Protección contra el Fraude en el Comercio Electrónico

El fraude en el e-commerce es una forma de delito informático que tiene lugar con las transacciones de los clientes en línea. Actores malintencionados engañan a las empresas y a los clientes para obtener acceso no autorizado a información personal y financiera, realizar transacciones fraudulentas o aprovechar de otro modo el entorno de comercio minorista en línea para su propio beneficio.

La Creciente Amenaza del Fraude en el E-commerce

Dado que el e-commerce está creciendo rápidamente, las empresas están batallando con nuevas dificultades, como el cambiante panorama del fraude en el e-commerce. Proteger el negocio y los clientes de los estafadores es necesario para cualquier empresa que acepte pagos por Internet. En los últimos años, las compras online han experimentado un auge sin precedentes, impulsadas por la comodidad y la variedad que ofrecen los e-commerce.

Para los delincuentes, los comercios electrónicos son el objetivo perfecto para cometer fraude y aplicar técnicas de engaño. Es fácil encontrar objetivos y es fácil para los defraudadores permanecer en el anonimato y tener éxito, aunque la tasa de acierto sea baja. Es fácil conseguir defraudar o estafar.

Solo en 2021 las pérdidas por fraude en comercio electrónico crecieron casi un 20% a nivel global, y si nos fijamos en LATAM la cifra es aún mayor. Para entender estas cifras, debemos tener en cuenta la adopción que el mercado de Latinoamérica está teniendo en lo relativo al comercio electrónico (e-commerce), así como los canales móviles. En México, las transacciones en línea aumentaron hasta un 33%.

El fraude en comercio electrónico o e-commerce puede tener gran impacto no solo en los negocios afectados, sino también en sus clientes y colaboradores.

Tipos de Fraude en el E-commerce y Cómo Funcionan

Existen muchos tipos de fraudes y estafas en comercio electrónico que los negocios deberían tener en cuenta. Conocerlos es importante para combatir estas amenazas de manera efectiva. A continuación, proporcionamos más detalles sobre los distintos tipos de fraude en el e-commerce e información sobre sus mecanismos y repercusiones.

1. Robo de Identidad

• Qué es: Tiene lugar cuando un estafador utiliza la información personal de otra persona (por ejemplo, su nombre, dirección o los datos de su tarjeta de crédito) para hacer compras no autorizadas o abrir cuentas.
• Cómo funciona: Los delincuentes obtienen información personal por varios medios, como la vulneración de datos, los ataques de phishing y la ingeniería social. Después, utilizan esta información para suplantar a la víctima y realizar transacciones o crear cuentas nuevas en su nombre.
• Negocios afectados: Cualquier empresa que opere en línea y recopile datos de clientes está en riesgo, como los comerciantes minoristas en línea, los servicios basados en suscripciones y las entidades financieras.

2. Fraude con Tarjetas de Crédito

• Qué es: Es un tipo de fraude en el e-commerce que implica el uso no autorizado de una tarjeta de crédito para realizar compras por Internet. Ocurre cuando un estafador obtiene la información de la tarjeta de crédito de una víctima y la usa para hacer compras fraudulentas.
• Cómo funciona: Los estafadores obtienen información de tarjetas de crédito mediante métodos como el pirateo, el phishing o dispositivos de skimming.
  • El pirateo consiste en usar conocimientos técnicos y herramientas para acceder a un sistema informático o una red sin autorización. Esto se hace aprovechando las vulnerabilidades del software o usando ataques de fuerza bruta para adivinar contraseñas.
  • Los dispositivos de skimming son aparatos que se instalan en los cajeros automáticos o en las máquinas de tarjetas de crédito para robar la información de las tarjetas. Estos dispositivos suelen ser pequeños y discretos, y pueden ser difíciles de detectar. Los estafadores también pueden usar skimmers superpuestos que encajan sobre los lectores de tarjetas, o skimmers que pueden robar la información de las tarjetas con chip.
  Una vez que han obtenido los datos, los estafadores usan estos datos para realizar compras no autorizadas, falsificar tarjetas o vender la información a otros delincuentes.
• Negocios afectados: Todas las empresas que aceptan pagos con tarjeta de crédito o débito son susceptibles, incluidos los comerciantes minoristas en línea, los procesadores de pagos y los proveedores de contenido digital.

3. Fraude por Contracargo

• Qué es: El fraude por contracargo, también conocido como «fraude no malintencionado» o fraudes amistosos, ocurre cuando un cliente hace una compra con su tarjeta de crédito, recibe el producto o servicio y, después, disputa el cargo con la empresa de la tarjeta de crédito para obtener un reembolso. Este tipo de fraude se etiqueta a veces como «no malintencionado» porque puede que el cliente no tenga malas intenciones, sino que disputa el cargo por motivos no válidos. En ocasiones ocurre por accidente como son los casos en los que los niños realizan compras a través de apps móviles sin el conocimiento de los padres y estos reclaman al banco el importe por desconocer su procedencia.
• Cómo funciona: Puede ocurrir de diferentes maneras. Por ejemplo, un cliente puede disputar un cargo alegando que nunca recibió el producto, cuando, en realidad, sí que lo recibió. Otra posibilidad es que un cliente dispute un cargo diciendo que el producto estaba defectuoso o no era como lo habían descrito, cuando sí era como lo habían descrito y no estaba defectuoso.
• Negocios afectados: Los comerciantes minoristas en línea, los proveedores de contenido digital y los servicios basados en suscripciones son los negocios que se ven afectados con más frecuencia por este tipo de fraude.

4. Phishing e Ingeniería Social

• Qué es: En las tácticas de phishing e ingeniería social, estafadores utilizan correos electrónicos, mensajes o sitios web engañosos para hacer que los usuarios proporcionen información confidencial o sus credenciales, que usan después para cometer fraudes.
• Cómo funciona: Las tácticas de phishing e ingeniería social son frecuentes en el e-commerce para engañar a los clientes con el fin de que revelen información personal y financiera. Estas tácticas funcionan aprovechando la confianza o el estado emocional de la víctima para acceder a sus datos confidenciales.
  • Para los ataques de phishing suelen utilizar correos electrónicos o mensajes falsos que parecen venir de un origen de confianza, como un banco, una tienda de e-commerce o una red social. En el mensaje se puede pedir al destinatario que proporcione información personal o financiera, como sus credenciales de inicio de sesión o los datos de su tarjeta de crédito, haciendo clic en un enlace o descargando un archivo adjunto.
  • La ingeniería social tiene más matices y puede implicar una serie de tácticas, como establecer una relación con la víctima, aprovecharse de sus emociones o miedos, o utilizar la manipulación social para obtener acceso a su información. Por ejemplo, un estafador puede crear un perfil falso en una red social, entablar amistad con la víctima y ganarse su confianza con el tiempo antes de pedirle información confidencial.
  En el contexto del fraude en el e-commerce, las tácticas de phishing e ingeniería social se utilizan para robar información personal y financiera, como las credenciales de inicio de sesión o los datos de las tarjetas de crédito. Los estafadores pueden usar después esa información para hacer compras no autorizadas, robar dinero de las cuentas bancarias o robar la identidad.
• Negocios afectados: Todas las empresas que operan en Internet son posibles objetivos, puesto que los ataques de phishing e ingeniería social pueden ir dirigidos a empleados o clientes para obtener acceso a sistemas o datos confidenciales. Estos tipos de ataques fraudulentos pueden afectar a empresas de todos los tipos y tamaños, pero los estafadores atacan a unos sectores con más frecuencia que otros:
  • Empresas de e-commerce
  • Empresas de servicios financieros
  • Organizaciones sanitarias
  • Administración pública
  • Instituciones educativas

5. Fraude por Usurpación de Cuentas

• Qué es: El fraude por usurpación de cuentas es un tipo de fraude en el e-commerce que tiene lugar cuando un estafador obtiene acceso no autorizado a la cuenta en línea de un cliente y la utiliza para realizar compras o llevar a cabo otras acciones fraudulentas. Este tipo de fraude suele llevarse a cabo mediante ataques de phishing o tácticas de ingeniería social que engañan a la víctima para que revele sus datos de inicio de sesión u otra información confidencial.
• Cómo funciona: Los estafadores utilizan varias técnicas, como el phishing, las vulneraciones de datos o los ataques de fuerza bruta, para obtener credenciales de inicio de sesión. Una vez que tienen acceso a la cuenta, pueden cambiar la dirección de envío, hacer compras o incluso vender la información de la cuenta a otros delincuentes.
• Negocios afectados: Cualquier empresa que tenga cuentas de clientes (por ejemplo, los comerciantes minoristas en línea, los marketplaces o los servicios basados en suscripciones) puede ser objeto de un fraude por usurpación de cuentas.

6. Fraude por Reembolso

• Qué es: Tiene lugar cuando un estafador se hace pasar por un cliente y solicita un reembolso de un producto o servicio que nunca ha comprado y por el que no tiene derecho a un reembolso, a menudo proporcionando datos de pedidos falsos o usando información robada de cuentas. El fraude de devolución es parecido al fraude de contracargo, donde el defraudador busca conseguir dinero a partir de un producto que ya se repartió.
• Cómo funciona: El fraude por reembolso se puede dar de varias formas:
  • Devolución de artículos robados o falsificados para obtener un reembolso.
  • Reclamación de un reembolso por un producto que nunca se compró ni recibió, presentando un recibo u otra confirmación falsos.
  • Devolución de artículos usados o deteriorados como si fuesen nuevos para obtener un reembolso.
  • Doble cobro reclamando un reembolso al minorista y a la empresa de la tarjeta de crédito por la misma compra.
  En ocasiones los defraudadores compran el mismo producto o uno de valor inferior a la tienda original con tarjetas robadas y de esa manera logran lavar el dinero.
• Negocios afectados: Los comerciantes minoristas en línea, los proveedores de contenido digital y los servicios basados en suscripciones son los más vulnerables al fraude por reembolso.

7. Fraude de Afiliados

• Qué es: Este tipo de fraude tiene lugar en los programas de marketing de afiliados, donde una empresa paga una comisión a sus afiliados por promover sus productos o servicios. El fraude de afiliados ocurre cuando los afiliados realizan actividades fraudulentas para ganar comisiones a las que no tienen derecho legítimamente.
• Cómo funciona: Los delincuentes utilizan tácticas como granjas de clics, bots o cuentas falsas para generar tráfico, clics o ventas artificiales que aumentan su comisión. Hay varios tipos de fraude de afiliados, como los siguientes:
  • Inserción de cookies (cookie stuffing): consiste en poner cookies en el ordenador de un usuario sin su consentimiento para inflar el número de clics o las ventas atribuidas al afiliado.
  • Fraude por clics en anuncios: tiene lugar cuando los afiliados crean sitios web falsos o comenten un fraude con los clics para generar impresiones o clics falsos en anuncios irreales, por los que reciben una comisión.
  • Clientes potenciales falsos: los afiliados pueden enviar clientes potenciales o información de clientes falsos para ganar comisiones a las que no tienen derecho.
  • Puja por otras marcas (brand bidding): consiste en que los afiliados pujan por las palabras clave de la marca de una empresa en los motores de búsqueda. De este modo, hacen aumentar los costes de la publicidad y reducen la efectividad de las campañas de la empresa.
• Negocios afectados: Cualquier empresa que participe en programas de marketing de afiliados puede verse afectada por el fraude de afiliados. Las empresas de e-commerce son especialmente vulnerables al fraude de afiliados, porque sus ventas se generan a menudo en canales en línea y eso hace que sea más fácil para los estafadores manipular las tasas de click-through y los clientes potenciales. Por ejemplo, los comerciantes minoristas en línea que ofrecen comisiones a sus afiliados por dirigir tráfico a su sitio web o generar ventas son más susceptibles al fraude de afiliados.

8. Productos Falsos o Falsificados

• Qué son: Los productos falsos o falsificados suelen fabricarse y venderse de forma intencionada con falsas pretensiones, a menudo utilizando el nombre de una marca o una marca comercial sin autorización del fabricante original o propietario. Estos productos pueden ser desde bienes de lujo, como bolsos y relojes de diseño, hasta artículos cotidianos, como dispositivos electrónicos, cosméticos y productos farmacéuticos. Los productos falsificados pueden ser difíciles de distinguir de los auténticos y los clientes pueden comprarlos en línea sin saberlo, creyendo que están comprando un producto genuino. Esto no solo genera pérdidas económicas para el cliente, sino que puede tener graves consecuencias para la salud y la seguridad.
• Cómo funcionan: Los productos falsos o falsificados de e-commerce se venden de diferentes formas.
  • Algunos estafadores crean sitios web o tiendas en línea que parecen legítimos y ofrecen productos a precios con descuento. Estos productos pueden estar etiquetados como «auténticos» o «genuinos», pero en realidad son imitaciones baratas fabricadas para que parezcan artículos auténticos. Los estafadores pueden usar imágenes y descripciones robadas del sitio web del producto legítimo para que sus productos falsos parezcan más convincentes.
  • Otra forma en la que los estafadores pueden vender productos falsificados por Internet es apropiándose de anuncios legítimos en marketplaces, como Amazon o eBay. Pueden crear una cuenta falsa y ofrecer una versión falsificada del producto a un precio más bajo que el vendedor legítimo.
  • En algunos casos, los estafadores pueden crear también sus propias marcas falsificadas, con logotipos, embalaje y publicidad falsos.
  Para llevar a cabo estas estafas, los estafadores pueden engañar a los clientes usando una gran variedad de tácticas, como reseñas o recomendaciones falsas, descripciones engañosas de los productos y afirmaciones de autenticidad falsas.
• Negocios afectados: Este tipo de operaciones delictivas son habituales en negocios que comercializan productos de valor alto o medio que fácilmente pueden revenderse en el mercado secundario. Sin embargo, uno de los principales riesgos de este tipo de fraudes es que puede llegar a ser difícil demostrar que has sido víctima de un delito.

Tácticas Engañosas en E-commerce que Afectan a los Consumidores

Dichas prácticas pueden acarrear consecuencias para consumidores y empresas. En el caso de los consumidores, las consecuencias de caer en estas prácticas pueden ser graves. Desde la pérdida de dinero por productos de mala calidad o falsificados hasta el impacto emocional de sentirse engañados.

• Precios Inflados y Descuentos Falsos: Una de las prácticas más frecuentes es la falsa oferta de descuentos. Algunos e-commerce elevan los precios de sus productos antes de aplicar un descuento “exclusivo” que, en realidad, no es tal. Por ejemplo, un artículo que antes costaba 50 euros puede ser marcado como rebajado a 30 euros, pero el problema viene cuando en realidad nunca estuvo a 50 euros.
• “Cajas Sorpresa” y Productos Falsificados: Otro ejemplo de engaño lo constituyen las famosas “cajas sorpresa” o “productos exclusivos”.
• “Cargando el Carrito”: Una técnica manipulativa usada por algunos e-commerce consiste en mostrar a los compradores un mensaje como “¡Solo quedan 2 unidades!” o “¡Oferta exclusiva para ti!”.
• Subida de Precios Durante el Proceso de Compra: En algunas plataformas, los usuarios reportan que los precios de los productos aumentan en la etapa final de la compra, justo cuando ya han introducido su información de pago.

Los consumidores deben estar cada vez más atentos a los precios y las ofertas que encuentran en línea. Es recomendable comparar productos en diferentes plataformas y verificar la autenticidad de los productos y la reputación de los vendedores.

Prevención y Respuesta al Fraude en el E-commerce

Las empresas de e-commerce necesitan tener una estrategia de pagos integral para prosperar. Esto supone abordar los riesgos asociados al fraude en el e-commerce. Esto requiere prepararse para lo que no puedes controlar, además de optimizar lo que sí puedes para proteger tu negocio y a tus clientes de posibles pérdidas, mejorar los procesos de pago y crear una experiencia de cliente positiva.

El primer paso para evitar ser víctima de fraude en comercios electrónicos es conocer cuáles son los riesgos a los que nos exponemos. Manteniéndose informadas y actuando de forma proactiva sobre la creciente amenaza del fraude en el e-commerce, las empresas pueden proteger su reputación, sus ingresos y la confianza de sus clientes.

Estrategias de Prevención

1. Protección de Pagos: En PayComet, su pasarela de pagos estará protegida con certificación PCI, la máxima seguridad que se puede garantizar en internet. Para ello deberás asignar un valor del 1 al 100 a distintas circunstancias consideradas de riesgo. El algoritmo calculará el total del riesgo, y obedecerá a las reglas establecidas. Un ejemplo son las transacciones que requieren doble factor de autenticación (2FA), ya sea por SMS, notificación push en el smartphone o mediante verificación biométrica.
2. Colaboración con Partners: Los comercios electrónicos se apoyan en sus partners para gestionar la prevención del fraude.
3. Análisis del Comportamiento del Usuario: Hay muchas actividades fraudulentas en comercio electrónico en las que no aparecen los pagos, y es aquí donde el estudio del comportamiento de los usuarios puede ser utilizado para detectar este tipo de estafa. En adelante los bancos empezarán a explorar la posibilidad de implementar modelos de deep learning como evolución en el campo de machine learning.
4. Registro Defensivo de Dominios: El cybersquatting o ciberocupación aprovecha nombres de dominio muy parecidos al de una tienda real para engañar a sus clientes. Al registrar las variantes más obvias de la marca se impide que terceros las puedan emplear con fines maliciosos. Si se realizan ventas a nivel internacional en mercados concretos, no es descabellado registrar también las extensiones de esos países, así como variaciones del nombre que puedan resultar lógicos. Siempre es más barato registrar por adelantado un dominio que tener que recuperarlo luego por vías legales.
5. Uso de Herramientas de Detección de Dominios: Existen herramientas sin coste disponibles para realizar búsquedas de variantes de dominios que permiten saber cuáles están registrados alrededor del nombre de la marca. Es el caso de DNSTwister o Axur Watchdog.

Impacto en Pequeños Negocios

Teniendo claro que las grandes marcas no son las únicas en las que se fijan las redes de fraude, los pequeños comercios tienen a su alcance varias estrategias de prevención, medidas proactivas y actuaciones a posteriori con las que estar protegidos. Al menos, hasta cierto punto. Cuando un cliente llega a una de esas páginas fraudulentas, si no está lo suficientemente atento, puede terminar por facilitar sus datos e incluso realizar pagos al delincuente. Las multas impuestas por organismos de defensa del consumidor pueden resultar cuantiosas.

Tabla de Tipos de Fraude Comunes y Negocios Afectados