Guía de un equipo de fraude sobre ATO

El histórico crecimiento del ecommerce que la industria experimentó en 2020 ha sido acompañado por un aumento correspondiente en el fraude de comercio electrónico. Con todo, desde el trabajo remoto hasta las redes sociales, impulsando a las personas a pasar más tiempo en teléfonos y dispositivos conectados, el fraude por apropiación de cuentas, o fraude ATO (Account Takeover), se ha convertido en una de las formas de fraude de ecommerce de mayor crecimiento.

¿Qué es el fraude ATO? Ocurre cuando un estafador obtiene acceso a las credenciales de inicio de sesión de un cliente u otra información personal identificable (PII) para tomar control de la cuenta y cometer fraude, generalmente cambiando la información de contacto de la cuenta para que la víctima no pueda recuperarla.

A medida que más consumidores adoptan las compras en línea y crean cuentas de ecommerce, se crea un terreno fértil para que este tipo de fraude crezca. Según un informe de Security.org, el 22% de los adultos estadounidenses han sido víctimas de la usurpación de cuentas, siendo las cuentas de redes sociales las más comúnmente hackeadas, representando el 53% de las víctimas.

Los nuevos canales de ecommerce crean oportunidades para el fraude ATO

Todos los canales de ecommerce son susceptibles de fraude, no solo los sitios web tradicionales. Incluso los canales de comercio electrónico más recientes están siendo atacados. Uno de los objetivos más frecuentes es las redes sociales.

consumers-click__image

El fraude ATO en el social commerce está en aumento

El social commerce ofrece una tremenda oportunidad de crecimiento para los minoristas en línea. Emarketer estima que las ventas minoristas de comercio social en Estados Unidos superarán el hito de los 100 mil millones de dólares en 2025. Como era de esperarse, el fraude ATO en el social commerce también está creciendo rápidamente. Pero hay algunos factores que agravan la situación.

Empecemos por las contraseñas. Cuatro de las cinco contraseñas más comunes son alguna variación de "123456" - la segunda más común es "password". Ninguna de las dos es muy difícil de descifrar.

El otro problema es la falta de variación en las contraseñas. La mayoría de las personas buscan comodidad y conveniencia, por lo que no es sorprendente que la revista Security haya descubierto que más del 39% de las personas utilizan la misma contraseña para varias cuentas. Una filtración de datos abre la puerta a los hackers para acceder a cuentas bancarias y de tarjetas de crédito, y así comienza la ola de gastos fraudulentos.

Las estafas por mensaje de texto conducen al fraude ATO

La Comisión Federal de Comercio de Estados Unidos (FTC) advierte de que las estafas basadas en mensajes de texto son especialmente populares, y una de las razones puede ser que enviar mensajes de texto es barato y fácil.

Conocidos como "smishing" - una combinación de "SMS" y "phishing"-, estos ataques adoptan muchas formas. En particular, los estafadores se hacen pasar por una empresa, un banco o un organismo conocido y advierten al usuario de un asunto urgente: actividad sospechosa en su cuenta, una factura vencida o una entrevista de trabajo.

Las estafas perpetradas a través de mensajes de texto tientan a los usuarios con enlaces y descargas que añaden malware a sus dispositivos. Los estafadores utilizan el malware para capturar las pulsaciones del teclado cuando los usuarios introducen nombres de usuario, contraseñas y correos electrónicos. A partir de ahí, pueden causar estragos accediendo a cuentas y utilizando fondos para realizar compras fraudulentas.

Las cuentas de pago recurrentes pasan desapercibidas

Otro canal del que se aprovechan los defraudadores son las suscripciones. El fraude en suscripciones y pagos recurrentes suele pasar desapercibido porque las transacciones son muy pequeñas en comparación con las compras de "alto riesgo". Pero esa falta de vigilancia convierte a los pagos recurrentes en un objetivo popular de fraude ATO.

Y como la mayoría de los bancos y procesadores conceden a los clientes hasta un año para solicitar un contracargo, los negocios en línea pueden ni siquiera darse cuenta de que están siendo blanco de ataques hasta meses después.

BOPIS hace que los defraudadores de ATO sean más rápidos

La introducción de nuevos canales ha brindado aún más oportunidades a los defraudadores.

La compra en línea con recogida en tienda (BOPIS), los servicios de recogida en la acera y los volúmenes de entrega a domicilio crecieron exponencialmente durante la pandemia y siguen siendo bastante populares. De hecho, se espera que los productos de supermercado sean la categoría de comercio electrónico más grande en Estados Unidos para 2026.

¿La ventaja para los defraudadores? Una entrega más rápida. Lo que antes tardaba días en entregarse ahora puede recogerse de inmediato o recibirse en cuestión de horas, lo que crea una ventana mucho más corta para evitar que el defraudador lleve a cabo su plan.

Los defraudadores aprovechan la tecnología para aumentar el ATO

El ATO no es un nuevo tipo de fraude; ha sido un problema creciente durante años. Sin embargo, el miedo y la confusión relacionados con la pandemia, combinados con una mejor tecnología, han ayudado a los defraudadores a mejorar en su oficio.

Algunas tendencias recientes apuntan a los muchos trabajadores que ahora trabajan de forma remota. En un esquema de estafa por mensaje de texto de empleador, los defraudadores fingen ser el jefe del empleado, envían mensajes que solicitan la compra de tarjetas de regalo y piden que se envíen los números y códigos de vuelta.

En otro caso, los defraudadores publican ofertas de trabajo remotas falsas. Al engañar a los buscadores de empleo para que entreguen información personal, como su número de Seguro Social y fecha de nacimiento, obtienen información que puede ser utilizada para el robo de identidad. O bien, los esquemas de "mulas" involucran a individuos que, sin saberlo, aceptan trabajos remotos que les exigen reexpedir bienes robados o transferir dinero fraudulento a través de sus cuentas bancarias.

La tecnología ha facilitado demasiado a los defraudadores combinar información real y falsa para crear una identidad falsa, que luego se utiliza para abrir líneas de crédito y acumular deudas sin ninguna intención de pago.

consumers-click__image (1)

Hackeos y brechas de datos

Las brechas de datos y los hackeos a instituciones bancarias y sitios de redes sociales como Facebook y LinkedIn se han vuelto mucho más comunes últimamente.

Statista informa que en 2023, el número de compromisos de datos en los Estados Unidos alcanzó los 3,205 casos. Mientras tanto, más de 353 millones de individuos se vieron afectados en el mismo año por compromisos de datos, incluyendo brechas de datos, filtraciones y exposiciones. El Informe de Costo de una Brecha de Datos 2023 de IBM reveló un aumento de amenazas:

Fraude impulsado por Al

Los criminales ahora utilizan herramientas automatizadas o bots impulsados por IA para realizar tareas de la misma manera que lo haría un humano, pero infinitamente más rápido. Se están utilizando chatbots para mejorar la efectividad de los correos electrónicos de phishing, y los bots pueden incluso realizar reconocimientos para identificar contramedidas de seguridad y ajustar sus ataques para evadir la detección.

Como resultado, sus firmas complejas son difíciles de detectar sin un análisis sofisticado. Los bots de IA incluso se están utilizando para penetrar en el metaverso con fraudes de microtransacciones, spam y estafas.

La revista Security identifica algunos esquemas a tener en cuenta:

Mensajes de texto: La IA generativa facilita a los defraudadores comunicarse de una manera familiar que parece un intercambio auténtico. Esto crea la oportunidad para que los criminales perpetran múltiples ataques a través de mensajes de texto al mismo tiempo, donde múltiples víctimas son engañadas para transferir dinero.

Vídeo o imágenes falsas: Los modelos de IA pueden ser entrenados para usar fotos, imágenes y videos para crear contenido que parece real. Estos modelos también pueden superponer imágenes sobre otras imágenes y en videos. Lo que es aún más alarmante es que todo esto puede ser realizado por un criminal con casi ninguna habilidad en diseño o tecnología, lo que aumenta el potencial para ataques.

Voz "humana": Los estafadores ahora pueden emplear voces realistas generadas por IA que pueden imitar a cualquier persona y convencer a una víctima de proporcionar información personal y financiera.

Chatbots: Por último, los chatbots de IA pueden ser utilizados de mala fe para desarrollar una relación con las víctimas, creando conexiones emocionales y aumentando la probabilidad de que la víctima comparta información personal.

Disturbios mundiales y uso de ciberataques

Los recientes acontecimientos mundiales han provocado un aumento masivo de los ciberataques. Tanto es así, que los bancos internacionales están en alerta y toman medidas para prepararse, mientras que los expertos advierten cada vez más al público que cambie y mejore sus contraseñas para evitar ser víctimas de ciberataques.

El fraude ATO amenaza la viabilidad de los negocios de ecommerce

Si bien el impacto del fraude ATO en los consumidores es significativo e increíblemente frustrante, los negocios en línea también tienen mucho que perder. Si el fraude ATO no está en el radar de tu negocio de ecommerce definitivamente debería estarlo. Los impactos en tus clientes no solo se reflejan en tus ventas y números de ingresos; pueden convertirse en un tsunami del cual tu empresa podría no sobrevivir.

Podemos comenzar con el impacto más obvio: los contracargos.

img-fraud-threatens-ecommerce

Los contracargos erosionan los ingresos

Tan pronto como un cliente reconoce una transacción fraudulenta, es muy probable que dispute la compra, poniendo en marcha el proceso de contracargo. Cuantas más transacciones fraudulentas permita tu negocio, mayor será tu tasa de contracargos y mayor será el potencial de ser incluido en un programa de monitoreo de contracargos.

Para las pequeñas empresas, eso puede señalar el comienzo del fin. Simplemente no pueden permitirse pagar las altas tarifas que continúan acumulándose a medida que los contracargos se multiplican.

Para una organización de nivel empresarial, los contracargos a menudo se consideran un mal necesario. Ciertamente no los deseas, pero hay problemas más grandes a considerar, como los rechazos erróneos.

Los rechazos erróneos amenazan la experiencia del cliente

Una reacción típica ante el fraude, especialmente el fraude ATO, es activar reglas y filtros genéricos con la suposición de que eliminarán las transacciones sospechosas basadas en discrepancias de dirección, montos de transacción y similares.

El problema es que esta táctica de "un filtro para todos" suele salir mal, poniendo a tu negocio en la situación de rechazar transacciones válidas.

Los rechazos erróneos te cuestan más que el fraude

Aprobar más pedidos significa clientes más satisfechos y más ventas.

EMPIECE A VENDER MÁS

El fraude ATO puede darle a tu tienda una mala reputación

Las reseñas en línea son muy importantes para los clientes: influyen en su comportamiento y pueden ser el factor determinante de dónde deciden hacer negocios. Si tu empresa sufre una brecha de datos, los clientes serán menos propensos a confiarte su información personal sensible. Lo mismo ocurre con los clientes que experimentan fraude ATO en tu sitio web o aplicación.

Ya sea que tu sitio sea inseguro o no, los clientes probablemente culparán a tu negocio. Después de todo, necesitan señalar a alguien, ¿y a quién más pueden culpar?

Eso puede dañar tu reputación y hacerte perder tanto a clientes recurrentes como a nuevos.

De hecho, en nuestra investigación original, "Actitudes del consumidor sobre el ecommerce, el fraude y la experiencia del cliente 2023-2024", encontramos que el 84% de los consumidores nunca volverán a comprar en un negocio que haya aprobado una orden fraudulenta con su información de pago.

El GDPR y el PSD2 son estrictos sobre la privacidad de los datos

Como si esos impactos no fueran suficientes, cualquier negocio que venda en Europa también debe considerar las tarifas y multas asociadas con la violación de datos personales.

El Reglamento General de Protección de Datos (GDPR) es la ley de privacidad y seguridad más estricta que existe hoy en día y la primera ley diseñada para abordar la privacidad y protección de los datos. Otorga un conjunto de derechos de privacidad a los clientes que proporcionan su información a las empresas.

Bajo esta ley, cualquier organización que almacene datos personales de un ciudadano de la UE debe cumplir con un riguroso conjunto de requisitos:

Deben justificar por qué se recopilan los datos y recolectar lo absolutamente necesario.

Deben mantener los datos recopilados de manera precisa.

Los datos solo pueden ser conservados durante un período de tiempo establecido.

Todos los datos deben estar encriptados.

Aquí viene lo importante: las sanciones por violar el GDPR comienzan en 20 millones de euros o el 4% de los ingresos globales del negocio de comercio electrónico, lo que sea mayor.

De manera similar, la PSD2 (Directiva de Servicios de Pago 2), adoptada en 2015, establece las reglas para todos los pagos minoristas en la UE, tanto en euros como en otras monedas, nacionales y transfronterizos. La directiva se aplica a los negocios que venden en el Área Económica Europea (los países de la UE más Noruega, Islandia y Liechtenstein) y exige nuevas disposiciones, como la autenticación fuerte del cliente (SCA) para transacciones sin tarjeta presente.

Estas medidas adicionales requieren que los negocios en línea y sus clientes pasen por varios pasos, lo que aumentará la fricción en el proceso de pago y podría costarte clientes. Si vendes en alguno de los países afectados, deberás estar preparado y mantenerte listo. La Comisión Europea ha identificado nuevos tipos de fraude para los cuales la PSD2 no está equipada, y una Directiva de Servicios de Pago 3 (PSD3) y un Reglamento de Servicios de Pago entrarán en vigor antes de 2026.

Entonces, ¿qué puede hacer su empresa para prevenir el fraude ATO?

Shopping Online Imagens AdobeStock Preview 1

Protección contra el fraude ATO: Tácticas inteligentes para negocios de ecommerce

Como hemos visto, el fraude ATO está en aumento, y los resultados pueden ser devastadores para consumidores y empresas. Dependiendo del tamaño de tu negocio, la tolerancia al riesgo y los objetivos de experiencia del cliente, hay combinaciones de tácticas de prevención de fraude que debes considerar.

La táctica más importante es elegir una solución que reduzca tus niveles de fraude sin comprometer la experiencia del cliente ni el crecimiento de los ingresos.

Veamos estas tácticas y cómo pueden funcionar tanto para pequeños negocios como para grandes minoristas.

3D Secure

3D Secure, o 3DS, se introdujo a finales de la década de 1990 para aumentar la seguridad de las transacciones al requerir autenticación para las compras en línea y trasladar la responsabilidad de las empresas a los emisores de tarjetas de crédito. La tecnología ha evolucionado para analizar múltiples puntos de datos, brindando a las empresas en línea un mayor nivel de confianza y reduciendo los contracargos. Ha sido especialmente útil para el comercio móvil.

Sin embargo (y es un gran sin embargo), el 3DS tiene sus desventajas.

Para empezar, la autenticación adicional toma tiempo, lo que puede traducirse en un mayor abandono del carrito. También añade fricción con múltiples pasos que superar, alejando a buenos clientes. Aunque tus contracargos pueden disminuir, es casi seguro que tus rechazos erróneos aumenten; ya hemos cubierto por qué eso es problemático.

Por último, el 3DS proporciona poca o ninguna inteligencia a lo largo de tu panorama de pagos. Si trabajas con 20 procesadores de pagos, tendrás 20 conexiones de 3DS dispares para gestionar y ninguna capacidad para ver patrones entre ellas.

Nuestra opinión: El 3DS es potencialmente una buena solución para un pequeño negocio de comercio electrónico con muy limitados procesadores de pagos. Una vez que entras en múltiples opciones de pago y grandes cantidades de transacciones, corres el riesgo de perder patrones de fraude y/o aumentar los rechazos erróneos.

Soluciones automatizadas

Las soluciones automatizadas permiten a las empresas delegar su protección contra el fraude a un tercero, donde las transacciones se procesan a través de sistemas automatizados. Se aprueban o se rechazan en función de parámetros y filtros preestablecidos.

Si bien esta solución tiene ventajas, como un tiempo de procesamiento rápido y protección contra el fraude sin intervención, también limita tu visión sobre los clientes y los defraudadores que realizan transacciones. A menudo, estas soluciones se ven obstaculizadas por una lenta adaptación a los cambios en el comportamiento del consumidor, como sucede durante la temporada navideña o cuando están de vacaciones.

Y las soluciones puramente automatizadas tienden a tratar cualquier posible fraude como un fraude real. Eso significa más rechazos erróneos, pérdida de ingresos a largo plazo y clientes descontentos.

Nuestra opinión: Las soluciones automatizadas son solo una parte de la solución general de prevención/protección contra el fraude que las empresas en línea deben considerar.

Soluciones híbridas

Una solución híbrida ofrece lo mejor de todo: filtros de fraude preliminares para identificar posibles fraudes, revisión secundaria para permitir o denegar esas transacciones, y inteligencia artificial (IA) para aprobar automáticamente las transacciones que pasan sin problemas.

Esta solución tiende a resultar en tasas de aprobación más altas y menos rechazos erróneos. Y, dado que la IA "aprende" el comportamiento del cliente, puede detectar patrones de fraude y reducir los contracargos. Generalmente, las transacciones que deben ser aprobadas se procesan más rápidamente. Sin mencionar la inteligencia de datos que las empresas obtienen al hacer pasar todas las transacciones por la misma solución. Te vuelves más inteligente mientras la máquina de IA también se vuelve más inteligente.

Es cierto que algunas transacciones tomarán más tiempo para procesarse y un subconjunto de ellas serán clientes válidos, por lo que necesitarás comunicar a los consumidores que estás protegiendo sus datos, lo que podría significar un retraso aquí y allá.

Nuestra opinión: Una solución híbrida puede adaptarse a cualquier tamaño de negocio. Las pequeñas empresas se beneficiarán al procesar todas las transacciones (o al menos las transacciones durante períodos de compras pico) a través de un proceso híbrido. Para los minoristas grandes, una solución híbrida personalizada puede aumentar la inteligencia, la capacidad analítica y la productividad de los equipos de análisis de fraude durante períodos de alto volumen o cuando el personal es escaso.

consumers-click__image (2)

ClearSale trabaja con minoristas en línea para combatir el fraude ATO

ClearSale aporta una red y un conjunto de datos globales para distinguir entre un cliente válido y un defraudador.

¿Cómo? Combinando tecnología inteligente con personas y procesos inteligentes. Nuestros algoritmos estadísticos patentados y probados se combinan con la vasta inteligencia compartida entre nuestro equipo (el más grande del mundo) de analistas de fraude altamente capacitados.

Lo que distingue a ClearSale de otras soluciones de protección y prevención contra el fraude ATO es el nivel de detalle que capturamos, lo que nos permite identificar las diferencias entre clientes válidos y un defraudador que ha tomado el control. Combatir el fraude ATO en el comercio electrónico requiere utilizar todas las herramientas disponibles para evaluar cada pedido.

Utilizar la IA y el aprendizaje automático

Utilizamos un algoritmo habilitado por IA que aprovecha las tendencias, la inteligencia y los datos recopilados de décadas de lucha contra el fraude en las regiones de mayor riesgo del mundo. Los datos específicos del cliente también se utilizan para "enseñar" a nuestro sistema cuáles de sus transacciones deberían considerarse realmente fraudulentas. Con esta tecnología, podemos aprobar o rechazar automáticamente la mayoría de los pedidos rápidamente con un alto nivel de precisión. En lugar de rechazar pedidos sospechosos, se marcan para revisiones contextuales.

Revisiones contextuales de expertos

El pequeño porcentaje de pedidos marcados (alrededor del 2%-3%) es evaluado por nuestros más de 2,000 analistas de fraude que tienen la experiencia para reconocer algunos de los patrones de fraude más difíciles de detectar. Si es necesario, nuestros analistas pueden comunicarse con los clientes, pero lo hacen de una manera que está alineada con una experiencia excepcional para el cliente (CX).

Historial de compras

Analizar el historial de compras nos permite confirmar que el usuario es válido y prevenir un rechazo erróneo. El alcance y detalle de nuestra base de datos pueden evaluar el historial de compras de un consumidor a través de diferentes negocios. De esta manera, una primera compra en Wish.com puede ser verificada con una cuenta de Amazon de larga data para asegurarnos de que la información coincida.

Aprovecha los nuevos datos

Los datos adicionales obtenidos de esas revisiones contextuales se utilizan para ayudar a nuestro sistema a distinguir las transacciones válidas del fraude con aún más precisión. Esto continúa a lo largo del tiempo, con nuestro sistema volviéndose "más inteligente" a medida que procesamos más y más transacciones del cliente, lo que aumenta su tasa de aprobación y sus ingresos. ClearSale también puede realizar un análisis completo de la base de datos de cualquier cliente para proporcionar visibilidad sobre las tendencias de fraude que se han encontrado, así como sobre los comportamientos y actitudes de los clientes.

Si está buscando un socio que le ayude a prevenir la ATO, póngase en contacto con nosotros y uno de nuestros analistas trabajará con usted para crear una solución específica para las necesidades exclusivas de su empresa.

Estado del fraude ATO

Guía de un equipo antifraude sobre el fraude de adquisición de cuentas