Prevención del fraude en el comercio electrónico: consejos, estrategias y mejores prácticas

Prevención del fraude en el comercio electrónico: consejos, estrategias y mejores prácticas

El fraude en el comercio electrónico sigue aumentando y cuesta mucho dinero a las empresas. Según las proyecciones de Juniper Research, los comerciantes perderán USD 343 000 millones a nivel mundial como consecuencia del fraude de pagos entre 2023 y 2027. En perspectiva, esto casi equivale a los ingresos globales de Apple en 2023. Las pérdidas afectan a todas las industrias, desde los comerciantes que venden bienes digitales y físicos, hasta las instituciones financieras y los vendedores de boletos de avión. A pesar de la aplicación de medidas de verificación de identidad generalizadas, la apropiación de cuentas de usuario sigue aumentando las pérdidas por fraude. 

¿Qué pueden hacer las empresas para protegerse a sí mismas y proteger a sus clientes contra el fraude en los pagos? 

En esta guía, definiremos qué es el fraude de comercio electrónico, examinaremos los diferentes tipos de esquemas fraudulentos, ofreceremos consejos prácticos para la prevención del fraude de comercio electrónico y, a continuación, recomendaremos herramientas para prevenir el fraude.

¿Qué es el fraude de comercio electrónico?

El fraude en el comercio electrónico es un tipo de delito cibernético en el que actores malintencionados manipulan transacciones en línea para robar bienes, servicios, fondos o información de cuentas de las empresas o de sus clientes. Por ejemplo, un grupo de delincuentes cibernéticos puede ejecutar una estafa del Black Friday mediante la apropiación de las cuentas de los clientes para hacer compras fraudulentas o registrarse con varias cuentas para abusar de los códigos promocionales y obtener nuevos descuentos para usuarios.

Los delincuentes pueden usar los ataques fraudulentos al comercio electrónico con múltiples propósitos:

• Permitir a los ladrones online obtener ilegalmente productos, explotar servicios o extraer dinero de transacciones online. 

• Preparar el escenario para el fraude de identidad, que a menudo conduce a un uso indebido futuro de las cuentas y de la información personal de los clientes. 

• Ayudar a los delincuentes a explorar las redes empresariales en busca de vulnerabilidades, allanando el camino para futuros ataques. 

• Dañar la salud financiera y la reputación de una empresa, o sembrar el caos económico en los países objetivo, cuando son llevados a cabo por el crimen organizado o grupos terroristas.

Tipos de fraude de comercio electrónico

El fraude en el comercio electrónico puede presentarse en diversas formas y modalidades. En su Informe global sobre pagos y fraude de 2023, la plataforma de gestión de pagos CyberSource identificó los 12 tipos más comunes de actividades fraudulentas en el comercio electrónico, que se han mantenido relativamente consistentes en los últimos años. Como verás a continuación, estos tipos de fraude giran en torno a técnicas como el robo de identidad, la creación de cuentas falsas o el abuso de los privilegios de las cuentas.

1. Phishing, whaling y pharming

Estos ataques relacionados consisten en hacerse pasar por fuentes de confianza para engañar a los usuarios y conseguir que concedan acceso a credenciales de inicio de sesión, números del seguro social, datos de tarjetas de crédito u otra información sensible. 

El phishing, la variante más común, envía a los destinatarios un correo electrónico que simula proceder de una fuente conocida, con un mensaje diseñado para engañar a la víctima para que comparta sus datos. Por ejemplo, algunas estafas del Cyber Monday intentan robar información de tarjetas de crédito enviando mensajes que afirman que los destinatarios son elegibles para obtener reembolsos de productos que nunca compraron. Cuando la víctima hace clic en un enlace a un sitio web falso e introduce su contraseña, se roban sus credenciales.

El whaling y el pharming son formas especializadas de phishing. El whaling se dirige específicamente a personas de alto perfil, como ejecutivos de empresas, utilizando tácticas personalizadas. El pharming implica el uso de un sitio web falso diseñado para robar credenciales a visitantes desprevenidos que creen estar en un sitio auténtico.

2. Fraude amistoso (fraude de devolución de cargos)

En este tipo de ataque, el delincuente pide un producto o servicio, y luego disputa el cargo con la compañía de su tarjeta de crédito para obtener un reembolso, lo que hace que la víctima deba pagar el costo del reembolso y de los bienes o servicios entregados. Por ejemplo, el ladrón puede alegar falsamente que nunca recibió un producto cuando en realidad sí lo hizo. O bien puede afirmar que un producto recibido es defectuoso cuando eso no es cierto.

El fraude por devolución de cargo también se conoce como “fraude amistoso” porque el autor utiliza credenciales legítimas de cliente y hasta puede ser un cliente legítimo, lo que le hace parecer “amistoso” con la víctima. A menudo, este tipo de fraude se considera la contrapartida del phishing: mientras que un atacante de phishing se hace pasar por una empresa de confianza, el autor de un fraude amistoso se hace pasar por un cliente de confianza.

3. Prueba de tarjetas (card cracking)

Este método de ataque consiste en realizar una transacción de poco valor para probar si una tarjeta de crédito obtenida fraudulentamente está activa, a fin de preparar el terreno para futuros robos de importes mayores. Las tarjetas utilizadas en este tipo de fraude pueden haber sido robadas físicamente, pirateadas de los procesadores de pago de los comercios (scraped) o fabricadas utilizando información de tarjetas legítimas (clonadas).

Las pruebas con tarjetas emplean dos métodos principales: pequeños pagos e intentos de autorización de pago. En el método de pequeños pagos, el delincuente realiza una compra por un importe pequeño, como USD 1, para comprobar si la tarjeta está activa. O bien, en lugar de hacer un pequeño pago, un ladrón puede iniciar un intento de autorización de tarjeta para comprobar si una cuenta tiene fondos suficientes para cubrir una compra.

4. Robo de identidad

Los ladrones de identidad utilizan información robada o falsificada para obtener bienes, servicios o fondos en nombre de una persona o empresa real o ficticia. Esta información de identificación puede obtenerse mediante diversos métodos, como la vulneración de bases de datos, la interceptación de correos electrónicos o mensajes de texto, el phishing, la recopilación de datos crediticios o el robo físico de documentos. Una vez obtenida, la información robada se puede utilizar para actividades como hacer compras, abrir cuentas de tarjeta de crédito o robar reembolsos de impuestos.

5. Abuso de cupones, descuentos y reembolsos

Estos métodos de fraude se utilizan para sacar provecho de las ofertas promocionales y las políticas de reembolso de las empresas. Por ejemplo, un ladrón de cupones puede usar repetidamente el mismo cupón, canjear un cupón destinado a otra persona o crear varias cuentas para aprovechar cupones adicionales.

El fraude de descuento y reembolso involucra tácticas engañosas similares. Por ejemplo, un cliente puede afirmar falsamente que es veterano para beneficiarse de un descuento militar. O bien un empleado puede compartir indebidamente su descuento con familiares o amigos que no cumplen los requisitos.

Los autores de fraudes de reembolso suelen presentar reclamaciones frívolas para beneficiarse de las políticas de reembolso de los comercios. En algunos casos, el ladrón revende el artículo reembolsado para obtener un beneficio. Otra variante utiliza recibos falsos para reclamar reembolsos por bienes o servicios que nunca se compraron.

6. Apropiación de cuentas (ATO)

Este tipo de fraude ocurre cuando un ladrón de identidad toma el control de la cuenta de un cliente. El criminal puede realizar compras en el nombre del cliente, enviar bienes a una dirección distinta, agotar recompensas de fidelidad o robar información personal y de pago. Según una encuesta realizada por Security.org, la apropiación de cuentas se convirtió en uno de los métodos fraudulentos de más rápido crecimiento en los últimos años, con un porcentaje de apropiación de cuentas comerciales derivadas de ataques fraudulentos al comercio electrónico que pasó de un 13 % en 2021 a un 29 % en 2023.

7. Fraude de fidelización (fraude de recompensas o fraude de puntos)

Esta categoría de fraude implica el uso indebido de puntos de recompensa por parte de ladrones de identidad, empleados o clientes. Por ejemplo, los piratas informáticos que se apropian de cuentas pueden transferir puntos a sus propias cuentas o venderlos a otros. Los empleados con acceso a las cuentas de los clientes pueden robar puntos. Incluso los clientes legítimos pueden utilizar tácticas como cambiar la fecha de nacimiento para recibir varias recompensas de cumpleaños. 

El fraude en programas de fidelización ahora afecta al 22 % de los comerciantes, según el Informe global de pagos y fraude 2023 del Consejo de Riesgo para Comerciantes.

8. Fraude de afiliación

Las empresas con programas de afiliación pueden ser víctimas de estafas a través de las cuales los ladrones obtienen comisiones fraudulentas. Estos ladrones utilizan tácticas, como la falsificación de clics (spoofing), la generación de clics a través de bots y el relleno secreto de cookies en los navegadores de los visitantes, para manipular el seguimiento.

9. Reenvío

En el fraude de reenvío, los delincuentes utilizan tarjetas de crédito robadas para comprar artículos costosos, como ordenadores y dispositivos electrónicos. Los productos se envían a empleados de servicios de reexpedición que, sin saberlo, los reenvían a otros países. Estos empleados de reexpedición suelen creer que están realizando un servicio legítimo y pueden no darse cuenta de que forman parte de una trama delictiva.

10. Botnets

Los ataques de botnets implican el uso de múltiples dispositivos comprometidos para inundar a los proveedores de comercio electrónico con código malicioso, facilitando así actividades no autorizadas. Las botnets pueden utilizarse para piratear contraseñas, robar datos de clientes, enviar correos electrónicos masivos de phishing o realizar otras acciones ilícitas. A menudo, sirven de apoyo para otros métodos de fraude, como el fraude de afiliación, mediante la amplificación del impacto y la escala de los ataques.

11. Esquemas de triangulación

Los ataques triangulados implican el uso de múltiples canales para estafar empresas y clientes. En este tipo de ataque, los delincuentes ponen la mercancía de una empresa a precios rebajados en sitios de terceros como Amazon o eBay. Cuando los clientes compran la mercancía con descuento utilizando sus tarjetas de crédito, facilitan involuntariamente los datos de su tarjeta al ladrón. 

A continuación, el ladrón utiliza una tarjeta de crédito robada para pedir la mercancía en el sitio web del comerciante y se la envía directamente al cliente. Ni el cliente ni la empresa se dan cuenta de que los datos de la tarjeta de crédito del cliente han sido robados durante la transacción.

12. Lavado de dinero

Las organizaciones delictivas, los grupos terroristas y otros transgresores pueden utilizar los sitios de comercio electrónico para transferir fondos subrepticiamente. Pueden blanquear dinero vendiendo productos falsos, inflando los precios de los productos reales o realizando transacciones falsas para disimular el movimiento de fondos ilegales.

Estrategias para la prevención del fraude en el comercio electrónico

Aunque el fraude en el comercio electrónico adopta muchas formas, la mayoría de las estafas se basan en tácticas similares que siguen patrones predecibles que pueden prevenirse. 

Muchos métodos implican que los delincuentes se hagan pasar por empresas o clientes. Por ejemplo, los ataques de phishing imitan a empresas, mientras que el fraude amistoso suele consistir en hacerse pasar por clientes legítimos. Otras tácticas explotan cuentas de clientes legítimas o robadas para iniciar transacciones fraudulentas, como devoluciones de cargos frívolas o abuso de cupones. Esencialmente, muchos de estos ataques giran en torno al robo de identidad o al uso ilegítimo de identidades para realizar transacciones fraudulentas.

Esto significa que los equipos de seguridad pueden interceptar muchos ataques verificando las cuentas nuevas y autenticando el uso de las existentes. La verificación de cuentas garantiza que los usuarios que abren nuevas cuentas son quienes dicen ser, mientras que la autenticación de cuentas confirma que los usuarios que acceden a ellas son titulares legítimos.

Herramientas de prevención del fraude en el comercio electrónico

Twilio ofrece estas potentes herramientas para ayudar a las empresas a implementar estrategias de defensa esenciales contra el fraude en el comercio electrónico:

Twilio Verify

Twilio Verify es una API de verificación de usuario final diseñada específicamente que gestiona la optimización de rutas, los canales, generación de código y el monitoreo de fraudes. Verify se ha diseñado para simplificar y proteger la autenticación en todo el recorrido del usuario final, incluido el registro, el inicio de sesión, el mantenimiento de la cuenta y las transacciones de alto valor, a fin de garantizar la interacción con personas reales y únicas. Esto proporciona una experiencia del usuario fluida y segura.

Las empresas se enfrentan a una decisión crítica: crear una solución de verificación interna personalizada o subcontratar un servicio de autenticación optimizado y experto. Esta decisión debe alinearse con los objetivos estratégicos y las capacidades operativas, incluida la asignación de recursos, la escalabilidad, el rendimiento, la naturaleza dinámica y costosa del fraude, las preferencias de los consumidores y las competencias básicas.

Para las empresas que buscan beneficiarse de las nuevas tecnologías de autenticación sin la molestia de la ingeniería, la compleja lógica de conmutación por error o de mantenerse al día con los estafadores en constante evolución, Twilio Verify ofrece una solución confiable y fácil de implementar para verificar las identidades de los usuarios y reducir el fraude. La API Twilio Verify proporciona autenticación a través de múltiples canales.

Twilio Lookup

Twilio Lookup aprovecha la inteligencia móvil en tiempo real para minimizar el riesgo de fraude sin comprometer la experiencia del usuario. Verifica los números de teléfono de los usuarios confirmando el tipo de teléfono, el operador de red y los cambios recientes de intercambio de SIM. Además, la función Identity Match de Twilio Lookup hace referencias cruzadas a los datos proporcionados por el usuario de los números de teléfono introducidos por el usuario contra fuentes autorizadas. 

Estas medidas ayudan a interceptar bots, prevenir intentos falsos de creación de cuentas y frustrar la apropiación de cuentas mientras detectan posibles riesgos de fraude. Twilio Verify y Twilio Lookup trabajan de manera colaborativa como componentes integrales de una estrategia completa de prevención del fraude en el comercio electrónico.

Mejores prácticas de prevención del fraude en el comercio electrónico

Además de utilizar software de prevención del fraude en el comercio electrónico, las marcas pueden reducir aún más el riesgo siguiendo estas prácticas recomendadas:

• Incorporar procedimientos de autenticación de cuentas en tu proceso de onboarding, lo que garantiza el cumplimiento de los requisitos específicos de la industria, como la lucha contra el lavado de dinero y las regulaciones de Conoce a tu cliente.

• Implementar procedimientos de verificación sólidos para el uso de la cuenta, como la implementación de 2FA para inicios de sesión y transacciones.

• Establecer pautas claras para marcar transacciones sospechosas, especialmente aquellas con valores excepcionalmente bajos o altos.

• Educar al personal y a los clientes sobre técnicas comunes de fraude, como el phishing, para aumentar la consciencia y la vigilancia.

Reduce el fraude de transacciones de comercio electrónico con la autenticación e identidad de usuario de Twilio

Muchas variedades comunes de fraude en el comercio electrónico y en los pagos giran en torno al robo de identidad y al uso indebido de identidades secuestradas. Las marcas pueden minimizar los incidentes de fraude implementando estrategias y herramientas eficaces para verificar las identidades de los clientes y autenticar a los usuarios de las cuentas.

Twilio Verify proporciona una base sólida para la prevención del fraude al brindarte una solución preconfigurada para la autenticación multicanal a gran escala. Con Verify, puedes elegir potentes opciones de autenticación como 2FA OTP a través de SMS, correo electrónico, WhatsApp, contraseñas de un solo uso y más. Para tener una experiencia más fluida y sin problemas, la Autenticación de Red Silenciosa (SNA) permite la verificación de los usuarios a través de las conexiones del operador, sin requerir ninguna entrada adicional. 

Las soluciones de autenticación e identidad de usuario de Twilio ayudan a asegurar los registros de usuarios, evitar inicios de sesión no autorizados y proteger las transacciones. Comienza con una prueba gratuita y luego cambia a un plan de pago por uso que solo cobra por verificaciones exitosas. Mantén a tu empresa y a tus clientes a salvo del fraude con las soluciones de autenticación de usuario e identidad de Twilio.