Fraude con tarjeta de crédito es un término que incluye el fraude cometido utilizando una tarjeta de pago , como una tarjeta de crédito o débito . [1] El propósito puede ser obtener bienes o servicios o realizar pagos a otra cuenta, que está controlada por un delincuente. El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es el estándar de seguridad de datos creado para ayudar a las instituciones financieras a procesar pagos con tarjeta de forma segura y reducir el fraude con tarjetas. [2]
El fraude con tarjetas de crédito puede estar autorizado, cuando el cliente genuino procesa el pago a otra cuenta controlada por un delincuente, o no autorizado, cuando el titular de la cuenta no proporciona autorización para que se realice el pago y la transacción la lleva a cabo un tercero. . En 2018, las pérdidas por fraude financiero no autorizado en tarjetas de pago y banca remota ascendieron a £844,8 millones de libras esterlinas en el Reino Unido. Mientras que los bancos y las compañías de tarjetas impidieron £1,660 millones de libras esterlinas en fraude no autorizado en 2018. Eso equivale a £2 de cada £3 de intentos de fraude que se detuvieron. [3]
El fraude con tarjetas de crédito puede ocurrir cuando usuarios no autorizados obtienen acceso a la información de la tarjeta de crédito de un individuo para realizar compras, otras transacciones o abrir nuevas cuentas. Algunos ejemplos de fraude con tarjetas de crédito incluyen fraude de apropiación de cuentas, fraude de cuentas nuevas, tarjetas clonadas y esquemas de tarjetas no presentes. Este acceso no autorizado se produce mediante phishing, skimming e intercambio de información por parte de un usuario, muchas veces sin saberlo. Sin embargo, este tipo de fraude puede detectarse mediante inteligencia artificial y aprendizaje automático, así como prevenirse por parte de emisores, instituciones y titulares de tarjetas individuales. Según un informe anual de 2021, alrededor del 50% de todos los estadounidenses han experimentado un cargo fraudulento en sus tarjetas de crédito o débito, y más de uno de cada tres titulares de tarjetas de crédito o débito ha experimentado fraude varias veces. Esto equivale a 127 millones de personas en Estados Unidos que han sido víctimas de robo de tarjetas de crédito al menos una vez.
Los reguladores, proveedores de tarjetas y bancos dedican mucho tiempo y esfuerzo a colaborar con investigadores de todo el mundo con el objetivo de garantizar que los estafadores no tengan éxito. El dinero de los titulares de tarjetas generalmente está protegido de los estafadores con regulaciones que responsabilizan al proveedor de la tarjeta y al banco. La tecnología y las medidas de seguridad detrás de las tarjetas de crédito avanzan continuamente, agregando barreras para los estafadores que intentan robar dinero. [4]
Hay dos tipos de fraude con tarjeta: fraude con tarjeta presente (no tan común hoy en día) y fraude con tarjeta no presente (más común). El compromiso puede ocurrir de varias maneras y generalmente puede ocurrir sin el conocimiento del titular de la tarjeta. Internet ha hecho que las fallas de seguridad de las bases de datos sean particularmente costosas; en algunos casos, millones de cuentas se han visto comprometidas. [5]
Los titulares de tarjetas pueden denunciar rápidamente el robo de tarjetas, pero un estafador puede conservar los detalles de una cuenta comprometida durante meses antes de cualquier robo, lo que dificulta identificar la fuente del compromiso. El titular de la tarjeta no podrá descubrir el uso fraudulento hasta que reciba un extracto. Los titulares de tarjetas pueden mitigar este riesgo de fraude revisando su cuenta con frecuencia para asegurarse de que no haya transacciones sospechosas o desconocidas. [6]
Cuando una tarjeta de crédito se pierde o es robada, puede usarse para compras ilegales hasta que el titular notifique al banco emisor y el banco bloquee la cuenta. La mayoría de los bancos tienen números de teléfono gratuitos las 24 horas para fomentar la presentación de informes rápidos. Aún así, es posible que un ladrón realice compras no autorizadas con una tarjeta antes de que se cancele.
La información de la tarjeta se almacena en varios formatos. Los números de tarjeta, formalmente el Número de Cuenta Primaria (PAN), suelen estar grabados o impresos en la tarjeta, y una banda magnética en el reverso contiene los datos en un formato legible por máquina. Los campos pueden variar, pero los más comunes incluyen el Nombre del titular de la tarjeta; Número de tarjeta; Fecha de caducidad; y código CVV de verificación .
En Europa y Canadá, la mayoría de las tarjetas están equipadas con un chip EMV que requiere que se ingrese un PIN de 4 a 6 dígitos en la terminal del comerciante antes de que se autorice el pago. Sin embargo, no se requiere un PIN para transacciones en línea. En algunos países europeos, a los compradores que utilicen una tarjeta sin chip se les puede solicitar una identificación con fotografía en el punto de venta .
En algunos países, el titular de una tarjeta de crédito puede realizar un pago sin contacto de bienes o servicios tocando su tarjeta contra un lector RFID o NFC sin necesidad de un PIN o firma si el costo cae por debajo de un límite predeterminado. Sin embargo, una tarjeta de crédito o débito robada podría usarse para una serie de transacciones más pequeñas antes de que se detecte la actividad fraudulenta.
Los emisores de tarjetas mantienen varias contramedidas, incluido software que puede estimar la probabilidad de fraude. Por ejemplo, una transacción importante que se realice a gran distancia de la casa del titular de la tarjeta puede parecer sospechosa. Se le puede ordenar al comerciante que llame al emisor de la tarjeta para verificarla o que rechace la transacción, o incluso que retenga la tarjeta y se niegue a devolverla al cliente. [7]
Dada la inmensa dificultad de detectar fraudes con tarjetas de crédito, se desarrolló inteligencia artificial y computacional para que las máquinas intenten tareas en las que los humanos ya lo hacen bien. La inteligencia informática es simplemente un subconjunto de la IA que permite la inteligencia en un entorno cambiante. Debido a los avances en inteligencia artificial y computacional, las formas más comúnmente utilizadas y sugeridas para detectar fraudes con tarjetas de crédito son técnicas de inducción de reglas, árboles de decisión, redes neuronales, máquinas de vectores de soporte, regresión logística y metaheurísticas. Existen muchos enfoques diferentes que pueden utilizarse para detectar el fraude con tarjetas de crédito. Por ejemplo, algunos "sugieren un marco que se puede aplicar en tiempo real donde primero se realiza un análisis de valores atípicos por separado para cada cliente utilizando mapas autoorganizados y luego se utiliza un algoritmo predictivo para clasificar las transacciones que parecen anormales". Algunos problemas que surgen al detectar fraudes con tarjetas de crédito a través de inteligencia computacional es la idea de clasificaciones erróneas como falsos negativos/positivos, además de detectar fraude en una tarjeta de crédito que tiene un límite disponible mayor es mucho más prominente que detectar un fraude con un límite disponible menor. límite. Un algoritmo que ayuda a detectar este tipo de problemas se denomina algoritmo MBO. Se trata de una técnica de búsqueda que aporta mejoras a través de sus "soluciones vecinas". Otro algoritmo que ayuda con estos problemas es el algoritmo GASS. En GASS, es un híbrido de algoritmos genéticos y búsqueda de dispersión. [8]
Tocando un poco más las dificultades de la detección de fraudes con tarjetas de crédito, incluso con más avances en el aprendizaje y la tecnología cada día, las empresas se niegan a compartir sus algoritmos y técnicas con personas externas. Además, las transacciones fraudulentas representan solo entre el 0,01% y el 0,05% de las transacciones diarias, lo que las hace aún más difíciles de detectar. El aprendizaje automático es similar a la inteligencia artificial, donde es un subcampo de la IA y la estadística es una subdivisión de las matemáticas. Con respecto al aprendizaje automático, el objetivo es encontrar un modelo que produzca ese nivel más alto sin sobreajuste al mismo tiempo. El sobreajuste significa que el sistema informático memorizó los datos y si una nueva transacción difiere de alguna manera en el conjunto de entrenamiento, lo más probable es que se clasifique erróneamente, lo que provocará que el titular de la tarjeta se enoje o sea víctima de un fraude que no fue detectado. La programación más popular utilizada en el aprendizaje automático es Python, R y MatLab. Al mismo tiempo, SAS también se está convirtiendo en un competidor cada vez mayor. A través de estos programas, el método más sencillo utilizado en esta industria es la Máquina de vectores de soporte. R tiene un paquete con la función SVM ya programada. Cuando se emplean máquinas de vectores de soporte, es una forma eficaz de extraer datos. SVM se considera investigación activa y también resuelve con éxito problemas de clasificación. Al desempeñar un papel importante en el aprendizaje automático, tiene "un excelente rendimiento de generalización en una amplia gama de problemas de aprendizaje, como el reconocimiento de dígitos escritos a mano, la clasificación de páginas web y la detección de rostros". SVM también es un método exitoso porque reduce la posibilidad de sobreajuste y dimensionalidad. [9]
El fraude de solicitudes se produce cuando una persona utiliza documentos robados o falsos para abrir una cuenta a nombre de otra persona. Los delincuentes pueden robar o falsificar documentos como facturas de servicios públicos y extractos bancarios para crear un perfil personal. Cuando se abre una cuenta utilizando documentos falsos o robados, el estafador podría retirar dinero en efectivo u obtener crédito a nombre de la víctima. [10]
El fraude en la solicitud también puede ocurrir utilizando una identidad sintética similar a los documentos falsos mencionados anteriormente. Una identidad sintética es información personal recopilada de muchas identidades diferentes para crear una identidad falsa. [11] Una vez establecida la identidad y la cuenta, el estafador tiene algunas opciones diferentes para aprovecharse del banco. Pueden maximizar el gasto de su tarjeta de crédito gastando la mayor cantidad de dinero posible en su nueva tarjeta de crédito. Muchos estafadores utilizarán la nueva tarjeta de crédito para comprar artículos que tienen un alto valor de reventa y luego convertirlos en efectivo. [12]
Una apropiación de cuenta se refiere al acto mediante el cual los estafadores intentarán asumir el control de la cuenta de un cliente (es decir, tarjetas de crédito, correo electrónico, bancos, tarjeta SIM y más). El control a nivel de cuenta ofrece altos rendimientos para los estafadores. Según Forrester, la autenticación basada en riesgos (RBA) desempeña un papel clave en la mitigación de riesgos. [13]
Un estafador utiliza partes de la identidad de la víctima, como una dirección de correo electrónico, para obtener acceso a cuentas financieras. Luego, este individuo intercepta la comunicación sobre la cuenta para mantener a la víctima ciega ante cualquier amenaza. Las víctimas suelen ser las primeras en detectar la apropiación de cuentas cuando descubren cargos en extractos mensuales que no autorizaron o múltiples retiros cuestionables. [14] Ha habido un aumento en el número de apropiaciones de cuentas desde la adopción de la tecnología EMV, lo que hace más difícil para los estafadores clonar tarjetas de crédito físicas. [15]
Entre algunos de los métodos más comunes mediante los cuales un estafador compromete una cuenta, la adquisición incluye aplicaciones de "verificación" de un solo clic basadas en proxy, ataques de botnet de fuerza bruta, phishing [16] y malware. Otros métodos incluyen buscar en contenedores de basura para encontrar información personal en el correo desechado y comprar directamente listas de 'Fullz', un término del argot para referirse a paquetes completos de información de identificación vendidos en el mercado negro. [17]
Una vez que inician sesión, los estafadores tienen acceso a la cuenta y pueden realizar compras y retirar dinero de cuentas bancarias. [18] Tienen acceso a cualquier información vinculada a la cuenta, pueden robar números de tarjetas de crédito junto con números de seguro social. Pueden cambiar las contraseñas para evitar que la víctima acceda a su cuenta. Los ciberdelincuentes tienen la oportunidad de abrir otras cuentas, utilizar recompensas y beneficios de la cuenta y vender esta información a otros piratas informáticos. [19]
El fraude de ingeniería social puede ocurrir cuando un delincuente se hace pasar por otra persona, lo que resulta en una transferencia voluntaria de dinero o información al defraudador. [20] Los estafadores están recurriendo a métodos más sofisticados para estafar a personas y empresas sin dinero. Una táctica común es enviar correos electrónicos falsos haciéndose pasar por un miembro superior del personal e intentar engañar a los empleados para que transfieran dinero a una cuenta bancaria fraudulenta. [21]
Los estafadores pueden utilizar una variedad de técnicas para solicitar información personal haciéndose pasar por un banco o un procesador de pagos. El phishing telefónico es la técnica de ingeniería social más común para ganarse la confianza de la víctima.
Las empresas pueden protegerse con un proceso de autorización dual para la transferencia de fondos que requiere la autorización de al menos dos personas y un procedimiento de devolución de llamada a un número de contacto previamente establecido, en lugar de cualquier información de contacto incluida con la solicitud de pago. El banco deberá reembolsar cualquier pago no autorizado; sin embargo, pueden rechazar un reembolso si pueden demostrar que el cliente autorizó la transacción, o pueden demostrar que el cliente tiene la culpa porque actuó deliberadamente o no protegió los detalles que permitieron la transacción. [22]
Skimming es el robo de información personal que se ha utilizado en una transacción normal. El ladrón puede obtener el número de tarjeta de la víctima utilizando métodos básicos como fotocopiar recibos o métodos más avanzados como el uso de un pequeño dispositivo electrónico (skimmer) para deslizar y almacenar cientos de números de tarjetas de las víctimas. [23] Los escenarios comunes para el robo son taxis, restaurantes o bares donde el estafador tiene posesión de la tarjeta de pago de la víctima fuera de su vista inmediata. [24] El ladrón también puede utilizar un pequeño teclado para transcribir discretamente el código de seguridad de la tarjeta de tres o cuatro dígitos , que no está presente en la banda magnética.
Los centros de llamadas son otra área donde puede ocurrir fácilmente el hurto. [25] El skimming también puede ocurrir en los comerciantes cuando se instala un dispositivo de lectura de tarjetas de terceros fuera de una terminal de lectura de tarjetas. Este dispositivo permite a un ladrón capturar la información de la tarjeta de un cliente, incluido su PIN, con cada pase de tarjeta. [26]
El skimming es difícil de detectar para el titular de tarjeta típico, pero dada una muestra lo suficientemente grande, es bastante fácil de detectar para el emisor de la tarjeta. El emisor recopila una lista de todos los titulares de tarjetas que se han quejado de transacciones fraudulentas y luego utiliza la extracción de datos para descubrir relaciones entre ellos y los comerciantes que utilizan. Los algoritmos sofisticados también pueden buscar patrones de fraude. Los comerciantes deben garantizar la seguridad física de sus terminales, y las sanciones para los comerciantes pueden ser severas si se ven comprometidas, desde grandes multas por parte del emisor hasta la exclusión total del sistema, lo que puede ser un golpe mortal para empresas como restaurantes donde se utilizan tarjetas de crédito. las transacciones son la norma.
Se han informado casos de skimming en los que el autor ha colocado la ranura para tarjetas de un cajero automático , un dispositivo que lee la banda magnética cuando el usuario, sin saberlo, pasa su tarjeta a través de ella. [27] Estos dispositivos se utilizan a menudo junto con una cámara en miniatura para leer el número de identificación personal del usuario al mismo tiempo. [28] Este método se utiliza en muchas partes del mundo, incluidas América del Sur, Argentina, [29] y Europa. [30]
El pago de facturas en línea o las compras por Internet utilizando una cuenta bancaria son una fuente de facturación repetida conocida como "cargos bancarios recurrentes". Se trata de órdenes permanentes u órdenes bancarias de un cliente para honrar y pagar una determinada cantidad cada mes al beneficiario. Con el comercio electrónico , especialmente en Estados Unidos , un proveedor o beneficiario puede recibir el pago mediante débito directo a través de la Red ACH . Si bien muchos pagos o compras son válidos y el cliente tiene la intención de pagar la factura mensualmente, algunos se conocen como Pagos Automáticos Rogues . [31]
Otro tipo de fraude con tarjetas de crédito se dirige a los clientes de servicios públicos. Los clientes reciben comunicaciones no solicitadas en persona, por teléfono o electrónicas de personas que afirman ser representantes de empresas de servicios públicos . Los estafadores alertan a los clientes que sus servicios públicos serán desconectados a menos que se realice un pago inmediato, lo que generalmente implica el uso de una tarjeta de débito recargable para recibir el pago. A veces, los estafadores utilizan números de teléfono y gráficos que parecen auténticos para engañar a las víctimas.
El phishing es uno de los métodos más comunes utilizados para robar datos personales. Es un tipo de ciberataque en el que el atacante actúa como una persona, institución o entidad creíble e intenta atraer a la víctima para que acepte un mensaje o actúe con una solicitud específica. A menudo, el objetivo del ataque recibirá un correo electrónico o un mensaje de texto sobre algo que posiblemente quiera o necesite con la esperanza de engañarlo para que abra o descargue el mensaje. Durante la pandemia de COVID-19, el phishing ha ido en aumento a medida que nuestro mundo se volvió aún más virtual. Para dar perspectiva, "los investigadores observaron un aumento sustancial del 667% en los ataques de phishing de COVID-19 en los primeros meses de la pandemia". [32] Además, dada la importancia de los sistemas de atención médica en estos últimos años, las empresas de atención médica han sido los principales objetivos de los ataques de phishing. Estas empresas tienen toneladas de datos personales almacenados que pueden ser extremadamente valiosos para el atacante.
El intercambio de información es la transferencia o intercambio de datos entre individuos, empresas, organizaciones y tecnologías. Los avances en tecnología, Internet y las redes han acelerado el crecimiento del intercambio de información. La información se difunde y comparte en cuestión de segundos, y se acumula y digiere a velocidades más rápidas que nunca. Las personas a menudo no son conscientes de cuánta información confidencial y personal comparten todos los días. Por ejemplo, cuando se compran productos en línea, el nombre del comprador, la dirección de correo electrónico, la dirección particular y la información de la tarjeta de crédito se almacenan y se comparten con terceros para rastrearlos a ellos y a sus compras futuras. Las organizaciones trabajan arduamente para mantener segura la información personal de las personas en sus bases de datos, pero a veces los piratas informáticos pueden comprometer su seguridad y obtener acceso a una inmensa cantidad de datos. Una de las mayores filtraciones de datos se produjo en el minorista de descuento Target. En este incumplimiento se vieron afectados unos 40 millones de compradores. En este caso específico, los piratas informáticos atacaron su sistema de punto de venta, lo que significa que "introdujeron malware en las terminales donde los clientes deslizan sus tarjetas de crédito o recopilaron datos de los clientes mientras estaban en ruta desde Target a sus procesadores de tarjetas de crédito". " [33] En una sola compra en la caja registradora se recopilan grandes cantidades de datos personales que, en caso de robo, tienen importantes consecuencias. La infraestructura del mercado financiero y el sistema de pagos seguirán siendo un trabajo en progreso, ya que están constantemente en batalla con los piratas informáticos de seguridad.
Si bien no es un mandato federal en los Estados Unidos, PCI DSS lo exige el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago, que está compuesto por las principales marcas de tarjetas de crédito y lo mantiene como un estándar de la industria. Algunos estados han incorporado la norma a sus leyes.
El Departamento de Justicia de Estados Unidos anunció en septiembre de 2014 que intentará imponer una ley más estricta para combatir el tráfico de tarjetas de crédito en el extranjero. Las autoridades dicen que el estatuto actual es demasiado débil porque permite a las personas en otros países evitar el procesamiento si permanecen fuera de los Estados Unidos cuando compran y venden los datos y no pasan sus negocios ilícitos a través de los EE.UU. El Departamento de Justicia pide al Congreso de los EE.UU. que lo modifique la ley actual que haría ilegal que un criminal internacional posea, compre o venda una tarjeta de crédito robada emitida por un banco estadounidense independientemente de su ubicación geográfica. [34]
En los EE. UU., la ley federal limita la responsabilidad de los titulares de tarjetas a $50 en caso de robo de la tarjeta de crédito real, independientemente del monto cargado en la tarjeta, si se informa dentro de los 60 días posteriores a la recepción del extracto. [35] En la práctica, muchos emisores renunciarán a este pequeño pago y simplemente eliminarán los cargos fraudulentos de la cuenta del cliente si el cliente firma una declaración jurada confirmando que los cargos son efectivamente fraudulentos. Si la tarjeta física no se pierde ni es robada, sino que simplemente se roba el número de cuenta de la tarjeta de crédito, entonces la ley federal garantiza que los titulares de tarjetas no tienen responsabilidad ante el emisor de la tarjeta de crédito. [36]
En el Reino Unido, las tarjetas de crédito están reguladas por la Ley de crédito al consumo de 1974 (modificada en 2006 ). Esto proporciona una serie de protecciones y requisitos. Cualquier uso indebido de la tarjeta, a menos que sea deliberadamente criminal por parte del titular de la tarjeta, debe ser reembolsado por el comerciante o emisor de la tarjeta.
La regulación de los bancos en el Reino Unido está a cargo del: Banco de Inglaterra (BoE); Autoridad de Regulación Prudencial (PRA), una división del Banco de Inglaterra; y la Autoridad de Conducta Financiera (FCA), que gestiona la supervisión diaria. No existe una legislación o regulación específica que regule la industria de las tarjetas de crédito. Sin embargo, la Asociación de Servicios de Compensación de Pagos (APACS) es la institución de la que forman parte todos los miembros de la liquidación. La organización trabaja bajo la Directiva de Consolidación Bancaria para proporcionar un medio mediante el cual las transacciones puedan ser monitoreadas y reguladas. [37] UK Finance es la asociación del sector de servicios bancarios y financieros del Reino Unido y representa a más de 250 empresas que prestan servicios crediticios, bancarios y relacionados con los pagos.
En Australia , el fraude con tarjetas de crédito se considera una forma de delito de identidad . El Centro Australiano de Análisis e Informes de Transacciones ha establecido definiciones estándar en relación con los delitos de identidad para uso de las fuerzas del orden en toda Australia:
Dado el creciente número de transacciones no autorizadas con tarjetas de pago que implican fraudes y estafas, la Autoridad Monetaria de Hong Kong emitió dos circulares el 25 de abril de 2023. [39]
Las estimaciones creadas por el Departamento del Fiscal General muestran que los delitos contra la identidad le cuestan a Australia más de 1.600 millones de dólares cada año, y la mayor parte de los aproximadamente 900 millones de dólares los pierden personas a través de fraudes con tarjetas de crédito, robo de identidad y estafas. [38] En 2015, el Ministro de Justicia y Ministro Asistente del Primer Ministro para la Lucha contra el Terrorismo, Michael Keenan, publicó el informe Crimen de identidad y uso indebido en Australia 2013-2014. Este informe estimó que el costo total directo e indirecto de los delitos de identidad se acercaba a los 2 mil millones de dólares, lo que incluye las pérdidas directas e indirectas sufridas por agencias gubernamentales e individuos, y el costo de los delitos de identidad registrados por la policía. [40]
La víctima de un fraude con tarjetas de crédito en Australia, que aún esté en posesión de la tarjeta, no es responsable de nada que haya comprado con ella sin su permiso. Sin embargo, esto está sujeto a los términos y condiciones de la cuenta. Si la tarjeta ha sido reportada como robada o perdida físicamente, el titular de la tarjeta generalmente no es responsable de las transacciones que no haya realizado, a menos que se pueda demostrar que el titular de la tarjeta actuó de manera deshonesta o sin un cuidado razonable. [38]
Para evitar que a los proveedores se les "devuelvan cargos" por transacciones fraudulentas, los comerciantes pueden suscribirse a los servicios ofrecidos por Visa y MasterCard llamados Verified by Visa y MasterCard SecureCode, bajo el término general 3-D Secure . Esto requiere que los consumidores agreguen información adicional para confirmar una transacción. [ cita necesaria ]
Con bastante frecuencia, los comerciantes en línea no toman las medidas adecuadas para proteger sus sitios web de ataques de fraude, por ejemplo, ignorando la secuenciación. A diferencia de las transacciones de productos más automatizadas, un empleado que supervisa las solicitudes de autorización de "tarjeta presente" debe aprobar la retirada de los productos de las instalaciones por parte del cliente en tiempo real. [ cita necesaria ]
Si el comerciante pierde el pago, las tarifas por procesar el pago, las comisiones de conversión de moneda y el monto de la multa por devolución de cargo. Por razones obvias, muchos comerciantes toman medidas para evitar devoluciones de cargo, como no aceptar transacciones sospechosas. Esto puede generar daños colaterales, en los que el comerciante además pierde ventas legítimas al bloquear incorrectamente transacciones legítimas. Los comerciantes de pedidos por correo o por teléfono (MOTO) están implementando automatización asistida por agentes que permiten al agente del centro de llamadas recopilar el número de la tarjeta de crédito y otra información de identificación personal sin siquiera verlo ni oírlo. Esto reduce en gran medida la probabilidad de devoluciones de cargo y aumenta la probabilidad de que se anulen las devoluciones de cargo fraudulentas. [41]
Entre julio de 2005 y mediados de enero de 2007, una violación de los sistemas de TJX Companies expuso datos de más de 45,6 millones de tarjetas de crédito. Albert González está acusado de ser el cabecilla del grupo responsable de los robos. [42] En agosto de 2009, González también fue acusado del mayor robo de tarjetas de crédito conocido hasta la fecha: se robó información de más de 130 millones de tarjetas de crédito y débito en Heartland Payment Systems , los minoristas 7-Eleven y Hannaford Brothers , y dos empresas no identificadas. [43]
En 2012, alrededor de 40 millones de conjuntos de información de tarjetas de pago se vieron comprometidos por un hackeo de Adobe Systems . [44] La información comprometida incluía nombres de clientes, números de tarjetas de pago encriptados, fechas de vencimiento e información relacionada con pedidos, dijo el director de seguridad Brad Arkin. [45]
En julio de 2013, informes de prensa indicaron que cuatro rusos y un ucraniano fueron acusados en el estado estadounidense de Nueva Jersey por lo que se llamó "el mayor plan de piratería informática y violación de datos jamás procesado en los Estados Unidos". [46] Albert González también fue citado como co-conspirador del ataque, en el que se produjeron al menos 160 millones de pérdidas de tarjetas de crédito y más de 300 millones de dólares en pérdidas. El ataque afectó a empresas estadounidenses y europeas, incluidas Citigroup, Nasdaq OMX Group, PNC Financial Services Group, Visa Jordan, licenciataria de Visa, Carrefour, JCPenney y JetBlue Airways. [47]
Entre el 27 de noviembre de 2013 y el 15 de diciembre de 2013, una violación de los sistemas de Target Corporation expuso datos de alrededor de 40 millones de tarjetas de crédito. La información robada incluía nombres, números de cuentas, fechas de vencimiento y códigos de seguridad de tarjetas . [48]
Del 16 de julio al 30 de octubre de 2013, un ataque de piratería comprometió alrededor de un millón de conjuntos de datos de tarjetas de pago almacenados en los ordenadores de Neiman-Marcus . [44] [49] Un sistema de malware, diseñado para conectarse a las cajas registradoras y monitorear el proceso de autorización de tarjetas de crédito (malware de extracción de RAM), se infiltró en los sistemas de Target y expuso información de hasta 110 millones de clientes. [50]
El 8 de septiembre de 2014, The Home Depot confirmó que sus sistemas de pago estaban comprometidos. Más tarde emitieron un comunicado diciendo que los piratas informáticos obtuvieron un total de 56 millones de números de tarjetas de crédito como resultado de la infracción. [51]
El 15 de mayo de 2016, en un ataque coordinado, un grupo de alrededor de 100 personas utilizó los datos de 1.600 tarjetas de crédito sudafricanas para robar 12,7 millones de dólares de 1.400 tiendas de conveniencia en Tokio en tres horas. Al actuar en domingo y en un país distinto del banco que emitió las tarjetas, se cree que ganaron tiempo suficiente para salir de Japón antes de que se descubriera el robo. [52]
Las contramedidas para combatir el fraude con tarjetas de crédito incluyen las siguientes.
Diferencias generacionales
Diferencias raciales