Explicación del fraude de usurpación de cuentas: qué es y cómo pueden prevenirlo las empresas

Radar
Radar

Fight fraud with the strength of the Stripe network.

Más información 
  1. Introducción
  2. ¿Qué es el fraude de usurpación de cuentas?
  3. Tipos de fraude de usurpación de cuentas
  4. Por qué el fraude de usurpación de cuentas es perjudicial para las empresas
  5. Maneras de detectar y prevenir el fraude de usurpación de cuentas

El fraude es todo un reto para las grandes empresas. Puedes ofrecer un producto muy codiciado, conseguir clientes fieles y mantener un servicio estelar de atención al cliente, pero nada de esto protege tu empresa contra los agentes fraudulentos que intentan acceder indebidamente a las cuentas de los usuarios. El fraude de usurpación de cuentas es una de las formas más habituales de robo de identidades; no en vano representó el 53 % de todo el fraude de cuentas en 2019. Se trata de una lacra que supone una enorme carga para las empresas. El fraude de usurpación de cuentas costó a las empresas estadounidenses 25.600 millones de dólares en 2020; es decir, un 500 % más que en 2017, según Juniper Research (en inglés). Este problema puede deteriorar la reputación de una empresa, así como la confianza que había conseguido desarrollar entre sus clientes.

Puesto que la cantidad de dinero perdido a causa de la usurpación de cuentas aumenta de año en año, las empresas en línea necesitan contar con un plan que les permita detectar y bloquear a los agentes fraudulentos antes de que ataquen. A continuación, te contamos lo que debes saber para detectar y prevenir el fraude de usurpación de cuentas.

¿De qué trata este artículo?

  • ¿Qué es el fraude de usurpación de cuentas?
  • Tipos de fraude de usurpación de cuentas
  • Por qué el fraude de usurpación de cuentas es perjudicial para las empresas
  • Maneras de detectar y prevenir el fraude de usurpación de cuentas

¿Qué es el fraude de usurpación de cuentas?

El fraude de usurpación de cuentas, también denominado «fraude de apropiación de cuentas», se produce cuando un agente fraudulento asume el control de la cuenta de un cliente legítimo para obtener información sobre ella o retirar dinero. Puede tratarse de cualquier tipo de cuenta en línea, desde la del banco hasta la de un servicio de entrega de comida a domicilio. En función del tipo de cuenta de la que se apropie, el agente fraudulento puede utilizar la información extraída para suplantar al cliente y abrir otra cuenta bancaria, solicitar una tarjeta de crédito, canjear puntos de recompensa o realizar pedidos en sitios de compras o restaurantes en línea. También puede emplear esos datos para acceder a otras cuentas o vender la información a otros delincuentes.

Tipos de fraude de usurpación de cuentas

Según un estudio de Aite Group realizado en 2020, el 38 % de los consumidores afirman haber sido recientemente víctimas de un fraude de usurpación de cuentas. Este tipo de fraude puede adoptar diversas formas.

  • Phishing
    Las estafas de phishing suelen producirse por correo electrónico o mensajes de texto. El cliente recibe un mensaje en el que le solicitan una donación o información personal, o que haga clic en un enlace o elemento adjunto que automáticamente instala el software malintencionado en el dispositivo.

  • Software malicioso
    El software malicioso, también denominado «malware», es un software intrusivo diseñado para dañar un dispositivo u obtener acceso no autorizado a él. Los troyanos son un tipo de software malicioso que se hacen con el control del dispositivo de un usuario y permiten que los piratas informáticos intercepten información, como los datos de la cuenta bancaria o de la tarjeta de crédito. Los troyanos de banca móvil están diseñados expresamente para robar dinero de las cuentas bancarias; por lo general, muestran una página falsa que imita la aplicación bancaria del móvil y la utilizan para capturar la cuenta del usuario y sus datos de autorización.

  • Relleno de credenciales
    El uso de listas de credenciales de usuarios filtradas o robadas para acceder indebidamente a una cuenta se denomina «relleno de credenciales» (o «credential stuffing»). También recibe el nombre de «reutilización de credenciales robadas». Debido a que muchas personas utilizan las mismas combinaciones de nombre de usuario y contraseña en varias cuentas, una vez que el pirata informático descubre las credenciales de una cuenta, ya puede obtener acceso a varias de ellas.

  • Desciframiento de credenciales
    La práctica de ir probando con distintas combinaciones de nombre de usuario y contraseña hasta que una de ellas permite abrir la cuenta se denomina «desciframiento (o cracking) de credenciales» o «ataque de fuerza bruta». Los estafadores suelen utilizar listas de contraseñas habituales creadas por bots para encontrar una que sea válida, o bien utilizan los bots para probar distintas combinaciones de caracteres aleatorios hasta que descubren la contraseña de un usuario.

  • Ataques de intermediario
    Los ataques de intermediario tienen lugar cuando un agente fraudulento encuentra un modo de situarse entre el usuario y la aplicación (por ejemplo, un sitio de e-commerce o la aplicación bancaria para el móvil) a la que este intenta acceder. Un tipo habitual de ataque de intermediario consiste en instalar un punto de conexión wifi fraudulento y robar las credenciales de inicio de sesión, los datos de las cuentas y los números de las tarjetas de crédito de las personas que intentan conectarse a él.

  • Secuestro de sesiones
    El secuestro de sesiones consiste en hacerse con el control de la sesión cuando un usuario se conecta a un servicio en línea. Por ejemplo, si un usuario inicia sesión en su cuenta de una tienda en línea para realizar una compra, el secuestrador podría robar todos los datos de la tarjeta de crédito necesarios y realizar cargos fraudulentos en ella.

  • Intercambio de tarjetas SIM
    El intercambio de tarjetas SIM consiste en que el agente fraudulento se ponga en contacto con la compañía de telefonía móvil de la víctima y suplante a esta última para engañar al empleado del centro de llamadas y convencerlo de que pase el número de teléfono de la víctima a otra tarjeta SIM. Controlar el número de teléfono de la víctima permite al delincuente acceder a los datos bancarios o realizar transacciones que requieren autenticación mediante mensaje de texto.

Por qué el fraude de usurpación de cuentas es perjudicial para las empresas

Todos los tipos de actividad fraudulenta suponen un riesgo grave para las empresas en línea y el fraude de usurpación de cuentas no es ninguna excepción. Desde problemas de retención de clientes hasta sanciones económicas, a continuación indicamos los tipos de perjuicios que el fraude puede acarrear para tu empresa.

Daño reputacional
La reputación de una empresa se puede ver gravemente dañada si se produce una filtración de cuentas. A los clientes les interesa que sus datos personales y de otra índole se mantengan protegidos. Por eso, enterarse de un fraude de usurpación de cuentas en las redes sociales o en las noticias puede disuadirlos de abrir una cuenta en la empresa de que se trate. El daño reputacional se produce a gran velocidad, pero se tarda mucho más en recuperarse de él.

Problemas de retención de clientes
Las noticias de un ataque de piratería informática pueden afectar también a los clientes existentes. Los que no se han visto afectados por la filtración pueden asustarse y cerrar sus cuentas a modo de precaución. Según una encuesta mundial de Vodafone, el 89 % de las empresas afirman que mejorar la ciberseguridad mejoraría la fidelidad y confianza de los clientes.

Sanciones económicas
Las sanciones económicas asociadas con el fraude de usurpación de cuentas son acumulativas. Si un pirata informático efectúa una compra fraudulenta mediante la cuenta de un cliente, lo normal será que el propietario de esa cuenta reciba el reembolso del importe a través de la entidad emisora de la tarjeta de crédito una vez contrastada la reclamación. En cambio, la empresa que ha vendido los productos adquiridos pierde esos ingresos, pierde los productos que ha enviado al agente fraudulento y, casi siempre, ha de abonar una comisión de contracargo al procesador de pagos. Si el fraude se produce más veces, puede resultar aún más caro. Si una empresa sufre una tasa de fraude elevada, podría tener que someterse a un programa de supervisión de contracargos en red. Además, se le podrían cobrar comisiones de procesamiento más elevadas. Incluso, el procesador de pagos podría dejar de hacer operaciones con ella.

Además de las comisiones de contracargo, el Reglamento General de Protección de Datos (RGPD) y otras leyes de protección de la privacidad pueden dar lugar a multas por no haber protegido los datos de los clientes. En virtud del RGPD, las multas son proporcionales al caso. Sin embargo, incluso las empresas que han cometido infracciones menos severas pueden enfrentarse a multas de millones de euros.

Maneras de detectar y prevenir el fraude de usurpación de cuentas

La clave para proteger tu empresa del fraude de usurpación de cuentas es adoptar una actitud proactiva, no reactiva. Para ello, es preciso tomar medidas para detectar y bloquear a los agentes fraudulentos antes de que tengan la oportunidad de cometer una infracción. Dado que las distintas formas de usurpación de cuentas se manifiestan de diferentes maneras, las empresas deben mantener siempre la vigilancia en términos de detección y prevención.

A continuación facilitamos algunas medidas que puedes adoptar para proteger tu empresa:

Supervisar los cargos en las cuentas
Hay algunas señales que pueden ser indicativas de determinados tipos de fraude. Por ejemplo, si los datos de varios clientes distintos cambian a la vez o si de pronto se actualizan varias cuentas con los mismos datos de cliente. Sin embargo, hay ataques más sofisticados que son más sutiles. En ese caso, hay que detectar un patrón de comportamiento; por ejemplo, si alguien actualiza lo datos de un cliente, enseguida inicia sesión desde un nuevo dispositivo y, a continuación, solicita productos para enviarlos a una dirección de entrega que antes no estaba registrada. Las herramientas de machine learning, como Stripe Radar, utilizan datos para ayudar a las empresas a distinguir a los agentes fraudulentos de los clientes reales y tienen la capacidad de adaptarse a nuevos patrones de fraude.

Algunos cambios simples que puedes implementar para facilitar la detección de usurpaciones de cuentas antes de que los agentes fraudulentos puedan llegar a causar un perjuicio incluyen pedir a los clientes que verifiquen su identidad antes de modificar los datos de las cuentas (mediante la autenticación en dos pasos) o notificar a los usuarios de inmediato cualquier cambio que se produzca en sus cuentas.

Marcar las incoherencias en materia de dispositivos
Otro aspecto clave para detectar el fraude consiste en vigilar si se vinculan dispositivos sospechosos a las cuentas de los usuarios. Por ejemplo, es indicativa de posibles infracciones la existencia de varias cuentas vinculadas al mismo dispositivo o de cuentas que tienen una cantidad excepcionalmente elevada de dispositivos de modelos «desconocidos» debido a la suplantación de dispositivos (esto se refiere a hacerlos pasar por otro dispositivo a fin de ocultar su verdadera identidad o de engañar al sistema). Iniciar sesión con direcciones IP de varios países también puede señalar una actividad extraña. Utilizar el poder de las herramientas de machine learning para detectar precozmente estas incoherencias ahorra a la empresa tiempo y dinero más adelante.

Estas herramientas están a disposición de todas las cuentas de Stripe, a fin de permitir a las empresas desarrollarse mientras se mantienen protegidas contra el fraude. Para comprender mejor cómo utiliza Stripe Radar los datos de cientos de miles de millones de dólares en pagos cada año para detectar con precisión y prevenir el fraude de usurpación de cuentas, puedes obtener más información aquí.

¿Todo listo para empezar?

Crea una cuenta y empieza a aceptar pagos: no tendrás que firmar ningún contrato ni proporcionar datos bancarios. Si lo prefieres, puedes ponerte en contacto con nosotros y diseñaremos un paquete personalizado para tu empresa.