Ataques a tarjetas de crédito en Japón: qué son y cómo prevenirlos

Radar
Radar

Descubre cómo combatir el fraude con la eficacia de la red de Stripe.

Más información 
  1. Introducción
  2. ¿Qué es un ataque a una tarjeta de crédito?
    1. La técnica de robo de números de tarjetas de créditos
    2. Daños por ataques a tarjetas de crédito
  3. ¿Cómo afectan los ataques a tarjetas de crédito a las empresas en Japón?
    1. Aumento de los gastos de procesamiento debido a la gran cantidad de solicitudes de autorización
    2. Pérdida de oportunidades de venta y quejas de los clientes
    3. Suspensión de pagos con tarjeta de crédito
    4. Pérdida de confianza del cliente y propagación de daños
  4. ¿Cómo pueden las empresas en Japón prevenir los ataques a tarjetas de crédito?
    1. 3D Secure
    2. Herramientas de medidas de protección contra bots
    3. Sistemas de detección de fraude
    4. Límites a las entradas de información de la tarjeta
  5. ¿Cómo afectan los ataques a tarjetas de crédito a los titulares de tarjetas?
    1. Uso fraudulento de tarjeta no detectado
    2. Nueva emisión de la tarjeta
  6. ¿Cómo pueden los titulares de tarjetas prevenir los ataques a tarjetas de crédito?
    1. Prevención de ataques a tarjetas de crédito
    2. Cómo recuperarse de un ataque maestro de crédito
  7. Preguntas frecuentes sobre los ataques a tarjetas de crédito
    1. ¿Cuándo se actualiza el extracto de una tarjeta de crédito?
    2. ¿Es posible que solo se pueda hacer un uso indebido del número de la tarjeta de crédito?
    3. ¿Cuándo será obligatorio 3D Secure para las tarjetas de crédito?
  8. Lo que hay que saber sobre los ataques a tarjetas de crédito
  9. Empieza a usar Stripe 

Un ataque a una tarjeta de crédito es un acto delictivo en el que alguien obtiene y utiliza, de manera ilegal, la información de la tarjeta de crédito de otra persona. Los ataques a tarjetas de crédito están aumentando en Japón y tienen un efecto significativo en las empresas y los titulares de tarjetas. Debido a esto, es necesario utilizar medidas para prevenir este tipo de ataques.

En este artículo, explicamos los ataques a tarjetas de crédito, el daño que pueden causar y las medidas de protección que las empresas y los titulares de tarjetas pueden utilizar para evitarlos.

¿Qué contiene este artículo?

  • ¿Qué es un ataque a una tarjeta de crédito?
  • ¿Cómo afectan los ataques a las tarjetas de crédito a las empresas en Japón? 
  • ¿Cómo pueden las empresas en Japón prevenir los ataques a las tarjetas de crédito?
  • ¿Cómo afectan los ataques a tarjetas de crédito a los titulares de tarjetas?
  • ¿Cómo pueden los titulares de tarjetas prevenir los ataques a tarjetas de crédito?
  • Preguntas frecuentes sobre los ataques a tarjetas de crédito
  • Lo que hay que saber acerca de los ataques a tarjetas de crédito

¿Qué es un ataque a una tarjeta de crédito?

Un ataque a una tarjeta de crédito es un método de fraude de tarjetas de crédito que utiliza la coherencia de los dígitos de los números de las tarjetas de crédito para obtener, de manera ilegal, los números de las tarjetas. En un ataque a una tarjeta de crédito, el atacante utiliza un programa o software que genera automáticamente números aleatorios. Estos números se prueban para identificar números de tarjetas y códigos de seguridad válidos.

Los atacantes utilizan las páginas de pago de los sitios de e-commerce para determinar si estos números generados por la máquina son o no números de tarjetas de crédito válidos. Si una página de pago acepta un pago con tarjeta de crédito utilizando estos números, el número de tarjeta y el código de seguridad se consideran válidos. Entonces corren el riesgo de ser utilizados de manera fraudulenta en varios otros sitios de e-commerce.

A continuación te presentamos una explicación detallada de los métodos específicos utilizados en un ataque a una tarjeta de crédito:

La técnica de robo de números de tarjetas de créditos

Un ataque a una tarjeta de crédito implica la generación automática de números basados en la regularidad del número de la tarjeta de crédito.

De acuerdo con el estándar internacional de la Organización Internacional de Normalización/Comisión Electrotécnica Internacional (ISO/IEC) 7812, los números de las tarjetas de crédito se componen de lo siguiente:

  • Un número de identificación del emisor (IIN): a veces también se denomina número de identificación del banco (BIN) e incluye los primeros seis dígitos.

  • Un número de cuenta de miembro: este número está conformado por los dígitos del séptimo al penúltimo.

  • Un dígito de control: este es el último dígito.

Mediante un algoritmo especial, el dígito de control determina si el número de tarjeta es correcto. El emisor de la tarjeta de crédito determina el IIN. Esta es información pública que cualquiera puede verificar. Por ejemplo, a las tarjetas de crédito Rakuten se les asigna el IIN «3584-03», y, a las tarjetas de crédito EPOS Visa, se les asigna el IIN «4897-83».

Después de establecer un punto de partida a través de algunas conjeturas, los números son generados por una computadora de forma automática. El número final se calcula al probar de manera repetida las combinaciones del código de seguridad y de la fecha de vencimiento, además del IIN, del número de cuenta del miembro y del dígito de control.

Daños por ataques a tarjetas de crédito

Según la Asociación Japonesa de Crédito al Consumo, el importe total de los daños causados por el uso no autorizado de tarjetas de crédito en Japón entre enero y diciembre de 2023 fue de 54.100 millones de yenes, la cantidad más alta jamás registrada. En comparación con los 43.700 millones de yenes en daños totales en 2022, esto representa un aumento de más de 10.000 millones de yenes en un solo año.

Cuando la cantidad de daños causados por el uso fraudulento de tarjetas de crédito se desglosa en categorías, la cantidad total de daños causados por el robo de números en 2023 fue de 50.500 millones de yenes. Esto representa el 93,3 % de la cantidad total de los daños causados por el uso fraudulento de las tarjetas de crédito.

Los ataques a tarjetas de crédito suelen pertenecer a la categoría de robo de números, pero no todos los ataques que implican el robo de números utilizan técnicas de robo de número de tarjetas de crédito. Sin embargo, de acuerdo con las tendencias recientes, las actividades fraudulentas que involucran el robo de números de tarjetas de crédito, incluidas las técnicas para dichos robos, se vuelven más complejas y sofisticadas cada año. Existe la preocupación de que las pérdidas sigan aumentando.

¿Cómo afectan los ataques a tarjetas de crédito a las empresas en Japón?

A continuación te explicamos cómo afectan estos ataques a las empresas japonesas:

Aumento de los gastos de procesamiento debido a la gran cantidad de solicitudes de autorización

La autorización de tarjeta (es decir, el proceso de obtención de crédito o de aprobación de crédito) permite a los negocios consultar a la empresa de la tarjeta de crédito para determinar si el cliente tiene fondos o crédito suficientes disponibles para pagar una transacción. El negocio debe pagar a la empresa de la tarjeta de crédito una comisión de procesamiento por cada autorización, que suele oscilar entre ¥1 y ¥5.

Si un sitio de e-commerce es objeto de un ataque a una tarjeta de crédito, por lo general, se le cobrará una gran cantidad de comisiones de autorización a medida que se envíen los números de tarjeta para su autorización. Aunque la comisión por cada intento de autorización es pequeña, el costo de las autorizaciones puede ascender rápidamente a una gran suma.

Incluso si las tarjetas de crédito no se usan de manera fraudulenta directamente en ese sitio, la empresa aún puede sufrir daños debido a una gran cantidad de autorizaciones y sus costos asociados.

Pérdida de oportunidades de venta y quejas de los clientes

Durante un ataque a una tarjeta de crédito, se realiza una gran cantidad de intentos de acceso en una sola ubicación. Esto puede sobrecargar el sistema, ralentizar el procesamiento de pagos y pedidos y, en algunos casos, impedir que los clientes legítimos accedan al sitio de e-commerce. Lo más problemático es que, como resultado, los pagos con tarjeta de crédito pueden no estar disponibles temporalmente.

Si esta situación ocurre en un sitio de e-commerce, es probable que los clientes experimenten molestias, sospechen de las acciones o se sientan incómodos y dejen de usar el sitio por completo. Esto puede resultar en una pérdida de oportunidades de ventas para la empresa. Además, el sitio se verá desbordado de consultas y quejas de clientes reales preocupados por el hecho de si sus pedidos y pagos se han procesado correctamente.

Suspensión de pagos con tarjeta de crédito

Las empresas de tarjetas de crédito monitorean las condiciones de pago de forma constante. Por esta razón, estas empresas pueden suspender, de manera temporal, los pagos para los sitios de e-commerce que hayan sido objeto de un ataque a una tarjeta de crédito.

La técnica de robo de números de tarjetas de crédito utiliza una gran cantidad de números aleatorios que entran en conflicto entre sí. Esto genera la gran cantidad de solicitudes de autorización mencionadas anteriormente, que pueden considerarse fraudulentas. Como consecuencia, el proveedor de la tarjeta de crédito podría considerar necesario suspender por completo los pagos con tarjeta de crédito en un sitio determinado. Y, mientras estos pagos estén suspendidos, es imposible proporcionar servicios de pago con tarjeta de crédito a clientes legítimos.

Pérdida de confianza del cliente y propagación de daños

Como se mencionó anteriormente, es posible que los pagos con tarjeta de crédito no estén disponibles temporalmente. Si el sitio de e-commerce deja de funcionar mientras el cliente realiza un pedido, es posible que perciba que el sitio no es seguro o que no puede procesar pagos seguros.

Si un cliente consulta a la empresa, es posible que reciba una respuesta como «Los pagos con tarjeta de crédito están suspendidos de forma temporal debido a actividades no autorizadas ajenas a la empresa». Un mensaje como este puede aumentar el malestar o la desconfianza del cliente.

Además, si un ataque a una tarjeta de crédito tiene éxito, aquellos que atacan las tarjetas de crédito pueden considerar que la seguridad del sitio es deficiente. Por lo tanto, el sitio podría seguir recibiendo ataques en el futuro. Además, si un tercero malintencionado obtiene información válida de una tarjeta de crédito del sitio de e-commerce de una empresa, los datos personales de los clientes están en riesgo. La información de la tarjeta también puede utilizarse de forma fraudulenta en otros lugares, lo que perjudica aún más a los clientes.

¿Cómo pueden las empresas en Japón prevenir los ataques a tarjetas de crédito?

Estos son los pasos que las empresas pueden seguir para protegerse contra los ataques a tarjetas de crédito y reducir la probabilidad de verse afectadas:

3D Secure

3D Secure es un sistema de autenticación que tiene como objetivo evitar el uso no autorizado de tarjetas de crédito al realizar pagos en sitios de e-commerce. Las contraseñas de uso único y la autenticación biométrica se están convirtiendo en la norma general y se utilizan para confirmar que la persona que ingresa la información de la tarjeta de crédito es el titular legítimo de la tarjeta.

Por ejemplo, en 3D Secure 2.0 (también conocido como «EMV 3-D Secure»), es posible evitar el uso no autorizado, como el robo de información de la tarjeta de crédito. El sistema realiza una evaluación de riesgos basada en datos detallados, como la información del dispositivo del cliente, la región de acceso y la hora del día. Sin embargo, el sistema 3D Secure 2.0 por sí solo no es suficiente para prevenir el fraude en su totalidad, por lo que es necesario implementar otras medidas de prevención del fraude más allá de 3D Secure 2.0.

Herramientas de medidas de protección contra bots

El uso de herramientas de detección de bots es otra forma de evitar el acceso automatizado no autorizado, incluidos los ataques a tarjetas de crédito. El reCAPTCHA de Google es una conocida herramienta de detección de bots y es un servicio de seguridad que cualquier empresa puede adoptar.

reCAPTCHA v2 cuenta con dos tipos de pruebas. Uno requiere que el cliente marque una casilla para confirmar que no es un robot, y el otro requiere que los clientes seleccionen las imágenes correctas de un conjunto de varias imágenes. Por ejemplo, las instrucciones podrían indicar lo siguiente: «Seleccione las imágenes que incluyan un paso de peatones». Estos se ven a menudo al enviar un formulario de consulta en un sitio web o al iniciar sesión en una cuenta.

Además, la última versión, reCAPTCHA v3, utiliza el machine learning para analizar los patrones de actividad web de los clientes y determinar, de manera automática, si un ser humano o un bot está accediendo al sitio. Si bien reCAPTCHA v3 no requiere el aporte del cliente como reCAPTCHA v2, proporciona una seguridad superior.

Sistemas de detección de fraude

Un sistema de detección de fraude identifica un uso fraudulento en función de la información y del comportamiento de pagos anteriores. Parte de la información que busca incluye la siguiente:

  • Una dirección no válida o ficticia.

  • Un nombre de titular de tarjeta incompatible.

  • Pedidos realizados desde diferentes terminales.

  • Pagos repetidos con diferentes números de tarjeta.

Con un sistema de detección de fraude, las empresas pueden prevenir, de manera más eficaz, los daños a los sitios de e-commerce al detectar y bloquear automáticamente las transacciones fraudulentas que no se pueden verificar con 3D Secure. Los sistemas de detección de fraude tampoco exigen que los titulares legítimos de tarjetas pasen por pasos adicionales para realizar pagos, como una solicitud de autenticación adicional. Esto puede conducir a una mejor experiencia de compra para los clientes.

Stripe ayuda a las empresas a optimizar su entorno de pagos electrónicos al hacer frente a la creciente amenaza de fraude a escala mundial. La herramienta de prevención de fraude patentada de Stripe, Stripe Radar, utiliza el machine learning para adaptarse a los patrones de fraude en constante cambio, lo que permite adoptar medidas de prevención de fraude más avanzadas. Debido a que se puede incorporar al flujo de pago sin tiempo ni costos adicionales para desarrollar de forma independiente un sistema de detección de fraude, el uso del sistema se puede iniciar sin problemas y con facilidad.

Límites a las entradas de información de la tarjeta

Establecer un límite para la cantidad de veces que un cliente puede ingresar la información de su tarjeta de crédito en la pantalla de pago puede evitar ataques a tarjetas de crédito a gran escala.

Sin embargo, si el límite es demasiado estricto, puede bloquearse el uso de la tarjeta si un titular legítimo de tarjeta ingresa por error información incorrecta demasiadas veces. Un límite demasiado estricto puede aumentar el riesgo de abandono del carrito de compras y disminuir la satisfacción del cliente.

¿Cómo afectan los ataques a tarjetas de crédito a los titulares de tarjetas?

Estos son algunos ejemplos de daños que un titular de tarjeta puede sufrir como resultado de un ataque a una tarjeta de crédito:

Uso fraudulento de tarjeta no detectado

Si la información de la tarjeta de crédito generada en un ataque a dicha tarjeta se considera válida, es probable que un tercero malintencionado la utilice. Aquellos que atacan tarjetas de créditos adoptan métodos cada vez más sofisticados, y muchos gastan poco dinero deliberadamente para que el cliente no lo detecte inmediatamente como un uso fraudulento.

Nueva emisión de la tarjeta

Si hay múltiples casos de transacciones fraudulentas con la tarjeta de crédito, la empresa de la tarjeta de crédito puede decidir cancelar la tarjeta. Como explicaremos más adelante, si el titular de una tarjeta de crédito detecta por su cuenta un ataque, debe comunicarse con la compañía de la tarjeta de crédito y cancelar la tarjeta. En cualquier caso, la tarjeta deberá volver a emitirse y no podrá usarse hasta que se emita.

¿Cómo pueden los titulares de tarjetas prevenir los ataques a tarjetas de crédito?

Cuando una tarjeta de crédito se utiliza de forma fraudulenta en un ataque, supone una carga tanto financiera como psicológica para el cliente. Esto es lo que los titulares de tarjetas pueden hacer para reducir el riesgo de ser víctimas y lo que deben hacer si la información de su tarjeta de crédito se utiliza en un ataque a la tarjeta de crédito:

Prevención de ataques a tarjetas de crédito

Revisar los extractos de las tarjetas con cuidado y regularidad

Cuando el titular de una tarjeta revisa su extracto con regularidad, es más probable que note pagos que no recuerda haber realizado. Por ejemplo, en comparación con alguien que solo revisa su extracto una vez al mes, alguien que lo revisa después de cada compras o comida tendrá más probabilidades de saber si un pago es inusual o no.

Usar un servicio de notificación de consumo

Un servicio de notificación de consumo permite al titular de la tarjeta recibir notificaciones por correo electrónico, mensaje de texto o notificación push cada vez que se utiliza una tarjeta de crédito. Se le notifica en tiempo real el importe, la fecha, la hora, el nombre de la empresa y otra información después de que se utiliza la tarjeta. Si recibe una notificación cuando no ha usado la tarjeta, sabrá de inmediato que se trata de un fraude y podrá tomar las medidas adecuadas.

Establecer restricciones de uso de tarjetas

Establecer un límite para cada tipo de situación de consumo puede proporcionar cierta tranquilidad a los clientes de tarjetas de crédito. También es importante establecer límites individuales para cada situación. Por ejemplo, si el titular de la tarjeta nunca viaja fuera de Japón, puede establecer el límite de consumo en el extranjero en el mínimo. También pueden configurar la tarjeta para evitar transacciones individuales de alto valor, de modo que sea menos probable que se conviertan en un objetivo para el fraude de compras en línea.

Cómo recuperarse de un ataque maestro de crédito

A veces, estos ataques son inevitables, incluso si la empresa y el titular de la tarjeta toman todas las medidas posibles para prevenir el fraude. Esto es lo que puede hacer el titular de una tarjeta si es víctima de un ataque a la tarjeta de crédito:

Comunicarse con la empresa de la tarjeta de crédito para bloquear la tarjeta

Tan pronto como el titular de una tarjeta note un uso no autorizado, debe comunicarse con la empresa de la tarjeta de crédito de inmediato y solicitar que se bloquee la tarjeta. Si se descubre un uso no autorizado, pueden solicitar un reembolso al rechazar el pago a través de un proceso llamado contracargo.

Utilizar el sistema de compensación

Una vez que se haya bloqueado una tarjeta de crédito, los titulares de la tarjeta pueden usar el sistema de compensación de la empresa de la tarjeta de crédito. Los detalles de la compensación son diferentes para cada empresa, pero, si se ha confirmado un uso no autorizado, pueden usar el sistema de compensación como una medida de alivio para el consumidor. Por lo tanto, los titulares de tarjetas deben verificar los detalles del sistema de compensación de antemano. Esto puede ayudarles a actuar con calma en caso de un ataque a la tarjeta de crédito.

Preguntas frecuentes sobre los ataques a tarjetas de crédito

¿Cuándo se actualiza el extracto de una tarjeta de crédito?

En términos de tiempo, cuando la tienda envía los datos de consumo a la empresa de la tarjeta de crédito, se reflejan en el extracto. Por ejemplo, si la tienda envía datos de consumo inmediatamente después de un pago con tarjeta de crédito, por lo general, pasan dos o tres días desde el momento del pago hasta el momento en que aparece en el extracto bancario. Sin embargo, el tiempo de transmisión de datos varía según la tienda. En algunos casos, un cargo puede tardar varias semanas o meses en aparecer en el extracto bancario.

Si el titular de la tarjeta usa una tarjeta de crédito para pagar un producto, la información de la transacción no aparecerá en el extracto de inmediato.

¿Es posible que solo se pueda hacer un uso indebido del número de la tarjeta de crédito?

Las tarjetas de crédito incluyen varios datos que pueden utilizarse de forma indebida, como el código de seguridad y la fecha de vencimiento. A algunas personas les puede preocupar que su número de tarjeta haya sido revelado a un tercero y que se pueda hacer un uso indebido. Sin embargo, en general, si solo se filtra uno de estos datos, las posibilidades de un uso no autorizado exitoso son bajas.

Esto se debe a que, para comprar en línea en un centro de e-commerce o suscribirse a servicios digitales a través de Internet, es necesario que los titulares de las tarjetas ingresen el número de tarjeta, el código de seguridad y la fecha de vencimiento. En otras palabras, no es posible realizar un pago con tarjeta de crédito en línea solo con el número de tarjeta.

Sin embargo, si el código de seguridad y la fecha de vencimiento se filtran junto con el número de tarjeta, podría usarse de manera fraudulenta. Por esta razón, cada vez que el titular de una tarjeta realiza un pago con tarjeta de crédito, ya sea en persona o no, debe tener cuidado con lo que puedan ver las personas que lo rodean. Deben evitar comprar en línea en lugares con una gran cantidad de personas, ya que alguien podría intentar mirar la pantalla de pago y obtener su información.

¿Cuándo será obligatorio 3D Secure para las tarjetas de crédito?

Como parte de las medidas para evitar el uso no autorizado de tarjetas de crédito, 3D Secure 2.0 será obligatorio para los sitios de e-commerce en Japón a fines de marzo de 2025. A medida que 3D Secure se vuelva obligatorio, es importante que todas las empresas involucradas en el sector de las tarjetas de crédito alienten a las empresas de e-commerce a participar.

Lo que hay que saber sobre los ataques a tarjetas de crédito

En este artículo, examinamos los métodos de ataque y la cantidad monetaria de daño que suponen los ataques a tarjetas de crédito, así como el daño y las medidas de protección tanto para las empresas como para los clientes.

Los ataques a tarjetas de crédito implican técnicas maliciosas que permiten ataques aleatorios mediante el uso de la generación automática de números basada en máquinas como una forma de obtener información de tarjetas de crédito de manera fraudulenta. Para defenderse de los atacantes que planean utilizar la técnica del robo de números de tarjetas de crédito, es muy importante admitir 3D Secure y fortalecer el nivel de seguridad del sitio de e-commerce de tu empresa. Puedes hacerlo al implementar la detección de fraude y crear un entorno de sitio donde los clientes puedan disfrutar de las compras con tranquilidad.

Del lado del cliente, los titulares de tarjetas de crédito también deben tener especial cuidado al usar sus tarjetas, verificar sus extractos con regularidad y tener cuidado al almacenar y administrar sus datos personales

El contenido de este artículo tiene solo fines informativos y educativos generales y no debe interpretarse como asesoramiento legal o fiscal. Stripe no garantiza la exactitud, la integridad, adecuación o vigencia de la información incluida en el artículo. Si necesitas asistencia para tu situación particular, te recomendamos consultar a un abogado o un contador competente con licencia para ejercer en tu jurisdicción.

Más artículos

¿Todo listo para empezar?

Crea una cuenta y empieza a aceptar pagos sin necesidad de firmar contratos ni proporcionar datos bancarios. Si lo prefieres, puedes ponerte en contacto con nosotros para que diseñemos un paquete personalizado para tu empresa.
Radar

Radar

Combate el fraude con la solidez de la red de Stripe.

Documentación de Radar

Utiliza Stripe Radar para proteger tu empresa contra fraude.