¿Cómo protege su empresa del fraude con tarjetas de crédito? Bueno, primero, es importante comprender los diferentes tipos y factores de fraude. Existen muchos tipos de fraude con tarjetas de débito y fraude con tarjetas de crédito. Tradicionalmente, una de las formas más comunes era el “fraude de tarjeta presente”. El fraude con tarjeta de presentación implica que un delincuente utiliza una tarjeta de crédito robada para realizar una compra fraudulenta. Debido a que el fraude aún se puede cometer en persona, las marcas de tarjetas tradicionalmente exigían a los comerciantes que verifican las identificaciones en el reverso de las tarjetas con la firma del recibo.
Pero con la llegada de Internet y el comercio electrónico, la ciencia sobre cómo detener el fraude con tarjetas de crédito ha pasado a un ámbito invisible de prácticas basadas en la tecnología. La eliminación de ciertos aspectos tradicionales del panorama de pagos, como las bandas magnéticas, también está reduciendo la viabilidad de cometer fraude con una tarjeta real robada.
Sin embargo, los delincuentes siempre están trabajando duro. La prevención del fraude en línea y en el comercio electrónico consiste principalmente en anticipar el comportamiento de los delincuentes y observar el comportamiento y las tendencias. Echa un vistazo a algunas de estas sugerencias para prevenir el fraude con tarjetas de crédito como comerciante.
Estadísticas de prevención de fraude en el procesamiento de pagos
Pero primero, una perspectiva global sobre el fraude con tarjetas de débito y crédito: el fraude con tarjetas de crédito ya les estaba costando a las empresas casi $28 mil millones en 2018 y se espera que supere los $35 mil millones para fines de 2023. Año tras año, la mayor parte del fraude se perpetra fuera de los EE. UU. lo que enfatiza la importancia de medidas antifraude remotas impulsadas por la tecnología.
De los 650,500 casos de fraude de identidad reportados anualmente, el 42% son fraudes con tarjetas de crédito. Y aunque los más jóvenes tienen más probabilidades de denunciar fraudes con tarjetas de crédito, los consumidores de mayor edad sufren mayores pérdidas (la pérdida media es de 448 dólares para las personas de 20 a 29 años y 1,600 dólares para los mayores de 80).
Pero los que más podrían sufrir el fraude crediticio son los comerciantes. Los comerciantes no sólo perderán el costo de la mercancía o los servicios prestados, sino que también se verán afectados por tarifas y multas de los bancos y redes de tarjetas. También sufrirán una pérdida de reputación ya que los consumidores los ven como un peligro potencial. Por eso es tan importante prevenir el fraude con tarjetas de crédito.
- Tenga el hardware adecuado
Una de las primeras cosas que se puede hacer para eliminar el robo de identidad es proteger los datos de los clientes en el punto de venta. Y eso significa no aceptar pagos con banda magnética. La banda magnética en el reverso de una tarjeta almacena información estática (sin cambios) de la tarjeta de crédito. Dicha información incluye el nombre del dueño de la tarjeta y su número de tarjeta de crédito.
El skimming es una de las formas más comunes de fraude que ha afectado al panorama de pagos. El desnatado se produce cuando un delincuente instala un pequeño dispositivo en un lector de banda magnética para “rotar” datos de las bandas magnéticas que lo atraviesan. Pueden tomar esta información de clientes legítimos y fabricar tarjetas falsas. O pueden utilizar la información de pago para pagos en línea.
Hay una razón por la que las redes de tarjetas de crédito como Visa y Mastercard eliminarán por completo las bandas magnéticas para 2033: son el tipo de transacción física en persona más susceptible a ataques de fraude. Por el contrario, los chips EMV y los pagos sin contacto son más seguros.
Las inserciones de chips EMV y los toques sin contacto no completan el pago utilizando información estática. Más bien, utilizan cifrados generados aleatoriamente. Estos cifrados son piezas de información sin sentido que representan información subyacente de la tarjeta y del cliente. Sólo las redes de tarjetas y los bancos pueden decodificarlos.
En particular, la aleatorización del cifrado impide que funcionen los skimmers. Cada transacción tiene una firma única que no tiene valor para transacciones futuras. Incluso si un delincuente pudiera capturar parte del cifrado, no podría usarlo para nada más en el futuro.
Es por eso que contar con el hardware adecuado contribuye en gran medida a prevenir el fraude en las tiendas. Y tener el hardware adecuado significa tener terminales POS que solo facilitan la inserción de chips EMV y los pagos sin contacto, tanto con tarjeta como con cartera móvil.
- Emitir contraseñas dinámicas a los clientes
Un código de acceso dinámico es un código de un solo uso que se envía al teléfono o correo electrónico de un cliente. El cliente debe introducir este código para completar la compra. Podría decirse que los códigos de acceso dinámicos son una forma de 2FA o autenticación de dos factores. 2FA implica verificar las credenciales de alguien con dos datos. En este caso se trata de la tarjeta para realizar pagos, más la contraseña de un solo uso.
La idea detrás de 2FA es que incluso si alguien ha robado una tarjeta de crédito, lo más probable es que tampoco tenga el teléfono de esa persona. E incluso si tienen ambos, no podrán iniciar sesión sin su contraseña o indicador biométrico (como una huella digital o un escaneo de retina).
Transacciones con tarjeta no presente en Puerto Rico
Los códigos de acceso dinámicos son particularmente relevantes para transacciones sin tarjeta presente (CNP), como las realizadas en el comercio electrónico. No está allí en persona para examinar ninguna actividad sospechosa, como solicitar una identificación. Por supuesto, el código de acceso dinámico solo funciona si existe una relación preexistente con el cliente o si tiene una relación preexistente con un tercero. De lo contrario, un delincuente obviamente podría proporcionar su propio número de teléfono o correo electrónico para “verificar” una transacción.
Ahí es donde entran en juego soluciones como Verified by Visa y Mastercard Secure. Estas aplicaciones existen desde hace casi dos décadas. Piden a los clientes que se verifiquen con un código de acceso de un solo uso (OTP) enviado a su número de teléfono o correo electrónico. Los bancos y las redes de tarjetas pueden comparar esos números y direcciones con la información que tienen registrada para ese dueño de la tarjeta. La transacción puede continuar si todo está bien y se proporciona la OTP.
Algunos comerciantes tienen una solución interna para enviar una OTP a los clientes. Amazon es un ejemplo de tal negocio. Si tiene una cuenta de Amazon pero inicia sesión en un dispositivo diferente, Amazon le pedirá que ingrese un código único enviado a su teléfono. Por supuesto, esto nos lleva al siguiente punto: pedir a sus clientes que creen una cuenta.
- Haga que los clientes creen cuentas
Pedir a los clientes que creen cuentas puede parecer contradictorio. Después de todo, pedir a los clientes que guarden los datos de sus tarjetas con usted pone una gran cantidad de datos financieros confidenciales en un solo lugar. Pero la verdad es que para la mayoría de las PYMES, la información de la tarjeta no se almacenará con usted. Se almacenará en su procesador de pagos, que cuenta con las herramientas para proteger todos esos datos de la tarjeta.
Cuando se le pide a un cliente que cree una cuenta en su empresa, le proporcionará información de contacto (como una dirección de envío) e información de pago. Esta información registrada acelerará su compra y creará una experiencia positiva para el cliente. Pero también se convertirá en una herramienta útil para prevenir el robo de tarjetas de crédito.
Esto se debe a que el cliente estará al tanto de cada transacción realizada con su empresa. Las cuentas de los clientes se convierten en puntos de partida para mantenerse en contacto con los clientes, lo que incluye notificarles cualquier pedido realizado con sus tarjetas. Una vez más, Amazon ofrece un excelente ejemplo de ello.
Cada vez que compras algo en Amazon, te envían un correo electrónico sobre tu compra. ¿No descargaste Trolls Band Together en Amazon Prime? Es hora de contactar a Amazon y ver si uno de sus hijos lo hizo, o si alguien fuera de su hogar está usando su cuenta. Amazon no es el único minorista que hace esto. La mayoría de los principales minoristas enviarán alertas por correo electrónico y/o mensajes de texto a los clientes sobre sus compras.
Parte de la creación de una cuenta puede consistir en alentar a sus clientes a ser proactivos a la hora de monitorear su perfil financiero, incluso fuera de su relación B2C. Muchas empresas de seguimiento de la puntuación crediticia también proporcionarán notificaciones sobre el robo de identidad. Puede proporcionar a los clientes recursos para monitorear sus transacciones.
- Haga que los clientes crean cuentas
Pedir a los clientes que creen cuentas puede parecer contradictorio. Después de todo, pida a los clientes que guarden los datos de sus tarjetas con usted y ponga una gran cantidad de datos financieros confidenciales en un solo lugar. Pero la verdad es que para la mayoría de las PYMES, la información de la tarjeta no se almacenará con usted. Se almacenará en su procesador de pagos, que cuenta con las herramientas para proteger todos esos datos de la tarjeta.
Cuando se le pide a un cliente que cree una cuenta en su empresa, le proporcionará información de contacto (como una dirección de envío) e información de pago. Esta información registrada acelerará su compra y creará una experiencia positiva para el cliente. Pero también se convertirá en una herramienta útil para prevenir el robo de tarjetas de crédito.
Esto se debe a que el cliente estará al tanto de cada transacción realizada con su empresa. Las cuentas de los clientes se convierten en puntos de partida para mantenerse en contacto con los clientes, lo que incluye notificarles cualquier pedido realizado con sus tarjetas. Una vez más, Amazon ofrece un excelente ejemplo de ello.
Cada vez que compras algo en Amazon, te envían un correo electrónico sobre tu compra. ¿No descargas Trolls Band Together en Amazon Prime? Es hora de contactar a Amazon y ver si uno de sus hijos lo hizo, o si alguien fuera de su hogar está usando su cuenta. Amazon no es el único minorista que hace esto. La mayoría de los principales minoristas envían alertas por correo electrónico y/o mensajes de texto a los clientes sobre sus compras.
Parte de la creación de una cuenta puede consistir en alentar a sus clientes a ser proactivos a la hora de monitorear su perfil financiero, incluso fuera de su relación B2C. Muchas empresas de seguimiento de la puntuación crediticia también proporcionarán notificaciones sobre el robo de identidad. Puede proporcionar a los clientes recursos para monitorear sus transacciones.
- Capacite a sus empleados para que estén atentos
Los ataques de caballos de Troya permiten una cantidad significativa de fraude en los pagos. Este tipo de ataques implican colarse en la base de datos de una empresa para robar información importante. Las pequeñas empresas son las más atacadas porque se percibe (con precisión) que carecen de la infraestructura necesaria para frenar estos ataques.
Hasta el 43% de los ciberataques apuntan a pequeñas empresas, y una de cada dos pequeñas empresas ha sufrido una filtración de datos. Si bien el impacto financiero de una filtración de datos varía según la empresa, el atacante y el tamaño del evento, les cuesta a las empresas un promedio de 200 000 dólares por ataque, cantidad suficiente para representar un serio revés para algunas PYMES.
Los modos de ataque más comunes incluyen correos electrónicos de phishing. Los correos electrónicos de phishing son correos electrónicos destinados a recopilar información. Sin embargo, parece una forma legítima de investigación. Los correos electrónicos de phishing pueden incitar a un empleado a proporcionar credenciales de inicio de sesión a un delincuente que se hace pasar por una aplicación móvil o un software basado en la nube que utiliza su empresa.
Luego, el delincuente puede utilizar esta información de inicio de sesión para acceder a los sistemas internos de su empresa. Si almacena información de la tarjeta en algún lugar de sus datos almacenados, accederán a ella y la utilizarán para cometer fraude de pago. Alternativamente, pueden vender los datos en la web oscura. La web oscura es una especie de mercado negro de Internet donde los delincuentes pueden comprar (muchas cosas, pero entre ellas) datos de los consumidores.
A veces, un correo electrónico hará que un empleado haga clic en algo para que el malware pueda ingresar a sus sistemas y comenzar a husmear. Las pequeñas empresas tienen la tasa más alta de correos electrónicos maliciosos, uno entre 323. Puede capacitar a sus empleados para que reconozcan las características de un correo electrónico sospechoso: direcciones de correo electrónico largas, extrañas y sin sentido, formato deficiente, redacción poco profesional cuestionable y amenazas poco realistas son sólo algunas pocas señas de identidad.
- AVS, geolocalización y perforación de proxy
Un servicio de verificación de dirección compara la dirección de facturación ingresada durante la transacción con la que el banco emisor tiene registrada para ese dueño de la tarjeta. Esta es una de las herramientas más comunes utilizadas en transacciones sin tarjeta presente. Es una medida de sentido común, relativamente económica y accesible para que la utilicen las pequeñas y medianas empresas.
Luego está la geolocalización. Mencionamos OTP o códigos de acceso de un solo uso en una sección anterior con respecto a las compras en línea. Pero también se puede emitir una OTP para transacciones en persona, verificando que la persona que tiene el teléfono es quien realiza la compra.
La perforación proxy se basa en principios similares a los de AVS y los métodos de geolocalización. Pero se relaciona específicamente con el dispositivo desde el cual un cliente realiza un pedido. Cada dispositivo tiene una dirección IP o dirección de protocolo de Internet. A veces, los delincuentes intentan utilizar una IP proxy para ocultar su verdadera ubicación.
El proxy piercing es un tipo de tecnología que permite perforar este velo y determinar la verdadera ubicación del dispositivo en cuestión. Por ejemplo, supongamos que se perfora el servidor proxy (IP falsa) y se descubre que el dispositivo utilizado para realizar un pedido está en México, Ucrania, Hungría, Malasia, Colombia, Rumania, Filipinas, Grecia, Brasil o China.
Estos países son señales de alerta debido a las altas concentraciones de criminalidad en Internet. Como tal, la transacción se puede pausar hasta que se obtenga una verificación adicional.
AVS, verificación de geolocalización y perforación de proxy son soluciones de seguridad que un procesador de pagos puede proporcionar, ya sea a través de sus propias aplicaciones o en asociación con otras instituciones financieras como redes de tarjetas o bancos.
- Esté atento al fraude interno
Maquiavelo dijo una vez: “Mantén a tus amigos cerca y a tus enemigos más cerca”, con lo que quería decir que debes vigilarlos. Y si bien no desea ver a sus empleados como enemigos, sí debe estar atento al fraude de origen interno. Los empleados pueden tener acceso a datos confidenciales de los clientes, como números de tarjetas.
Es por eso que es necesario tener controles internos que limitan el acceso a los datos sólo a las partes más relevantes. Los empleados que acceden a puntos de datos desde un POS deben tener cada uno un conjunto único de credenciales de inicio de sesión.
Por un lado, hace que sea más fácil identificar el momento del fraude (es decir, durante cuyo turno ocurrió el fraude). También facilita evitar que los ex empleados (quizás ex empleados descontentos) obtengan acceso a información de pago confidencial.
Los expertos de la empresa cometen el 57% del fraude, mientras que el 22% de los dueños de pequeñas empresas han tenido empleados que les han robado. Los empleados actuales o anteriores causan el 20% de las filtraciones de datos. Y quizás lo más impactante sea el hecho de que los esquemas de fraude a empleados duran un promedio de 12 meses. Así es, el fraude laboral, en promedio, es un proceso que ocurre justo delante de las narices de la mayoría de los dueños de empresas.
“¿Y ahora una rata?” exclamó Hamlet antes de hundir la daga en la cortina para matar a su espía. Por supuesto, no es necesario hacer nada tan dramático o shakesperiano. Pero contar con un buen conjunto de mejores prácticas puede contribuir en gran medida a reducir una de las fuentes más importantes de fraude con tarjetas de crédito: su propio talento humano.
- Piensa como un criminal
La mejor defensa es un buen ataque, como dicen. A veces, la prevención del fraude con tarjetas de crédito puede verse afectada si se conocen las técnicas del fraude con tarjetas de crédito. Una fuente particularmente gravosa de fraude con tarjetas de crédito es el llamado fraude amistoso. El fraude amistoso ocurre cuando un cliente paga por algo, lo usa y luego le dice a su banco que nunca lo recibió o que había algún problema con él.
Cuando un cliente acude a su banco emisor para disputar un cargo en lugar de solicitar un reembolso, eso se denomina devolución de cargo. Las devoluciones de cargo pueden costar a los comerciantes casi 118 mil millones de dólares para fines de 2023, y hasta el 86% de ellas pueden ser atribuibles a fraude amistoso, que ha aumentado un 41% cada dos años.
Un estafador amigable podría realizar un pedido de un servicio o bienes. Luego, dirán que cambiaron de opinión y solicitarán un reembolso. Sólo a ellos les gustaría que usted emitiera el reembolso en forma de cheque porque perdieron su tarjeta.
Después de embolsarse su cheque bien intencionado, presentarán una devolución de cargo al emisor de su tarjeta y se esconderá detrás de las fortificaciones para el consumidor proporcionadas por leyes como los Reglamentos Z y E (Leyes de Verdad en los Préstamos y Transferencia Electrónica de Fondos, respectivamente).
Visa y Mastercard tienen herramientas y procesos de prevención de fraude que los procesadores de pagos y los comerciantes deben cumplir. Conocer estas reglas y regulaciones puede ayudar a evitar algunas trampas relacionadas con el fraude.
En este ejemplo, los reembolsos por pagos con tarjeta de crédito deben emitirse a la tarjeta de crédito, no como un cheque. Si el número de tarjeta realmente ha cambiado, existen soluciones que no incluyen reembolsos sin tarjeta.
- Tener conectividad a Internet segura
Es importante mantener segura la conexión wifi de su negocio. Si desea reducir el fraude con tarjetas de crédito, le sorprenderá saber que es importante proteger su Internet, su software y su hardware.
Pero los delincuentes que buscan información de tarjetas de crédito pueden explotar el eslabón más débil de su sistema para acceder a los datos que desean. Las redes wifi públicas definitivamente no son seguras y no debes usarlas para acceder a tus servicios basados en la nube.
Su software también debe tener las últimas medidas antifraude, antivirus y firewall. Parte de esto implica que los “hackers” pagados encuentren una manera de ingresar al sistema mediante pruebas de penetración.
Al instalar nuevo software o parches de seguridad o su empresa se muda físicamente, debe realizar una prueba de penetración.
El hardware también puede ser un eslabón débil para acceder a los sistemas. A veces, el hardware, como un enrutador, viene con contraseñas preestablecidas. Evite el uso de estas contraseñas, ya que pueden ser más fáciles de identificar y explotar. Del mismo modo, evite utilizar información personal que los delincuentes puedan encontrar en línea.
Hoy en día, muchos actos de cibercriminalidad se perpetran mediante la construcción de una especie de identidad “Frankenstein” a partir de piezas juntas: un cumpleaños aquí, un lugar allá, un correo electrónico aquí… estas piezas pueden explotarse para adivinar contraseñas o encontrar más información.
Un aspecto de proteger su conectividad es utilizar los dispositivos y software más actualizados. Los ciberdelincuentes siempre están buscando grietas en la armadura y explotarán los sistemas obsoletos para encontrar una manera fácil de entrar. Si utiliza software basado en la nube, el proveedor de servicios puede actualizar automáticamente el software a la última versión.
Proteger su empresa del fraude con tarjetas de crédito: resumen
La prevención del fraude con tarjetas de crédito en tiendas físicas y en el comercio electrónico tiene cierta superposición en términos de estrategia. Proteger sus herramientas de red (evitando wifi pública), utilizar el hardware más actualizado y estrategias basadas en software (geolocalización, contraseñas de un solo uso) son solo algunas de las estrategias preventivas que puede implementar para evitar débitos y fraude de tarjeta de crédito.
Las redes de tarjetas también implementan estrategias de prevención de fraude con American Express, Discover, Mastercard y Visa para frustrar el fraude. Trabajar con un buen procesador de pagos cerrará la brecha entre usted y las instituciones financieras que trabajan arduamente para prevenir de manera proactiva el uso indebido de las cuentas de tarjetas de débito y crédito.
Si tienes alguna duda sobre las mejores medidas antifraude, no dudes en contactar con nosotros. Nos encantaría conocer su negocio y qué tipos de medidas antifraude serían las más adecuadas para proteger su empresa.