuevos patrones de fraude.
Algunos cambios simples que puedes implementar para facilitar la detección de apropiación de cuentas antes de que los agentes fraudulentos puedan llegar a causar un perjuicio incluyen pedir a los clientes que verifiquen su identidad antes de modificar los datos de las cuentas (mediante la autenticación en dos pasos) o notificar a los usuarios de inmediato cualquier cambio que se produzca en sus cuentas.
Marcar las incoherencias en los dispositivos
Otro aspecto clave para detectar el fraude consiste en vigilar si se vinculan dispositivos sospechosos a las cuentas de los usuarios. Por ejemplo, una señal de posibles vulneraciones de la seguridad es la existencia de varias cuentas vinculadas al mismo dispositivo o de cuentas que tienen una cantidad excepcionalmente elevada de dispositivos de modelos «desconocidos» debido a la suplantación de dispositivos (esto se refiere a hacerlos pasar por otro dispositivo a fin de ocultar su verdadera identidad o de engañar al sistema). Iniciar sesión con direcciones IP de varios países también puede señalar una actividad extraña. Utilizar el poder de las herramientas de machine learning para detectar de forma temprana estas incoherencias permite que la empresa ahorre tiempo y dinero más adelante.
Estas herramientas de machine learning están a disposición de todas las cuentas de Stripe, a fin de permitir que las empresas se desarrollen mientras se mantienen protegidas contra el fraude. Para comprender mejor cómo utiliza Stripe Radar los datos de cientos de miles de millones de dólares en pagos cada año para detectar con precisión y prevenir el fraude de apropiación de cuentas, puedes obtener más información aquí.
El contenido de este artículo tiene solo fines informativos y educativos generales y no debe interpretarse como asesoramiento legal o fiscal. Stripe no garantiza la exactitud, la integridad, adecuación o vigencia de la información incluida en el artículo. Si necesitas asistencia para tu situación particular, te recomendamos consultar a un abogado o un contador competente con licencia para ejercer en tu jurisdicción.