stringtranslate.com

Fraude con tarjetas de crédito

Una ranura de cajero automático falso utilizada para " skimming "

El fraude con tarjeta de crédito es un término inclusivo para el fraude cometido con una tarjeta de pago , como una tarjeta de crédito o una tarjeta de débito . [1] El propósito puede ser obtener bienes o servicios o realizar un pago a otra cuenta, que está controlada por un delincuente. El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es el estándar de seguridad de datos creado para ayudar a las instituciones financieras a procesar los pagos con tarjeta de forma segura y reducir el fraude con tarjetas. [2]

El fraude con tarjetas de crédito puede ser autorizado, cuando el cliente genuino procesa por sí mismo el pago a otra cuenta que está controlada por un delincuente, o no autorizado, cuando el titular de la cuenta no proporciona autorización para que se proceda al pago y la transacción la realiza un tercero. En 2018, las pérdidas por fraude financiero no autorizado en tarjetas de pago y banca a distancia ascendieron a 844,8 millones de libras esterlinas en el Reino Unido. Mientras que los bancos y las compañías de tarjetas evitaron 1.660 millones de libras esterlinas en fraudes no autorizados en 2018. Eso equivale a que se detuvieran 2 libras esterlinas de cada 3 de intentos de fraude. [3]

El fraude con tarjetas de crédito puede ocurrir cuando usuarios no autorizados obtienen acceso a la información de la tarjeta de crédito de una persona para realizar compras, otras transacciones o abrir nuevas cuentas. Algunos ejemplos de fraude con tarjetas de crédito incluyen el fraude de apropiación de cuentas, el fraude de cuentas nuevas, las tarjetas clonadas y los esquemas de tarjetas no presentes. Este acceso no autorizado se produce a través de phishing, clonación de datos y el intercambio de información por parte de un usuario, a menudo sin saberlo. Sin embargo, este tipo de fraude puede detectarse mediante inteligencia artificial y aprendizaje automático, así como prevenirse por parte de emisores, instituciones y titulares de tarjetas individuales. Según un informe anual de 2021, aproximadamente el 50% de todos los estadounidenses han experimentado un cargo fraudulento en sus tarjetas de crédito o débito, y más de uno de cada tres titulares de tarjetas de crédito o débito han experimentado fraude varias veces. Esto equivale a 127 millones de personas en los EE. UU. que han sido víctimas del robo de tarjetas de crédito al menos una vez.

Los reguladores, los proveedores de tarjetas y los bancos dedican mucho tiempo y esfuerzo a colaborar con los investigadores de todo el mundo con el objetivo de garantizar que los estafadores no tengan éxito. El dinero de los titulares de tarjetas suele estar protegido de los estafadores mediante regulaciones que obligan a los proveedores de tarjetas y a los bancos a rendir cuentas. La tecnología y las medidas de seguridad detrás de las tarjetas de crédito avanzan continuamente, lo que añade barreras a los estafadores que intentan robar dinero. [4]

Fraude con tarjetas de medios de pago

Existen dos tipos de fraude con tarjetas: el fraude con tarjeta presente (no tan común en la actualidad) y el fraude con tarjeta no presente (más común). La vulneración puede producirse de diversas maneras y, por lo general, sin que el titular de la tarjeta lo sepa. Internet ha hecho que las fallas de seguridad de las bases de datos resulten particularmente costosas; en algunos casos, millones de cuentas se han visto comprometidas. [5]

Los titulares de tarjetas pueden denunciar rápidamente el robo de tarjetas, pero los detalles de una cuenta comprometida pueden permanecer en poder de un estafador durante meses antes de que se produzca el robo, lo que dificulta la identificación de la fuente del robo. Es posible que el titular de la tarjeta no descubra el uso fraudulento hasta que reciba un extracto. Los titulares de tarjetas pueden mitigar este riesgo de fraude comprobando su cuenta con frecuencia para asegurarse de que no haya transacciones sospechosas o desconocidas. [6]

Cuando se pierde o se roba una tarjeta de crédito, se puede utilizar para realizar compras ilegales hasta que el titular notifique al banco emisor y este bloquee la cuenta. La mayoría de los bancos tienen números de teléfono gratuitos disponibles las 24 horas para fomentar la pronta denuncia. Aun así, es posible que un ladrón realice compras no autorizadas con una tarjeta antes de que esta sea cancelada.

Prevención del fraude con tarjetas de pago

La información de la tarjeta se almacena en varios formatos. Los números de tarjeta (formalmente, el número de cuenta principal o PAN) suelen estar grabados o impresos en la tarjeta, y una banda magnética en la parte posterior contiene los datos en un formato legible por máquina. Los campos pueden variar, pero los más comunes incluyen el nombre del titular de la tarjeta, el número de tarjeta, la fecha de vencimiento y el código CVV de verificación .

En Europa y Canadá, la mayoría de las tarjetas están equipadas con un chip EMV que requiere que se introduzca un PIN de 4 a 6 dígitos en la terminal del comerciante antes de que se autorice el pago. Sin embargo, no se requiere un PIN para las transacciones en línea. En algunos países europeos, a los compradores que utilicen una tarjeta sin chip se les puede solicitar una identificación con fotografía en el punto de venta .

En algunos países, el titular de una tarjeta de crédito puede realizar un pago sin contacto por bienes o servicios acercando su tarjeta a un lector RFID o NFC sin necesidad de introducir un PIN o una firma si el coste se encuentra por debajo de un límite predeterminado. Sin embargo, una tarjeta de crédito o débito robada podría utilizarse para realizar varias transacciones más pequeñas antes de que se detecte la actividad fraudulenta.

Los emisores de tarjetas mantienen varias contramedidas, incluido un software que puede estimar la probabilidad de fraude. Por ejemplo, una transacción importante que se realiza a gran distancia del domicilio del titular de la tarjeta puede parecer sospechosa. Se puede indicar al comerciante que llame al emisor de la tarjeta para verificarla o que rechace la transacción, o incluso que retenga la tarjeta y se niegue a devolverla al cliente. [7]

Detección de fraudes con tarjetas de crédito mediante tecnología

Inteligencia artificial y computacional

Dada la inmensa dificultad de detectar el fraude con tarjetas de crédito, se desarrolló la inteligencia artificial y computacional para que las máquinas intenten realizar tareas en las que los humanos ya están haciendo bien. La inteligencia computacional es simplemente un subconjunto de la inteligencia artificial que permite la inteligencia en un entorno cambiante. Debido a los avances tanto en inteligencia artificial como computacional, las formas más utilizadas y sugeridas para detectar el fraude con tarjetas de crédito son las técnicas de inducción de reglas, los árboles de decisión, las redes neuronales, las máquinas de vectores de soporte, la regresión logística y la metaheurística. Hay muchos enfoques diferentes que se pueden utilizar para detectar el fraude con tarjetas de crédito. Por ejemplo, algunos "sugieren un marco que se puede aplicar en tiempo real donde primero se realiza un análisis de valores atípicos por separado para cada cliente utilizando mapas autoorganizados y luego se utiliza un algoritmo predictivo para clasificar las transacciones que parecen anormales". Algunos problemas que surgen al detectar el fraude con tarjetas de crédito a través de la inteligencia computacional son la idea de clasificaciones erróneas como falsos negativos/positivos, así como la detección de fraude en una tarjeta de crédito que tiene un límite disponible mayor es mucho más prominente que la detección de un fraude con un límite disponible menor. Un algoritmo que ayuda a detectar este tipo de problemas se conoce como algoritmo MBO. Se trata de una técnica de búsqueda que permite la mejora mediante sus "soluciones vecinas". Otro algoritmo que ayuda a solucionar estos problemas es el algoritmo GASS. En GASS, se trata de un híbrido entre algoritmos genéticos y búsqueda dispersa. [8]

Aprendizaje automático

En cuanto a las dificultades de la detección de fraudes con tarjetas de crédito, incluso con más avances en aprendizaje y tecnología cada día, las empresas se niegan a compartir sus algoritmos y técnicas con terceros. Además, las transacciones fraudulentas representan solo entre el 0,01 y el 0,05 % de las transacciones diarias, lo que las hace aún más difíciles de detectar. El aprendizaje automático es similar a la inteligencia artificial, donde es un subcampo de la IA, mientras que la estadística es una subdivisión de las matemáticas. Con respecto al aprendizaje automático, el objetivo es encontrar un modelo que produzca ese nivel más alto sin sobreajuste al mismo tiempo. El sobreajuste significa que el sistema informático memoriza los datos y, si una nueva transacción difiere en el conjunto de entrenamiento de alguna manera, lo más probable es que se clasifique incorrectamente, lo que provocará un titular de tarjeta irritado o una víctima de fraude que no fue detectado. Los programas más populares utilizados en el aprendizaje automático son Python, R y MatLab. Al mismo tiempo, SAS también se está convirtiendo en un competidor cada vez mayor. A través de estos programas, el método más fácil utilizado en esta industria es la máquina de vectores de soporte. R tiene un paquete con la función SVM ya programada. Cuando se emplean máquinas de vectores de soporte, es una forma eficiente de extraer datos. SVM se considera una investigación activa y también resuelve con éxito problemas de clasificación. Desempeña un papel importante en el aprendizaje automático y tiene "un excelente rendimiento de generalización en una amplia gama de problemas de aprendizaje, como el reconocimiento de dígitos escritos a mano, la clasificación de páginas web y la detección de rostros". SVM también es un método exitoso porque reduce la posibilidad de sobreajuste y dimensionalidad. [9]

Tipos de fraude con tarjetas de pago

Fraude en la aplicación

El fraude de solicitud se produce cuando una persona utiliza documentos robados o falsos para abrir una cuenta a nombre de otra persona. Los delincuentes pueden robar o falsificar documentos como facturas de servicios públicos y extractos bancarios para crear un perfil personal. Cuando se abre una cuenta utilizando documentos falsos o robados, el estafador puede retirar dinero en efectivo u obtener crédito a nombre de la víctima. [10]

El fraude de solicitud también puede ocurrir utilizando una identidad sintética que es similar a los documentos falsos mencionados anteriormente. Una identidad sintética es información personal obtenida de muchas identidades diferentes para crear una identidad falsa. [11] Una vez que se establece la identidad y la cuenta, el estafador tiene algunas opciones diferentes para aprovecharse del banco. Puede maximizar el gasto de su tarjeta de crédito gastando la mayor cantidad de dinero posible en su nueva tarjeta de crédito. Muchos estafadores usarán la nueva tarjeta de crédito para comprar artículos que tienen un alto valor de reventa para poder convertirlos en efectivo. [12]

Toma de control de cuenta

La apropiación de una cuenta se refiere al acto mediante el cual los estafadores intentarán asumir el control de la cuenta de un cliente (es decir, tarjetas de crédito, correo electrónico, bancos, tarjeta SIM, etc.). El control a nivel de la cuenta ofrece grandes beneficios para los estafadores. Según Forrester, la autenticación basada en riesgos (RBA) desempeña un papel clave en la mitigación de riesgos. [13]

Un estafador utiliza partes de la identidad de la víctima, como una dirección de correo electrónico, para obtener acceso a las cuentas financieras. Luego, este individuo intercepta las comunicaciones sobre la cuenta para mantener a la víctima a ciegas ante cualquier amenaza. Las víctimas suelen ser las primeras en detectar el robo de cuentas cuando descubren cargos en los extractos mensuales que no autorizaron o múltiples retiros cuestionables. [14] Ha habido un aumento en el número de robos de cuentas desde la adopción de la tecnología EMV, lo que hace que sea más difícil para los estafadores clonar tarjetas de crédito físicas. [15]

Entre los métodos más comunes que utiliza un estafador para comprometer una cuenta, la toma de control incluye aplicaciones de un solo clic para "verificar" basadas en proxy, ataques de botnets de fuerza bruta, phishing [16] y malware. Otros métodos incluyen buscar información personal en correo descartado en la basura y comprar directamente listas de "Fullz", un término del argot para paquetes completos de información de identificación que se venden en el mercado negro [17] .

Una vez que inician sesión, los estafadores tienen acceso a la cuenta y pueden realizar compras y retirar dinero de las cuentas bancarias. [18] Tienen acceso a cualquier información vinculada a la cuenta, pueden robar números de tarjetas de crédito y números de seguridad social. Pueden cambiar las contraseñas para evitar que la víctima acceda a su cuenta. Los cibercriminales tienen la oportunidad de abrir otras cuentas, utilizar las recompensas y los beneficios de la cuenta y vender esta información a otros piratas informáticos. [19]

Fraude de ingeniería social

El fraude de ingeniería social puede ocurrir cuando un delincuente se hace pasar por otra persona, lo que da como resultado una transferencia voluntaria de dinero o información al estafador. [20] Los estafadores están recurriendo a métodos más sofisticados para estafar a personas y empresas. Una táctica común es enviar correos electrónicos falsos haciéndose pasar por un miembro superior del personal e intentando engañar a los empleados para que transfieran dinero a una cuenta bancaria fraudulenta. [21]

Los estafadores pueden utilizar diversas técnicas para solicitar información personal haciéndose pasar por un banco o un procesador de pagos. El phishing telefónico es la técnica de ingeniería social más común para ganarse la confianza de la víctima.

Las empresas pueden protegerse con un proceso de doble autorización para la transferencia de fondos que requiere la autorización de al menos dos personas y un procedimiento de devolución de llamada a un número de contacto establecido previamente, en lugar de cualquier información de contacto incluida en la solicitud de pago. El banco debe reembolsar cualquier pago no autorizado; sin embargo, puede rechazar un reembolso si puede demostrar que el cliente autorizó la transacción, o puede demostrar que el cliente es culpable porque actuó deliberadamente o no protegió los detalles que permitieron la transacción. [22]

Desnatado

Unidad de plástico verde en una ranura de cajero automático, destinada a evitar que los ladrones instalen un dispositivo skimmer en la máquina

El skimming es el robo de información personal que ha sido utilizada en una transacción normal. El ladrón puede obtener el número de tarjeta de la víctima utilizando métodos básicos como fotocopiar recibos o métodos más avanzados como usar un pequeño dispositivo electrónico (skimmer) para pasar y almacenar cientos de números de tarjeta de las víctimas. [23] Los escenarios comunes para el skimming son taxis, restaurantes o bares donde el skimmer tiene posesión de la tarjeta de pago de la víctima fuera de su vista inmediata. [24] El ladrón también puede usar un pequeño teclado para transcribir discretamente el código de seguridad de la tarjeta de tres o cuatro dígitos , que no está presente en la banda magnética.

Los centros de llamadas son otro ámbito en el que se puede producir fácilmente el skimming. [25] El skimming también puede producirse en los comercios cuando se instala un dispositivo de lectura de tarjetas de terceros fuera de una terminal de deslizamiento de tarjetas. Este dispositivo permite a un ladrón capturar la información de la tarjeta de un cliente, incluido su PIN, con cada deslizamiento de la tarjeta. [26]

El skimming es difícil de detectar para el titular de una tarjeta, pero si se cuenta con una muestra lo suficientemente grande, es bastante fácil de detectar para el emisor de la tarjeta. El emisor recopila una lista de todos los titulares de tarjetas que se han quejado de transacciones fraudulentas y luego utiliza la minería de datos para descubrir las relaciones entre ellos y los comerciantes que utilizan. Los algoritmos sofisticados también pueden buscar patrones de fraude. Los comerciantes deben garantizar la seguridad física de sus terminales y las sanciones para los comerciantes pueden ser severas si se ven comprometidos, desde grandes multas por parte del emisor hasta la exclusión total del sistema, lo que puede ser un golpe mortal para negocios como los restaurantes donde las transacciones con tarjetas de crédito son la norma.

Se han reportado casos de skimming en los que el perpetrador ha colocado sobre la ranura para tarjetas de un cajero automático un dispositivo que lee la banda magnética mientras el usuario pasa su tarjeta sin saberlo. [27] Estos dispositivos se utilizan a menudo junto con una cámara en miniatura para leer el número de identificación personal del usuario al mismo tiempo. [28] Este método se está utilizando en muchas partes del mundo, incluyendo Sudamérica, Argentina, [29] y Europa. [30]

Facturación repetida inesperada

El pago de facturas en línea o las compras por Internet utilizando una cuenta bancaria son una fuente de facturación repetida conocida como "cargos bancarios recurrentes". Se trata de órdenes permanentes u órdenes bancarias de un cliente para honrar y pagar una cierta cantidad cada mes al beneficiario. Con el comercio electrónico , especialmente en los Estados Unidos , un vendedor o beneficiario puede recibir el pago por débito directo a través de la red ACH . Si bien muchos pagos o compras son válidos y el cliente tiene la intención de pagar la factura mensualmente, algunos se conocen como pagos automáticos fraudulentos . [31]

Otro tipo de fraude con tarjetas de crédito se dirige a los clientes de servicios públicos. Los clientes reciben comunicaciones no solicitadas en persona, por teléfono o por medios electrónicos de personas que dicen ser representantes de empresas de servicios públicos . Los estafadores alertan a los clientes de que se les desconectará el servicio público a menos que realicen un pago inmediato, que generalmente implica el uso de una tarjeta de débito recargable para recibir el pago. A veces, los estafadores utilizan números de teléfono y gráficos que parecen auténticos para engañar a las víctimas.

Suplantación de identidad (phishing)

El phishing es uno de los métodos más comunes utilizados para robar datos personales. Es un tipo de ciberataque en el que el atacante actúa como una persona, institución o entidad creíble e intenta engañar a la víctima para que acepte un mensaje o realice una acción con la solicitud específica. A menudo, el objetivo del ataque recibirá un correo electrónico o un mensaje de texto sobre algo que posiblemente desee o necesite con la esperanza de engañarlo para que lo abra o descargue. Durante la pandemia de COVID-19, el phishing ha ido en aumento a medida que nuestro mundo se volvió aún más virtual. Para dar perspectiva, "los investigadores notaron un aumento sustancial del 667% en los ataques de phishing de COVID-19 en los primeros meses de la pandemia". [32] Además, dada la importancia de los sistemas de atención médica en estos últimos años, las empresas de atención médica han sido los principales objetivos de los ataques de phishing. Estas empresas tienen toneladas de datos personales almacenados que pueden ser extremadamente valiosos para el atacante.

Intercambio de información

El intercambio de información es la transferencia o intercambio de datos entre personas, empresas, organizaciones y tecnologías. Los avances en la tecnología, Internet y las redes han acelerado el crecimiento del intercambio de información. La información se difunde y comparte en cuestión de segundos, y se acumula y se digiere a velocidades más rápidas que nunca. Las personas a menudo no son conscientes de la cantidad de información confidencial y personal que comparten todos los días. Por ejemplo, cuando compran productos en línea, el nombre del comprador, la dirección de correo electrónico, la dirección de su casa y la información de la tarjeta de crédito se almacenan y comparten con terceros para rastrearlos y rastrear sus futuras compras. Las organizaciones trabajan duro para mantener segura la información personal de las personas en sus bases de datos, pero a veces los piratas informáticos pueden comprometer su seguridad y obtener acceso a una inmensa cantidad de datos. Una de las mayores violaciones de datos ocurrió en la tienda de descuento Target. En esta violación, se vieron afectados unos 40 millones de compradores. En este caso específico, los piratas informáticos apuntaron a su sistema de punto de venta, lo que significa que "o bien introdujeron malware en las terminales donde los clientes pasan sus tarjetas de crédito, o bien recopilaron datos de los clientes mientras estaban en camino desde Target a sus procesadores de tarjetas de crédito". [33] Con una sola compra en la caja registradora se recogen grandes cantidades de datos personales que, si son robados, tienen importantes consecuencias. La infraestructura del mercado financiero y el sistema de pagos seguirán siendo un proyecto en desarrollo, ya que se encuentran en constante lucha contra los piratas informáticos.

Regulación y gobernanza

Estados Unidos

Aunque no es una norma federal en los Estados Unidos, la norma PCI DSS está establecida por el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago, que está compuesto por las principales marcas de tarjetas de crédito y mantiene esta norma como una norma de la industria. Algunos estados han incorporado la norma a sus leyes.

Propuesta de endurecimiento de la ley federal

El Departamento de Justicia de Estados Unidos anunció en septiembre de 2014 que trataría de imponer una ley más dura para combatir el tráfico de tarjetas de crédito en el extranjero. Las autoridades dicen que el estatuto actual es demasiado débil porque permite a las personas de otros países evitar el procesamiento si permanecen fuera de Estados Unidos cuando compran y venden los datos y no pasan su negocio ilícito a través de Estados Unidos. El Departamento de Justicia pide al Congreso de Estados Unidos que modifique la ley actual que haría ilegal que un delincuente internacional posea, compre o venda una tarjeta de crédito robada emitida por un banco estadounidense independientemente de la ubicación geográfica. [34]

Responsabilidad del titular de la tarjeta

En los Estados Unidos, la ley federal limita la responsabilidad de los titulares de tarjetas a 50 dólares en caso de robo de la tarjeta de crédito, independientemente del importe cargado en la misma, si se informa dentro de los 60 días siguientes a la recepción del estado de cuenta. [35] En la práctica, muchos emisores renuncian a este pequeño pago y simplemente eliminan los cargos fraudulentos de la cuenta del cliente si este firma una declaración jurada que confirma que los cargos son, en efecto, fraudulentos. Si no se pierde ni se roba la tarjeta física, sino que se roba únicamente el número de cuenta de la tarjeta de crédito, la ley federal garantiza que los titulares de tarjetas no tienen ninguna responsabilidad ante el emisor de la tarjeta de crédito. [36]

Reino Unido

En el Reino Unido, las tarjetas de crédito están reguladas por la Ley de Crédito al Consumidor de 1974 (modificada en 2006 ). Esta ley establece una serie de protecciones y requisitos. Cualquier uso indebido de la tarjeta, a menos que sea deliberadamente delictivo por parte del titular, debe ser reembolsado por el comerciante o el emisor de la tarjeta.

La regulación de los bancos en el Reino Unido está a cargo del Banco de Inglaterra (BoE), la Autoridad de Regulación Prudencial (PRA), una división del BoE, y la Autoridad de Conducta Financiera (FCA), que se encarga de la supervisión diaria. No existe una legislación o regulación específica que rija la industria de las tarjetas de crédito. Sin embargo, la Asociación de Servicios de Compensación de Pagos (APACS) es la institución de la que forman parte todos los miembros de la liquidación. La organización trabaja bajo la Directiva de Consolidación Bancaria para proporcionar un medio por el cual se puedan monitorear y regular las transacciones. [37] UK Finance es la asociación del sector bancario y de servicios financieros del Reino Unido, que representa a más de 250 empresas que brindan servicios de crédito, bancarios y relacionados con los pagos.

Australia

Un gráfico que muestra el número de víctimas y la proporción de la población o el hogar afectados por diferentes delitos.

En Australia , el fraude con tarjetas de crédito se considera una forma de delito de identidad . El Centro Australiano de Informes y Análisis de Transacciones ha establecido definiciones estándar en relación con el delito de identidad para su uso por parte de las fuerzas de seguridad de todo Australia:

Hong Kong

Ante el creciente número de transacciones con tarjetas de pago no autorizadas que implican fraudes y estafas, la Autoridad Monetaria de Hong Kong emitió dos circulares el 25 de abril de 2023. [39]

Pérdidas

Según las estimaciones realizadas por el Departamento del Fiscal General, los delitos de identidad le cuestan a Australia más de 1.600 millones de dólares al año, y la mayor parte de los 900 millones de dólares que se pierden son personas físicas a causa de fraudes con tarjetas de crédito, robos de identidad y estafas. [38] En 2015, el Ministro de Justicia y Ministro Asistente del Primer Ministro para la Lucha contra el Terrorismo, Michael Keenan, publicó el informe Identity Crime and Misuse in Australia 2013-14 (Delitos de identidad y uso indebido en Australia 2013-14). En este informe se estima que el coste total directo e indirecto de los delitos de identidad se acercaba a los 2.000 millones de dólares, lo que incluye las pérdidas directas e indirectas que sufren las agencias gubernamentales y las personas físicas, y el coste de los delitos de identidad registrados por la policía. [40]

Responsabilidad del titular de la tarjeta

En Australia, la víctima de un fraude con tarjeta de crédito que aún esté en su posesión no es responsable de nada que haya comprado con ella sin su permiso. Sin embargo, esto está sujeto a los términos y condiciones de la cuenta. Si se ha denunciado el robo físico o la pérdida de la tarjeta, el titular de la misma no suele ser responsable de ninguna transacción que no haya realizado, a menos que se pueda demostrar que actuó de manera deshonesta o sin el debido cuidado. [38]

Vendedores vs comerciantes

Para evitar que los vendedores sean "devueltos" a sus clientes por transacciones fraudulentas, los comerciantes pueden inscribirse en los servicios ofrecidos por Visa y MasterCard denominados Verified by Visa y MasterCard SecureCode, bajo el término genérico 3-D Secure . Esto requiere que los consumidores agreguen información adicional para confirmar una transacción. [ cita requerida ]

Con frecuencia, los comerciantes en línea no toman las medidas adecuadas para proteger sus sitios web de ataques fraudulentos, por ejemplo, ignorando la secuenciación. A diferencia de las transacciones de productos más automatizadas, un empleado que supervisa las solicitudes de autorización con tarjeta presente debe aprobar la retirada de los productos del establecimiento por parte del cliente en tiempo real. [ cita requerida ]

Si el comerciante pierde el pago, las tarifas por procesar el pago, las comisiones por conversión de moneda y el monto de la penalización por devolución de cargo. Por razones obvias, muchos comerciantes toman medidas para evitar las devoluciones de cargo, como no aceptar transacciones sospechosas. Esto puede generar daños colaterales, ya que el comerciante pierde además ventas legítimas al bloquear incorrectamente las transacciones legítimas. Los comerciantes de pedidos por correo o por teléfono (MOTO) están implementando la automatización asistida por agente que permite al agente del centro de llamadas recopilar el número de tarjeta de crédito y otra información de identificación personal sin verlo ni escucharlo. Esto reduce en gran medida la probabilidad de devoluciones de cargo y aumenta la probabilidad de que se anulen las devoluciones de cargo fraudulentas. [41]

Famosos ataques de fraude crediticio

Entre julio de 2005 y mediados de enero de 2007, una violación de los sistemas de TJX Companies expuso los datos de más de 45,6 millones de tarjetas de crédito. Albert González está acusado de ser el cabecilla del grupo responsable de los robos. [42] En agosto de 2009, González también fue acusado del mayor robo de tarjetas de crédito conocido hasta la fecha: se robó información de más de 130 millones de tarjetas de crédito y débito en Heartland Payment Systems , los minoristas 7-Eleven y Hannaford Brothers , y dos empresas no identificadas. [43]

En 2012, alrededor de 40 millones de conjuntos de información de tarjetas de pago se vieron comprometidos por un ataque a Adobe Systems . [44] La información comprometida incluía nombres de clientes, números de tarjetas de pago encriptados, fechas de vencimiento e información relacionada con pedidos, dijo el director de seguridad Brad Arkin. [45]

En julio de 2013, informes de prensa indicaron que cuatro rusos y un ucraniano fueron acusados ​​en el estado de Nueva Jersey, Estados Unidos, por lo que se denominó "el mayor plan de piratería y violación de datos jamás llevado a cabo en los Estados Unidos". [46] Albert González también fue citado como co-conspirador del ataque, que provocó pérdidas de al menos 160 millones de tarjetas de crédito y más de 300 millones de dólares en pérdidas. El ataque afectó a empresas estadounidenses y europeas, entre ellas Citigroup, Nasdaq OMX Group, PNC Financial Services Group, la licenciataria de Visa, Visa Jordan, Carrefour, JCPenney y JetBlue Airways. [47]

Entre el 27 de noviembre y el 15 de diciembre de 2013, una vulneración de los sistemas de Target Corporation expuso los datos de alrededor de 40 millones de tarjetas de crédito. La información robada incluía nombres, números de cuenta, fechas de vencimiento y códigos de seguridad de las tarjetas . [48]

Del 16 de julio al 30 de octubre de 2013, un ataque de piratería comprometió alrededor de un millón de conjuntos de datos de tarjetas de pago almacenados en computadoras de Neiman-Marcus . [44] [49] Un sistema de malware, diseñado para conectarse a las cajas registradoras y monitorear el proceso de autorización de tarjetas de crédito (malware que raspa RAM), se infiltró en los sistemas de Target y expuso información de hasta 110 millones de clientes. [50]

El 8 de septiembre de 2014, The Home Depot confirmó que sus sistemas de pago habían sido vulnerados. Posteriormente, publicó un comunicado en el que afirmaba que los piratas informáticos habían obtenido un total de 56 millones de números de tarjetas de crédito como resultado de la vulneración. [51]

El 15 de mayo de 2016, en un ataque coordinado, un grupo de unas 100 personas utilizó los datos de 1.600 tarjetas de crédito sudafricanas para robar 12,7 millones de dólares estadounidenses de 1.400 tiendas de conveniencia de Tokio en un plazo de tres horas. Se cree que, al actuar un domingo y en un país distinto del banco que emitió las tarjetas, ganaron tiempo suficiente para abandonar Japón antes de que se descubriera el robo. [52]

Medidas para combatir el fraude en los pagos con tarjeta

Las contramedidas para combatir el fraude con tarjetas de crédito incluyen las siguientes.

Por comerciantes

Por los emisores de tarjetas

  1. El uso de controles de datos automatizados que se utilizan para reconocer cuando se produce una actividad o un gasto inusual con una tarjeta de crédito. Estos controles se pueden utilizar en tiempo real para reaccionar "... ante cualquier cosa sospechosa que detecten, de modo que el flujo de actividad fraudulenta se detenga lo antes posible..." (Johnston). [63] Las tres formas principales en que los controles de datos automatizados protegen la información incluyen:
    1. Conciliación y verificación para garantizar que los controles funcionan correctamente.
    2. Monitoreo y alerta continuos que avisan al titular de la tarjeta/banco cuando se produce alguna actividad inusual.
    3. Informes que garantizan que las organizaciones tengan los controles adecuados para prevenir actividades fraudulentas.

Por bancos e instituciones financieras

Por organismos gubernamentales y reguladores

Por los titulares de tarjetas

Disparidades y dilemas éticos en el fraude con tarjetas de crédito

Diferencias generacionales

  1. Los millennials son las mayores víctimas de todos los fraudes, incluidos los relacionados con tarjetas de crédito y débito, los de billeteras digitales, los de pagos digitales, los bancarios y los fiscales. A continuación se encuentran los de la generación X y, después, los de la generación Z.
  2. Los millennials son los que más tiempo pasan intentando recuperar dinero perdido debido a cargos fraudulentos, disputando cargos fraudulentos y verificando cuentas para detectar actividades fraudulentas o inusuales entre todos los grupos generacionales. [70]
  3. La generación Z experimentó fraudes con mayor frecuencia a través de aplicaciones de pago digitales como PayPal, Venmo y Square. Las otras generaciones experimentaron la mayoría de sus problemas a través de fraudes con tarjetas de crédito.
  4. Se descubrió que los Baby Boomers tenían la menor cantidad de casos de cargos fraudulentos y también pasaban la menor cantidad de tiempo tratando de recuperar dinero debido a cargos fraudulentos o disputando estos cargos.

Diferencias raciales

  1. “La Comisión Federal de Comercio (“FTC”) y la Oficina de Protección Financiera del Consumidor (“CFPB”) elaboraron informes sobre la conexión entre las poblaciones minoritarias y los problemas de los consumidores. Todos los informes llegaron a la misma conclusión: las prácticas injustas y engañosas tienen impactos únicos y desproporcionados en las comunidades de color. Estos hallazgos sugieren que es necesario hacer más para proteger a estas comunidades del fraude”. [71] Además de esto, los piratas informáticos se dirigen específicamente a las comunidades de color por razones como su necesidad de ingresos o crédito adicionales, o su tendencia a utilizar ciertos tipos de productos financieros.
  2. Hallazgos adicionales del informe: [71]
    1. Si bien los consumidores negros y latinos tienen más probabilidades de sufrir fraude, las comunidades latinas predominantemente no denuncian los casos en comparación con las comunidades negras y blancas.
    2. Los consumidores latinos y negros informan de diferentes tasas de fraude en relación con distintas categorías de problemas. La FTC descubrió que su base de datos de quejas mostraba que las comunidades negras y, en menor medida, las latinas experimentan tasas más altas de problemas con las agencias de crédito y las agencias de cobro de deudas que las comunidades blancas.
    3. Las comunidades blancas y latinas sufren tasas más altas de estafas con suplantadores de identidad que las comunidades negras. Además, según los datos de la FTC sobre métodos de pago, las comunidades negras y latinas utilizan tarjetas de crédito, con las protecciones legales que las acompañan, en una tasa sustancialmente menor que las comunidades blancas.

Características tecnológicas adicionales

Véase también

Referencias

  1. ^ "Fraude con tarjetas de crédito: acción del consumidor" (PDF) . Acción del consumidor . Consultado el 28 de noviembre de 2017 .
  2. ^ "Sitio oficial del PCI Security Standards Council: verificación del cumplimiento de PCI, descarga de estándares de seguridad de datos y de tarjetas de crédito". www.pcisecuritystandards.org . Consultado el 1 de octubre de 2021 .
  3. ^ "FRAUDE, HECHOS 2019: la descripción definitiva del fraude en la industria de pagos" (PDF) . UK Finance .
  4. ^ "Fraude con tarjetas de crédito: los mayores fraudes con tarjetas de la historia". uSwitch . Consultado el 29 de diciembre de 2019 .
  5. ^ "Los documentos presentados ante el tribunal duplican la estimación del incumplimiento de TJX". 2007.
  6. ^ Irby, LaToya. "9 maneras de evitar que le sucedan fraudes con tarjetas de crédito". The Balance . Archivado desde el original el 30 de noviembre de 2020. Consultado el 29 de diciembre de 2019 .
  7. ^ "Prevención del fraude en los pagos | Barclaycard Business". www.barclaycard.co.uk . Consultado el 29 de diciembre de 2019 .
  8. ^ "Avances en inteligencia computacional | Volumen 2, número 2". SpringerLink . Consultado el 28 de abril de 2022 .
  9. ^ Woolston, Sarah (2017). "Métodos de aprendizaje automático para la detección de fraudes con tarjetas de crédito". ProQuest . ProQuest  1954696965.
  10. ^ "Fraude en la solicitud". Acción Fraude . Consultado el 29 de diciembre de 2019 .
  11. ^ "Cuidado con el fraude en cuentas nuevas". www.chargebackgurus.com . 14 de agosto de 2021 . Consultado el 5 de mayo de 2022 .
  12. ^ Han, Yaodong; Yao, Shun; Wen, Tie; Tian, ​​Zhenyu; Wang, Changyu; Gu, Zheyuan (diciembre de 2020). "Detección y análisis de fraudes en solicitudes de tarjetas de crédito mediante algoritmos de aprendizaje automático". Journal of Physics: Conference Series . 1693 (1): 012064. Bibcode :2020JPhCS1693a2064H. doi : 10.1088/1742-6596/1693/1/012064 . ISSN  1742-6596.
  13. ^ Pandey, Vanita (19 de julio de 2017). "Forrester Wave Report: ThreatMetrix y la revolución en la autenticación de usuarios basada en riesgos". ThreatMatrix . Consultado el 28 de noviembre de 2017 .
  14. ^ Siciliano, Robert (27 de octubre de 2016). "¿Qué es el fraude de apropiación de cuentas?". the balance . Archivado desde el original el 12 de septiembre de 2017 . Consultado el 28 de noviembre de 2017 .
  15. ^ "Actualización de Visa US Chip: junio de 2016 Progreso constante en la adopción de chips" (PDF) . VISA . 1 de junio de 2016 . Consultado el 28 de noviembre de 2017 .
  16. ^ Fraude con tarjetas de crédito: lo que necesita saber
  17. ^ "Lo que los hackers quieren más que el número de tu tarjeta de crédito | Credit.com". Credit.com . 1 de septiembre de 2015. Archivado desde el original el 30 de mayo de 2016 . Consultado el 16 de mayo de 2016 .
  18. ^ Por (21 de agosto de 2021). "¿Qué es el fraude de apropiación de cuentas y cómo prevenirlo?". www.experian.com . Consultado el 5 de mayo de 2022 .
  19. ^ Kawase, Ricardo; Diana, Francesca; Czeladka, Mateusz; Schüler, Markus; Faust, Manuela (12 de septiembre de 2019). "Fraude en Internet: el caso de la apropiación de cuentas en el mercado en línea". Actas de la 30.ª Conferencia de la ACM sobre hipertexto y redes sociales . HT '19. Nueva York, NY, EE. UU.: Association for Computing Machinery. págs. 181–190. doi :10.1145/3342220.3343651. ISBN 978-1-4503-6885-8.
  20. ^ "Estafas de ingeniería social". www.interpol.int . Consultado el 5 de marzo de 2024 .
  21. ^ "Consejos empresariales". Take Five . Archivado desde el original el 5 de septiembre de 2018. Consultado el 29 de diciembre de 2019 .
  22. ^ "Explicación del fraude de ingeniería social | con Get Indemnity". getindemnity.co.uk . Consultado el 29 de diciembre de 2019 .
  23. ^ Masjedi, Yaniv. Benny, Alina (ed.). "¿Cómo se produce el fraude con tarjetas de débito? ¿Se puede evitar?". Aura . Consultado el 5 de marzo de 2024 .
  24. ^ Trabajo interno/Revisión de tarjetas de restaurante. Registro diario .
  25. ^ Little, Allan (19 de marzo de 2009). "Estafa con tarjeta de crédito en el extranjero expuesta". bbc.co.uk.com .
  26. ^ Revista NACS – Skimmming Archivado el 27 de febrero de 2012 en Wayback Machine . nacsonline.com
  27. ^ William Westhoven (17 de noviembre de 2016). "Una red de ladrones manipuló un cajero automático de Florham Park, según el fiscal general". Daily Record (Morristown) . Consultado el 18 de noviembre de 2016 .
  28. ^ Cámara ATM Snopes.com
  29. ^ "Piden la captura internacional de un estudiante de Ingeniería" (en español). 2 de noviembre de 2010.
  30. ^ "Un aumento dramático en los ataques de clonación de tarjetas en cajeros automáticos". Krebs on Security . 2016.
  31. ^ "Pagos automáticos fraudulentos" - Consultado el 7 de febrero de 2016
  32. ^ Kikerpill, Kristjan y Andra Siibak. "MAZEPHISHING: LA PANDEMIA DE COVID-19 COMO CONTEXTO SOCIAL CREÍBLE PARA ATAQUES DE INGENIERÍA SOCIAL". Trames , vol. 25, núm. 4, diciembre de 2021, págs. 371+. Gale Academic OneFile , link.gale.com/apps/doc/A685710807/AONE?u=udel_main&sid=bookmark-AONE&xid=2f58412d. Consultado el 28 de abril de 2022.
  33. ^ "Objetivo: 40 millones de tarjetas de crédito comprometidas". CNNMoney . 18 de diciembre de 2013 . Consultado el 9 de mayo de 2022 .
  34. ^ Tucker, Eric. "Los fiscales apuntan a los ladrones de tarjetas de crédito en el extranjero". AP . Consultado el 13 de septiembre de 2014 .
  35. ^ "Sección 901 del título IX de la Ley del 29 de mayo de 1968 (Pub. L. No. 90-321), según lo añadido por el título XX de la Ley del 10 de noviembre de 1978 (Pub. L. No. 95-630; 92 Stat. 3728), en vigor desde el 10 de mayo de 1980". Archivado desde el original el 14 de abril de 2002. Consultado el 25 de mayo de 2017 .
  36. ^ "Tarjetas de crédito, cajeros automáticos y débito perdidas o robadas". Ftc.gov. 6 de agosto de 2012. Consultado el 2 de agosto de 2014 .
  37. ^ "¿Quién regula los servicios comerciales de tarjetas de crédito en el Reino Unido?". GB Payments . 23 de enero de 2019 . Consultado el 29 de diciembre de 2019 .
  38. ^ abc "Delito de identidad". Policía Federal Australiana . Mancomunidad de Australia. 2015.
  39. ^ "La Autoridad Monetaria de Hong Kong emitió dos circulares a las instituciones autorizadas en relación con las tarjetas de pago". Mayer Brown . Consultado el 27 de abril de 2023 .
  40. ^ "Delitos de identidad en Australia". www.ag.gov.au . Departamento del Fiscal General de la Mancomunidad de Australia. 2015.
  41. ^ Adsit, Dennis (21 de febrero de 2011). "Estrategias de prevención de errores para gestionar el fraude en los centros de llamadas". isixsigma.com . Archivado desde el original el 15 de junio de 2011.
  42. ^ Zetter, Kim (25 de marzo de 2010). "Hacker de TJX condenado a 20 años de prisión". WIRED . Revista Wired.
  43. ^ Goodin, Dan (17 de agosto de 2009). "Sospechoso de TJX acusado en Heartland, Hannaford viola". The Register .
  44. ^ ab Skimming Off the Top: Por qué Estados Unidos tiene una tasa tan alta de fraude con tarjetas de pago, 15 de febrero de 2014, The Economist
  45. ^ Krebs, Brian (4 de octubre de 2014). "Adobe hackeado: datos de clientes y código fuente comprometidos". The Sydney Morning Herald . Periódico The Sydney Morning Herald.
  46. ^ Piratas informáticos rusos acusados ​​en el "mayor" caso de violación de datos; 160 millones de números de tarjetas de crédito robados, 25 de julio de 2013, Catherine Benson, Reuters
  47. ^ "Seis acusados ​​por el mayor robo de tarjetas de crédito registrado". CNBC . Reuters. 25 de julio de 2013.
  48. ^ "Target enfrenta una reacción violenta tras una violación de seguridad de 20 días". The Wall Street Journal .
  49. ^ Preguntas frecuentes sobre la violación de datos de Neiman Marcus: qué hacer ahora, por Paul Wagenseil, 27 de enero de 2014, guía de Tom
  50. ^ Perlroth, Elizabeth A.; Popper, Nathaniel; Perlroth, Nicole (23 de enero de 2014). "La filtración de datos de Neiman Marcus es peor de lo que se dijo en un principio". The New York Times . ISSN  0362-4331.
  51. ^ Stempel, Jonathan (24 de noviembre de 2020). "Home Depot alcanza un acuerdo de 17,5 millones de dólares por la filtración de datos de 2014". Reuters . Consultado el 15 de abril de 2021 .
  52. ^ McCurry, Justin (23 de mayo de 2016). «100 ladrones roban 13 millones de dólares en tres horas de cajeros automáticos en todo Japón». The Guardian . Consultado el 23 de mayo de 2016 .
  53. ^ Le Borgne, Yann-Aël; Bontempi, Gianluca (2021). "Machine Learning for Credit Card Fraud Detection - Practical Handbook" (Aprendizaje automático para la detección de fraudes con tarjetas de crédito: manual práctico) . Consultado el 26 de abril de 2021 .
  54. ^ ab Hassibi PhD, Khosrow (2000). Detección de fraudes con tarjetas de pago mediante redes neuronales en el libro titulado "Aplicaciones empresariales de las redes neuronales". World Scientific. ISBN 9789810240899. Recuperado el 10 de abril de 2013 .
  55. ^ "Riesgo: gestión más inteligente del riesgo para los servicios financieros". Archivado desde el original el 25 de septiembre de 2011. Consultado el 14 de julio de 2011 .
  56. ^ Richardson, Robert J. "Monitoring Sale Transactions for Illegal Activity" (Monitoreo de transacciones de venta para detectar actividades ilegales) (PDF) . Archivado desde el original (PDF) el 27 de marzo de 2012. Consultado el 14 de julio de 2011 .
  57. ^ "10 medidas para reducir el fraude con tarjetas de crédito". 10 medidas para reducir el fraude con tarjetas de crédito para comerciantes en Internet . FraudLabs Pro. Archivado desde el original el 16 de julio de 2011. Consultado el 14 de julio de 2011 .
  58. ^ Dasgupta, Dipankar; Roy, Arunava; Nag, Abhijit (2017), Dasgupta, Dipankar; Roy, Arunava; Nag, Abhijit (eds.), "Autenticación multifactorial", Avances en la autenticación de usuarios , Infosys Science Foundation Series, Cham: Springer International Publishing, págs. 185-233, doi :10.1007/978-3-319-58808-7_5, ISBN 978-3-319-58808-7, S2CID  63285720 , consultado el 28 de abril de 2022
  59. ^ Alhothaily, Abdulrahman; Alrawais, Arwa; Cheng, Xiuzhen ; Bie, Rongfang (2014). "Hacia una verificación más segura de los titulares de tarjetas en los sistemas de pago". Algoritmos, sistemas y aplicaciones inalámbricas . Apuntes de clase en informática. Vol. 8491. págs. 356–367. doi :10.1007/978-3-319-07782-6_33. ISBN 978-3-319-07781-9. ISSN  0302-9743.
  60. ^ "FFIEC: Autenticación fuera de banda". BankInfoSecurity . Consultado el 14 de julio de 2011 .
  61. ^ "Sistemas de alerta temprana". Sistemas de alerta temprana. Archivado desde el original el 24 de julio de 2011 . Consultado el 14 de julio de 2011 .
  62. ^ "Servicios financieros - Centro de análisis e intercambio de información". FS-ISAC . Consultado el 14 de julio de 2011 .
  63. ^ "Seguridad en la industria de tarjetas de pago: importancia de la integridad de los datos | ISACA Journal". ISACA . Consultado el 28 de abril de 2022 .
  64. ^ "Solución de control de acceso a cajeros automáticos - PASSCHIP". passchip.com . Consultado el 20 de julio de 2018 .
  65. ^ "Cuadernos de TI » Seguridad de la información » Introducción » Descripción general". Manual de examen de TI de la FFIEC: tarjetas de crédito . FFIEC. Archivado desde el original el 7 de julio de 2011. Consultado el 14 de julio de 2011 .
  66. ^ "Cuadernos de TI » Sistemas de pago minorista » Gestión de riesgos de los sistemas de pago minorista » Controles de gestión de riesgos específicos de los instrumentos de pago minorista". Manual de examen de TI de la FFIEC: tarjetas de crédito . FFIEC. Archivado desde el original el 8 de julio de 2011. Consultado el 14 de julio de 2011 .
  67. ^ "El BCE publica sus recomendaciones finales sobre la seguridad de los pagos por Internet e inicia una consulta pública sobre los servicios de acceso a cuentas de pago". 31 de enero de 2013.
  68. ^ "2013/0264(COD) - 24/07/2013 Propuesta legislativa".
  69. ^ "Información al consumidor - Comisión Federal de Comercio".
  70. ^ IBM. "Estudio de IBM descubre amplias diferencias en el impacto geográfico y generacional del fraude financiero y en las actitudes hacia las instituciones financieras". www.prnewswire.com (Nota de prensa) . Consultado el 9 de mayo de 2022 .
  71. ^ ab "Comunidades de color, fraude y agencias de protección al consumidor". Asociación Nacional de Fiscales Generales . 1 de febrero de 2022 . Consultado el 9 de mayo de 2022 .

Enlaces externos