Los pagos mediante la ACH (Cámara de Compensación Automatizada) son pagos electrónicos que mueven fondos entre cuentas bancarias utilizando la red de la ACH en Estados Unidos. Este sistema está gestionado por Nacha y facilita una variedad de pagos, incluidos los depósitos directos de empleadores, pagos a contratistas, débitos automáticos de facturas y transferencias entre personas.
Al igual que otros tipos de pagos electrónicos, las transferencias de la ACH son vulnerables al fraude. En 2022, el 30 % de las organizaciones informó haber enfrentado este tipo de actividad fraudulenta, frente al 24 % de 2021. Esta guía explica lo que necesitas saber sobre el fraude mediante la ACH, incluidos los métodos de fraude más frecuentes, la responsabilidad en caso de fraude mediante la ACH y cómo prevenirlo y detectarlo.
¿Qué contiene este artículo?
- Tipos de fraude mediante la ACH
- Cómo rastrear pagos de ACH
- Responsabilidad en el fraude mediante la ACH
- Detección de fraude mediante la ACH
- Prevención de fraude mediante la ACH
Tipos de fraude mediante la ACH
El fraude mediante la ACH incluye una variedad de tácticas que explotan el proceso de transferencias electrónicas de fondos dentro de la red de ACH. A continuación, se presentan los diferentes tipos de fraude mediante la ACH y los métodos más frecuentes que se utilizan para perpetrarlo.
Tipos de transacciones ACH fraudulentas
La mayoría de los casos de fraude mediante la ACH se producen cuando actores fraudulentos utilizan débitos de ACH para transferir fondos a cuentas que controlan o a las que tienen acceso. Lo hacen obteniendo acceso no autorizado a los datos bancarios de la víctima o manipulando los sistemas de pago existentes para enviar fondos no autorizados a sus propias cuentas. Los actores fraudulentos también pueden emplear tácticas a largo plazo para evitar la detección, insertándose poco a poco en los flujos de trabajo o sistemas financieros.
Débitos no autorizados
Los actores fraudulentos pueden iniciar débitos no autorizados cuando obtienen el número de cuenta bancaria y el número de enrutamiento bancario de la víctima, que luego pueden usar para retirar fondos de esa cuenta. Pueden adquirir estos datos mediante ataques de phishing, filtraciones de datos o interceptando documentos físicos como cheques.
Ejecución: Una vez que tienen los datos de la cuenta, los actores fraudulentos pueden iniciar débitos de ACH haciéndose pasar por el titular de la cuenta u otras entidades legítimas autorizadas para retirar fondos. Estas transacciones pueden ser pequeñas para evitar la detección.
Detección y prevención: Los clientes y los bancos pueden usar herramientas como filtros y bloqueos de ACH que permiten a los titulares de cuentas especificar qué personas y entidades están autorizadas a realizar débitos. Los clientes deben monitorear regularmente sus cuentas para detectar cualquier transacción no autorizada.
Apropiación de cuentas
La apropiación de cuentas tiene lugar cuando actores fraudulentos obtienen acceso no autorizado a las plataformas digitales de una cuenta bancaria. Los ciberdelincuentes pueden usar malware, phishing o keylogging para robar credenciales de inicio de sesión.
Ejecución: Usando las credenciales de inicio de sesión, el actor fraudulento puede ingresar a la cuenta bancaria e iniciar transferencias de ACH hacia otras cuentas que controle.
Detección y prevención: Minimiza el riesgo de apropiación de cuentas implementando autenticación multifactor (MFA) para acceder a las plataformas bancarias y medidas de seguridad avanzadas como biometría conductual, además de capacitar a los empleados en prácticas de ciberseguridad.
Fraude por inflado de saldos en ACH
El fraude por inflado de saldos en ACH se produce cuando actores fraudulentos aprovechan el desfase entre la iniciación de la transferencia de ACH y el momento en que los fondos se debitan o acreditan, lo que crea efectivamente un saldo falso.
Ejecución: Los actores fraudulentos transfieren fondos entre cuentas que controlan en distintos bancos para inflar artificialmente el saldo antes de que las transacciones se liquiden, lo que les permite retirar o gastar dinero que no existe.
Detección y prevención: Los bancos pueden usar herramientas para analizar patrones que podrían indicar fraude por inflado de saldos, como transferencias frecuentes entre bancos de sumas redondas. También pueden implementar verificaciones reforzadas para la liberación de fondos.
Pagos falsos
Este esquema consiste en enviar facturas fraudulentas a empresas o manipular instrucciones de pago existentes para desviar pagos hacia cuentas controladas por actores fraudulentos.
Ejecución: Haciéndose pasar por proveedores legítimos o creando órdenes completamente ficticias, los actores fraudulentos convencen a las empresas de realizar pagos de ACH a cuentas erróneas.
Detección y prevención: Las empresas deben verificar los cambios en los datos de pago con contactos conocidos a través de un canal de comunicación seguro y separado. La capacitación regular de los empleados en la revisión de facturas y solicitudes de pago puede prevenir este tipo de fraude.
Tácticas comunes de fraude mediante la ACH
Los actores fraudulentos pueden utilizar los siguientes métodos para obtener acceso a los datos necesarios para cometer fraude o convencer a partes autorizadas de iniciar débitos hacia sus cuentas. También pueden explotar debilidades en diferentes sistemas (bancarios, de correo electrónico, de almacenamiento de datos) para organizar un ataque múltiple, lo que dificulta que las empresas y los bancos rastreen y prevengan el fraude.
Robo de datos
Un actor fraudulento intercepta o roba información de clientes que puede usar para iniciar transacciones fraudulentas. Esto puede implicar la piratería de bases de datos de una empresa, el robo físico de documentos o el uso de técnicas de ingeniería social para recopilar datos sensibles.
Ejecución: Una vez que los actores fraudulentos tienen suficientes datos, pueden usarlos para iniciar transacciones fraudulentas de ACH o venderlos en el mercado negro.
Detección y prevención: Las empresas pueden protegerse contra el robo de datos cifrando la información sensible, aplicando prácticas estrictas de seguridad informática y realizando auditorías de seguridad de forma periódica. También deben asegurarse de que los documentos físicos se almacenen y eliminen de manera segura.
Estafas de phishing
El phishing se produce cuando actores fraudulentos engañan al objetivo para que revele información sensible como credenciales de inicio de sesión y números de cuenta, generalmente mediante correos electrónicos o sitios web falsos que imitan a entidades legítimas.
Ejecución: Una vez obtenida la información, los actores fraudulentos pueden usarla para accesos y transacciones no autorizadas, incluidos débitos de ACH.
Detección y prevención: Educar a los usuarios para que reconozcan intentos de phishing y verifiquen la autenticidad de las solicitudes de información sensible puede reducir el riesgo. Las empresas también deberían considerar la implementación de filtros de correo electrónico y protocolos de seguridad para detectar y bloquear mensajes de phishing.
Vulneración del correo electrónico empresarial (BEC)
En esta estafa sofisticada, los actores fraudulentos usan tácticas de phishing para hacerse pasar por ejecutivos de la empresa o proveedores.
Ejecución: Los actores fraudulentos pueden falsificar o interceptar correos electrónicos que ordenan al personal de finanzas cambiar la información de cuenta destinada a pagos de ACH, con lo cual dichos pagos se redirigen a cuentas que ellos controlan, o bien se solicita iniciar transferencias hacia cuentas fraudulentas.
Detección y prevención: Los procedimientos de verificación, como la aprobación secundaria por parte de otro empleado, pueden ayudar a prevenir este tipo de fraude. Los empleados deben estar capacitados para reconocer intentos de phishing y desconfiar de cambios en los datos de pago que se comuniquen únicamente por correo electrónico.
Amenazas internas
A veces, personas dentro de una organización (como empleados o contratistas) pueden hacer un uso indebido de sus privilegios con fines de lucro personal.
Ejecución: Los internos pueden iniciar transacciones no autorizadas o alterar la información de las cuentas para desviar fondos.
Detección y prevención: Las auditorías periódicas, la segregación de funciones y el monitoreo de actividades inusuales pueden ayudar a mitigar este riesgo. También resulta importante fomentar una cultura de seguridad y de comportamiento ético.
Cómo rastrear pagos de ACH
El rastreo de pagos de ACH puede ayudar a resolver problemas como la falta de acreditación de fondos, errores o sospechas de fraude. Cuanto antes se inicie el rastreo, más fácil será obtener los detalles con precisión.
Recopilar información
Para rastrear un pago de ACH, empieza por recopilar toda la información relevante sobre la transacción de ACH, incluido el monto de la transacción, la fecha, el ID de transacción o número de referencia, y los números de cuenta y los nombres de los bancos de origen y destino.
Contactar al banco
Contacta al banco donde se inició la transacción (si eres el emisor) o al banco al que se enviaron los fondos (si eres el receptor). Las llamadas telefónicas suelen ser más efectivas que los correos electrónicos en casos urgentes. Proporciona al banco todos los detalles de la transacción.
Iniciar el rastreo
Es probable que tu banco te pida completar un formulario para solicitar formalmente un rastreo. Este formulario se envía a través de la red de ACH al otro banco involucrado en la transacción y permite verificar si la transacción fue procesada correctamente por cada banco, el estado actual de la transacción y en qué punto se produjeron discrepancias o errores. Algunos bancos pueden cobrar comisiones por los servicios de rastreo.
Los rastreos de ACH pueden demorar varios días hábiles en completarse. Haz un seguimiento periódico para verificar el avance del rastreo.
Revisar los resultados
Una vez finalizado el rastreo, los bancos involucrados proporcionarán un informe en el que se detallará el recorrido de la transacción y cualquier problema que haya surgido. Si hubo un error, los bancos pueden corregirlo reprocesando la transacción o realizando los ajustes necesarios en los saldos de las cuentas. Documenta todas las comunicaciones y los resultados del rastreo. Esta documentación puede ayudarte a resolver disputas y servir como prueba si resulta necesario iniciar acciones legales.
Responsabilidad en el fraude mediante la ACH
La cuestión de la responsabilidad en el fraude mediante la ACH dependerá de las particularidades de cada caso, aunque la normativa suele ser favorable a los consumidores e impone requisitos más estrictos a las empresas y a los bancos. Leyes como la Ley de Transferencia Electrónica de Fondos (EFTA) en EE. UU. limitan considerablemente la responsabilidad de los consumidores en transacciones electrónicas no autorizadas, siempre que los titulares de las cuentas actúen dentro de los plazos estipulados. Las empresas podrían estar obligadas a asumir el costo del fraude si no pueden demostrar que contaban con controles adecuados, y los bancos podrían ser responsables si sus procedimientos de seguridad se consideran insuficientes o si no cumplen con los protocolos acordados.
En muchos casos, la resolución de la responsabilidad en escenarios de fraude mediante la ACH puede requerir negociaciones entre las partes afectadas e incluso intervención legal para determinar la culpa. Implementar medidas sólidas de prevención y mantener procedimientos claros y documentados para gestionar transacciones electrónicas puede ayudar a las organizaciones a reducir riesgos y a definir responsabilidades en caso de fraude.
Así es como suele asignarse la responsabilidad en situaciones frecuentes, como débitos no autorizados, BEC o toma de control de cuentas.
Débitos no autorizados
Regulaciones como la EFTA de EE. UU. exigen que el banco del cliente reembolse al cliente los débitos no autorizados, siempre que el cliente denuncie la transacción no autorizada dentro de los 60 días posteriores al estado de cuenta en el que figure el débito.
Vulneración del correo electrónico empresarial (BEC)
En los casos de BEC, la responsabilidad suele recaer en la empresa cuyo empleado autorizó la transferencia fraudulenta, en especial si el empleado actuó con negligencia y no siguió los procedimientos internos de seguridad.
Apropiación de cuenta
Los clientes, en general, no son responsables de las transacciones fraudulentas que resulten de una apropiación de cuenta si notifican al banco con la debida anticipación. Los bancos pueden asumir la responsabilidad si no implementaron medidas de seguridad razonables.
Robo de datos
Cuando se produce una vulneración de los datos de una empresa, esta puede ser considerada responsable si actuó con negligencia al proteger su información. La negligencia puede incluir no cumplir con las normas de seguridad del sector o no aplicar medidas preventivas adecuadas.
Estafas de phishing
Si un cliente es víctima de una estafa de phishing y denuncia transacciones no autorizadas con la debida anticipación, el banco suele cubrir las pérdidas. Sin embargo, si el cliente actuó con negligencia grave (p. ej., compartiendo NIP o contraseñas), puede asumir parte o la totalidad de la pérdida.
Amenazas internas
La organización en la que opera el responsable interno suele ser la que asume la responsabilidad de estas pérdidas, especialmente si la falta de controles o supervisión facilitó el fraude. En algunos casos, los bancos pueden emprender acciones contra el autor directo.
Fraude por inflado de saldos en ACH
El autor del fraude por inflado de saldos en ACH puede ser considerado responsable del fraude. Los bancos también pueden enfrentar responsabilidad si no detectaron ni detuvieron la actividad sospechosa por no contar con sistemas de monitoreo adecuados.
Pagos falsos
La responsabilidad puede recaer en la entidad que no verificó la autenticidad de la orden de pago o de la factura, en particular si no realizó la diligencia debida. Por lo general, los bancos no son responsables si procesaron la transacción conforme a las instrucciones recibidas.
Detección de fraudes mediante la ACH
Detectar fraudes mediante la ACH exige monitoreo, revisión e intercambio de información constantes. Esto es lo que debes saber.
Monitoreo de transacciones
Implementa software especializado que analice de manera continua tus transacciones de ACH frente a líneas de base y patrones históricos establecidos. El aprendizaje automático y la inteligencia artificial pueden aprender el comportamiento típico de pagos de tu empresa y señalar transacciones potencialmente sospechosas con base en patrones complejos que una persona podría pasar por alto. Lo siguiente puede ser señal de fraude potencial:
Direcciones IP o dispositivos inusuales asociados a las transacciones
Desviaciones en el volumen o los montos frente a los promedios históricos
Pagos a beneficiarios nuevos, en especial en ubicaciones geográficas de alto riesgo
Horarios irregulares de transacción (fuera del horario laboral estándar)
Solicitudes urgentes (p. ej., correos o llamadas que exigen acción inmediata) que presionan para agilizar pagos o enviar dinero a cuentas desconocidas
Discrepancias en nombres, números de cuenta u otros datos dentro de una solicitud de pago
Procedimientos de revisión
Examen manual de transacciones de alto riesgo: Revisa con cuidado las transacciones que señalan tus herramientas de monitoreo. Personal dedicado debe comprobar irregularidades en datos del beneficiario, historial de pagos y comunicaciones asociadas.
Auditorías aleatorias: Realiza auditorías aleatorias sobre un subconjunto de transacciones de ACH. Aunque no detectes fraude, saber que una empresa revisa de cerca puede disuadir a actores maliciosos.
Análisis de devoluciones de ACH: Supervisa de cerca las devoluciones de ACH. Tasas altas de devolución pueden indicar débitos no autorizados o datos fraudulentos del beneficiario. Analiza los motivos de devolución y busca patrones.
Prácticas de Conoce a tu Cliente (KYC)
Verificación de clientes: Antes de iniciar pagos recurrentes o agregar beneficiarios nuevos, realiza la debida diligencia. Verifica direcciones y la legitimidad empresarial y contrasta con listas de sanciones y bases de datos de fraude.
Monitoreo de la relación: Controla con regularidad cambios en el comportamiento del destinatario, el estilo de comunicación o la información bancaria actualizada que puedan indicar una cuenta vulnerada.
Intercambio de información
Colaboración con el banco: Mantén una comunicación abierta con el departamento de prevención de fraude de tu banco. Ellos pueden alertarte sobre patrones de fraude emergentes y colaborar en las investigaciones.
Redes del sector: Únete a asociaciones del sector y a redes de prevención de fraude. Compartir inteligencia sobre amenazas y buenas prácticas ayuda a que todos se mantengan un paso adelante de los actores fraudulentos.
Plan de respuesta ante fraude
No esperes a que ocurra un incidente para decidir qué hacer. Diseña de forma proactiva un plan que incluya los siguientes pasos:
A quién contactar en tu banco
Protocolos internos de denuncia e investigación
Medidas para mitigar daños adicionales (p. ej., congelar cuentas, cambiar credenciales)
Requisitos para la participación de las fuerzas de seguridad
Prevención de fraude mediante la ACH
El fraude mediante la ACH representa una amenaza significativa para las empresas, que incluye pérdida de fondos y daño reputacional. Aquí verás cómo reforzar tus defensas y prevenir intentos de fraude mediante la ACH.
Autenticación multifactor (MFA): Exige MFA para todos los inicios de sesión y transacciones financieras. Requiere un paso de verificación adicional más allá de un nombre de usuario y una contraseña. Esto reduce el riesgo de accesos no autorizados incluso si las credenciales de inicio de sesión se ven vulneradas.
Pagos preautorizados: Este sistema de verificación de débitos de ACH permite a las empresas preautorizar destinatarios y montos legítimos para débitos de ACH. Cualquier desviación activa alertas para revisión antes del procesamiento, lo que evita retiros fraudulentos.
Capacitación del personal: Capacita al personal para reconocer intentos de phishing, tácticas de ingeniería social y señales de alerta asociadas con el fraude mediante la ACH. Edúcalos en los procedimientos adecuados para gestionar transacciones de ACH y denunciar actividades sospechosas.
Segregación de funciones: Implementa un sistema en el que distintos empleados se encarguen de tareas como iniciar pagos, aprobar transacciones y conciliar cuentas. Esto reduce el riesgo de que un solo empleado manipule el sistema con fines fraudulentos.
Monitoreo en tiempo real: Utiliza herramientas de monitoreo de transacciones en tiempo real para identificar anomalías y actividades sospechosas y detenerlas antes de que se procesen.
Procedimientos de conciliación: Establece procedimientos de conciliación exhaustivos para comparar los pagos previstos con los débitos y créditos reales. Revisa periódicamente los estados de cuenta bancarios e identifica cualquier discrepancia que pueda indicar actividad fraudulenta.
Cifrado de datos: Asegúrate de que todos los datos sensibles, incluida la información de cuentas y los registros financieros, estén protegidos mediante cifrado tanto en reposo como en tránsito. Esto dificulta mucho más que actores fraudulentos roben información valiosa incluso si logran vulnerar tus sistemas.
Controles de acceso: Implementa controles de acceso estrictos para los datos financieros y los sistemas de procesamiento de ACH. Concede acceso únicamente en función de la necesidad de conocer y aplica políticas de contraseñas seguras con cambios periódicos.
Servicios de prevención de fraude: Considera asociarte con especialistas en prevención de fraude que ofrezcan inteligencia avanzada sobre amenazas y servicios de monitoreo. Estos servicios pueden aportar capas adicionales de seguridad y experiencia en la detección de intentos de fraude sofisticados.
Participación en la red de ACH: Participa en iniciativas de mitigación de riesgos de la red de ACH. Estas iniciativas ofrecen recursos y herramientas para identificar amenazas emergentes y buenas prácticas para combatir el fraude mediante la ACH.
El contenido de este artículo tiene solo fines informativos y educativos generales y no debe interpretarse como asesoramiento legal o fiscal. Stripe no garantiza la exactitud, la integridad, adecuación o vigencia de la información incluida en el artículo. Si necesitas asistencia para tu situación particular, te recomendamos consultar a un abogado o un contador competente con licencia para ejercer en tu jurisdicción.