¿Qué es el fraude de triangulación y cómo protegernos?

Las violaciones de datos se han convertido en parte integral de la vida en línea. A medida que las filtraciones de datos exponen la información de los clientes, incluso dirigidas a empresas de renombre como Adobe, Equifax y Yahoo!, cada vez más común en el espacio digital, una creciente red de ciberdelincuentes se ha convertido en un oficio de empujar la información de tarjetas de crédito robadas en la web oscura. Solo en un caso de violación de datos, una cadena de tiendas de conveniencia de EE.UU. expuso la información de la tarjeta de crédito de más de 30 millones de clientes en 2019.

Los ciberdelincuentes utilizan tarjetas de crédito robadas de muchas maneras, una de las cuales se conoce como fraude de triangulación, una amenaza creciente en el espacio del comercio electrónico.

Aquí te contamos qué es el fraude de triangulación, cómo funciona y cómo protegernos y combatirlo,

¿Qué es el fraude de triangulación?

El fraude de triangulación ocurre cuando un comprador realiza una compra genuina en un mercado de terceros, pero el vendedor compra el producto de manera fraudulenta a otro comerciante. Esta forma sofisticada de fraude puede afectar a cualquier negocio con presencia en línea.

El fraude de triangulación es un medio por el cual los ciberdelincuentes intentan utilizar información de tarjetas de crédito robadas dentro de mercados de comercio electrónico como Amazon, eBay, Alibaba y otros.

La estafa es relativamente simple: un estafador que posee información de tarjeta de crédito robada enumera artículos para la venta en un mercado en línea. A menudo, los productos se enumeran a precios «demasiado buenos para ser verdad» para atraer a los compradores. Una vez que un cliente realiza la compra, el estafador comprará el mismo artículo a un vendedor legítimo usando la información de la tarjeta de crédito robada, enrutando los productos a la dirección del cliente.

Al final, el cliente, sin saberlo, recibió bienes robados y el comerciante legítimo se quedó con el pago de una tarjeta fraudulenta, lo que provocó una amplia gama de problemas por su parte.

El fraude de triangulación proporciona a los ciberdelincuentes una forma de aprovecharse de los comerciantes más pequeños de manera más eficiente y convertir una gama más amplia de productos en dinero rápido.

¿Cómo funciona?

Primero, el vendedor fraudulento crea listados en una plataforma o mercado de terceros para artículos que no tiene en su poder.

Un comprador desprevenido ve el listado, generalmente a un precio «demasiado bueno para ser verdad», y compra el artículo.

El vendedor fraudulento luego va a un sitio web de comercio electrónico legítimo que vende el artículo, hace un pedido para enviarlo al comprador desprevenido (a veces denominado dropshipping de arbitraje minorista) y utiliza una tarjeta de crédito robada para esta transacción.

El sitio de comercio electrónico envía el pedido, sin darse cuenta de que era un fraude hasta semanas después, cuando reciben un contracargo del titular real de la tarjeta de crédito.

El comprador desprevenido recibe el artículo que compró y es posible que ni siquiera se dé cuenta de que hubo fraude involucrado, a menudo dejando comentarios positivos para el vendedor fraudulento.

Si has recibido una alerta sobre un cargo en tu tarjeta de crédito por un pedido que no realizaste, es posible que tu tarjeta de crédito se haya utilizado en la etapa dos de este esquema. Y si recibes un pedido que se envió sospechosamente de un comerciante que no sea el que usaste para pedirlo, es posible que haya sido el comprador cuya información de tarjeta de crédito ahora está en manos de un estafador.

El proceso en el que los ciberdelincuentes implementan un esquema de fraude de triangulación está evolucionando. Los estafadores no solo están victimizando a comerciantes, clientes y titulares de tarjetas de crédito legítimos, sino que también están solicitando la ayuda de intermediarios para impulsar la estafa sin saberlo.

Los estafadores a menudo utilizan bolsas de trabajo en línea para reclutar vendedores legítimos con buena reputación en los mercados en línea para hacer listados de productos que planean robar con información de tarjeta de crédito fraudulenta en su nombre a cambio de un porcentaje de las ganancias de las ventas.

Consecuencias

El fraude de triangulación es extremadamente perjudicial para la confianza del cliente en las pequeñas tiendas de comercio electrónico y los vendedores del mercado. Si los clientes sienten la necesidad de revisar constantemente su cuenta bancaria en busca de signos de fraude después de comprar algo en línea, es mucho menos probable que realicen esas compras.

Cuando ocurre el fraude de triangulación, se le puede pedir al cliente que devuelva los productos comprados de manera fraudulenta, el vendedor puede sufrir daños en sus reseñas y su reputación en línea, y el estafador, en la mayoría de los casos, desaparece antes de que pueda sufrir alguna consecuencia.

Las consecuencias más inmediatas para los comerciantes, por supuesto, son las devoluciones de cargo. Incluso si el titular de la tarjeta recibió lo que pagó, la compra se realizó sin su autorización y probablemente por un precio significativamente más alto que el que acordaron. Por lo tanto, están en todo su derecho de presentar una devolución de cargo y recuperar esos fondos.

Las devoluciones de cargo conllevan tarifas costosas, y cada devolución de cargo se cuenta contra la tasa de devolución de cargo del comerciante. Una vez que esa proporción supera un cierto umbral, a menudo 0,9% o 1%, pueden incurrir en sanciones de su banco o red de tarjetas. Los comerciantes que tienen un alto índice de devolución de cargo durante demasiado tiempo pueden incluso perder sus cuentas comerciales y ser incluidos en una lista de vigilancia de la industria.

Lo que hace que el fraude de triangulación sea especialmente desagradable es que tiende a involucrar muchas compras pequeñas e individuales, en lugar de una gran compra de alto valor. Eso significa que un comerciante seleccionado como objetivo para el fraude de triangulación puede terminar con una gran cantidad de devoluciones de cargo, cada una de las cuales, sin importar cuán pequeña sea, conlleva las mismas tarifas y cuenta lo mismo contra un índice de devolución de cargo en aumento.

¿Cómo detectarlo?

Como proveedor de comercio electrónico, es importante poder detectar el fraude de triangulación cuando tus productos están en el punto de mira.

El fraude triangular es una amenaza grave. Dicho esto, tiene algunos signos claros y reconocibles a los que hay que prestar atención. A continuación se muestran algunas señales de advertencia comunes asociadas con un ataque de triangulación:

  • Nuevos clientes: Una nueva cuenta que de repente comienza a comprar los mismos artículos de forma regular.
  • Direcciones en conflicto: La información de facturación y envío del comprador será diferente.
  • Transacciones de bajo valor: Los estafadores de triangulación generalmente se enfocan en elementos comunes que los estafadores no suelen atacar.
  • Información de contacto no válida: Los números de teléfono o de correo electrónico no válidos sugieren actividad fraudulenta.
  • Velocidad de transacción: Los ataques de triangulación suelen ser cometidos por pequeños grupos que operan repetidamente desde unos pocos dispositivos.

Como comerciante, debes estar atento a los grupos de transacciones que muestran varias de las señales de advertencia descritas anteriormente. Si ves que estos aparecen regularmente, es posible que tengas un problema con el fraude de triangulación.

Esta fuente de amenazas es como un parásito en muchos sentidos. Un estafador, o un grupo de estafadores, te identifica como un host potencial, luego se engancha y envía transacciones fraudulentas una y otra vez. Gradualmente minan tus ingresos y tu productividad, mientras terminas enfrentando un aumento de las emisiones de contracargos.

Suena sombrío, pero no te preocupes: también hay buenas noticias. El fraude de triangulación es bastante fácil de eliminar una vez que lo identificas.

Identificación de listados fraudulentos

¿Cómo sabes si has sido blanco de un fraude de triangulación?

Existe un sistema para identificar, rastrear y reportar estas cuentas fraudulentas.

  • Revise los registros de contracargos para identificar artículos comunes que estaban recibiendo un alto volumen de ventas que luego se disputaron.
  • Busca en eBay aquellos artículos que busquen vendedores y listados con banderas rojas que se ajusten al MO de este fraude.
  • Verifica el historial de ventas de las cuentas sospechosas; a menudo, sus ventas coincidirían dentro de las 24 horas posteriores a la realización de un pedido fraudulento en el sitio web.

Protección contra fraudes para tarjetas de crédito

Si notas algún cargo que no reconoces, informa a la compañía de tu tarjeta de crédito lo antes posible. Las tarjetas de crédito también vienen con una variedad de protecciones contra el fraude, que pueden ayudarte a recuperar dinero si un estafador usa tu tarjeta.

Algunas de estas protecciones incluyen:

  • Responsabilidad limitada: La Ley de Facturación Justa de Crédito (FCBA, por sus siglas en inglés) impide que las compañías de tarjetas de crédito te hagan responsable de compras fraudulentas si informas que tu tarjeta fue robada antes de que el estafador la use. Si denuncias el robo de tu tarjeta después de que haya ocurrido el fraude, la FCBA dice que solo puedes ser responsable por hasta $50 de actividad fraudulenta con la tarjeta de crédito. Muchos emisores de tarjetas de crédito también ofrecen protección de responsabilidad cero para que no seas responsable de ningún cargo no autorizado.
  • Opciones de devolución de cargo: puedes solicitar una devolución de cargo. Una devolución de cargo es cuando la compañía de la tarjeta de crédito te devuelve los cargos si hay un cargo erróneo o fraudulento.
  • Bloqueo de tarjeta: muchas compañías de tarjetas de crédito te permiten bloquear tu tarjeta tu mismo a través de una cuenta en línea o una aplicación móvil tan pronto como te des cuenta de que ha sido robada.
  • Números de tarjetas virtuales: varios emisores de tarjetas también ofrecen tarjetas virtuales o números de cuenta, quete permiten crear números de tarjeta separados para cada sitio diferente que uses para comprar en línea. Cada uno de estos está vinculado a tu cuenta, pero mantienen privado tu número de cuenta principal. Si alguien tiene en sus manos un número de tarjeta virtual, simplemente puedes eliminarlo y crear uno nuevo en lugar de tener que solicitar una nueva tarjeta.

Medidas para evitar que tu cuenta se vea comprometida

Hay pasos que puedes tomar para proteger tus cuentas de tarjetas de crédito para que no se vean comprometidas. Algunos movimientos de seguridad comunes incluyen:

  • Uso de contraseñas únicas y seguras: el riesgo de usar la misma contraseña repetidamente es que si un estafador se apodera de ella, esta única contraseña le dará la oportunidad de iniciar sesión en varias cuentas tuyas.
  • Aprender a reconocer empresas falsas: cuando compres en línea, asegúrate de que la empresa sea quien dice ser. Verifica si hay errores de ortografía, asegúrate de que la dirección del sitio web comience con https:// y busca una notificación de «no seguro» en la parte superior de tu navegador. Muchos mercados de compras en línea también te permiten dejar comentarios para comerciantes externos, por lo que es aconsejable verificarlos antes de realizar una compra.
  • Estate atento a los lectores de tarjetas: los lectores de tarjetas son pequeños dispositivos que los ladrones suelen colocar en lectores de tarjetas de fácil acceso, como una bomba de gasolina o un cajero automático. Estos dispositivos te permiten insertar tu tarjeta en la máquina, pero roban la información de la tarjeta cuando la insertas. Para detectar lectores de tarjetas, comprueba si hay lectores de tarjetas sueltos o que sobresalgan.
  • Evitar los shoulder surfers: Los estafadores aprovechan cualquier oportunidad. Es posible que un estafador esté parado detrás de ti en el autobús mientras inicias sesión en tu cuenta bancaria en tu teléfono. Las personas que practican shoulder surfing han sido notorias durante mucho tiempo en los cajeros automáticos, pero ahora que todos pueden acceder a sus cuentas financieras en sus dispositivos desde cualquier lugar, es más importante que nunca estar al tanto.
  • Compras en redes de Internet seguras: antes de ingresar tu tarjeta de crédito en un sitio de comercio electrónico, asegúrate de que sea seguro al buscar un ícono de candado en la barra de URL. Si bien esta no es una forma segura de evitar un estafador, hace que sea más seguro ingresar los detalles de tu tarjeta de crédito.

¿Cómo participa eBay?

Los vendedores en línea deben tomar medidas para protegerse contra el fraude y el robo. Sin embargo, cuando un mercado se utiliza para facilitar el fraude y se puede demostrar que es consciente de que está ocurriendo, ¿en qué momento tiene la obligación de actuar? ¿Dónde trazas la línea entre «no es nuestro problema» y cómplice voluntario?

Si eBay simplemente hiciera cumplir sus políticas existentes cuando se muestra claramente que una cuenta se envía desde otro minorista o mercado, este fraude probablemente se detendría casi instantáneamente. ¿Por qué eBay no aplica esta política?

Parece que en algunos casos los estafadores pueden trolear eBay en busca de productos de gran venta y luego buscar los sitios web de esas empresas para comprar directamente.

Los vendedores afectados a menudo reciben un doble golpe. No solo se les está robando el producto directamente, sino que los estafadores también pueden estar compitiendo contra ellos vendiendo en eBay. Por supuesto, dado que en realidad no están pagando por los productos, el coste de los productos es efectivamente de $0 y pueden darse el lujo de venderlos con un 50% o más de descuento en los precios minoristas regulares.

Si los vendedores legítimos en una categoría abandonan eBay o cierran debido a este fraude, ¿qué sucede cuando los estafadores pasan al siguiente artículo popular y dejan esa categoría destruida? Eso no es un buen augurio para la salud y la estabilidad a largo plazo del mercado.

También tengo motivos para creer que muchas de las cuentas de eBay que se utilizan para esta venta fraudulenta son cuentas comprometidas. Los listados y las cuentas en sí tienen muchas señales de alerta que me llevaron a sospechar que anteriormente eran cuentas legítimas que habían sido tomadas por los estafadores. También encontré muchos informes en la comunidad de eBay y en Twitter que pueden ser anecdóticos pero encajan con el modus operandi de este fraude.

No tengo una idea directa de cómo estas cuentas se ven comprometidas: los esquemas de phishing, las cuentas de correo electrónico comprometidas, los protocolos de seguridad deficientes, como usar la misma contraseña en varios sitios web, o el descifrado de contraseñas por fuerza bruta son solo algunas de las posibilidades.

Para ser absolutamente claro, no estoy sugiriendo que el sitio de eBay en sí haya sido comprometido, pero muchas de las cuentas de usuarios individuales que se utilizan para este fraude pueden estarlo.

Si bien es posible que no puedan hacer mucho con respecto al lado del triángulo que ocurre fuera de su sitio, eBay puede y debe responsabilizarse por la seguridad de los compradores y vendedores en su plataforma.

eBay ha dicho que pasar a administrar los pagos directamente y eliminar PayPal reducirá este tipo de fraude, ya que existen estrictas regulaciones de Conozca a su cliente (KYC) que deben seguir.

Sin embargo, veo cuentas inscritas en Pagos administrados que también se utilizan para este fraude. Puede que los esté ralentizando un poco, pero no parece estar deteniéndolos.

Un enfoque más integral del fraude

Todas las prácticas mencionadas anteriormente pueden ayudarte a detectar y detener el fraude de triangulación. Pero, obviamente, el mejor enfoque para el fraude es prevenirlo antes de que suceda.

No puedes darte el lujo de parecer vulnerable. Los estafadores saben que cuantas más personas estén involucradas en el fraude contra un solo comerciante, más difícil será detectar pedidos incorrectos e identificar a los estafadores. Por lo tanto, tus pérdidas por fraude crecerán rápidamente una vez que una red criminal identifique tu sitio como objetivo. Esto genera datos incorrectos, lo que hace que la detección de fraudes sea menos precisa y el problema empeora con el tiempo.

En general, lo mejor que puedes hacer es detener el fraude rápidamente y prevenirlo a largo plazo mediante la adopción de una estrategia de varios niveles.

Es cierto que agregar más herramientas de fraude a tu proceso de detección puede ser costoso. Sin embargo, debes considerar el coste total para implementar una solución y compararlo con las posibles pérdidas que podrías evitar. Piensa en las herramientas de prevención del fraude como una red: cuantas más herramientas incorpores, más fina será la malla, y cuanto más fina sea la malla, más fraude atrapará. Y cuantos más fraudes detectes, mejor será tu rendimiento a largo plazo.

Un enfoque dinámico e integral para la gestión del fraude debe incluir:

  • Verificación de dirección (AVS)
  • Verificación CVV
  • Geolocalización
  • Tecnología 3-D Secure 2.0
  • Listas negras para prohibir a los estafadores conocidos
  • Comprobaciones de velocidad

Todas estas herramientas funcionan en conjunto con tu proceso de puntuación de fraude para brindar una mejor toma de decisiones. Y, por supuesto, las herramientas de gestión de devoluciones de cargo de terceros, como las alertas de devolución de cargo e Intelligent Source Detection, ayudan a eliminar el fraude delictivo genuino, al mismo tiempo que identifican casos de fraude amistoso.

El fraude de triangulación es solo una de las muchas amenazas que pueden separarte de tu dinero ganado con tanto esfuerzo. Pero, con un enfoque eficaz para la gestión de contracargos a tu disposición, tienes el poder de evitar pérdidas, recuperar ingresos y proteger la viabilidad a largo plazo de tu negocio.