El fraude con tarjeta de crédito es un término inclusivo para el fraude cometido con una tarjeta de pago , como una tarjeta de crédito o una tarjeta de débito . [1] El propósito puede ser obtener bienes o servicios o realizar un pago a otra cuenta, que está controlada por un delincuente. El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es el estándar de seguridad de datos creado para ayudar a las instituciones financieras a procesar los pagos con tarjeta de forma segura y reducir el fraude con tarjetas. [2]
El fraude con tarjetas de crédito puede ser autorizado, cuando el cliente genuino procesa por sí mismo el pago a otra cuenta que está controlada por un delincuente, o no autorizado, cuando el titular de la cuenta no proporciona autorización para que se proceda al pago y la transacción la realiza un tercero. En 2018, las pérdidas por fraude financiero no autorizado en tarjetas de pago y banca a distancia ascendieron a 844,8 millones de libras esterlinas en el Reino Unido. Mientras que los bancos y las compañías de tarjetas evitaron 1.660 millones de libras esterlinas en fraudes no autorizados en 2018. Eso equivale a que se detuvieran 2 libras esterlinas de cada 3 de intentos de fraude. [3]
El fraude con tarjetas de crédito puede ocurrir cuando usuarios no autorizados obtienen acceso a la información de la tarjeta de crédito de una persona para realizar compras, otras transacciones o abrir nuevas cuentas. Algunos ejemplos de fraude con tarjetas de crédito incluyen el fraude de apropiación de cuentas, el fraude de cuentas nuevas, las tarjetas clonadas y los esquemas de tarjetas no presentes. Este acceso no autorizado se produce a través de phishing, clonación de datos y el intercambio de información por parte de un usuario, a menudo sin saberlo. Sin embargo, este tipo de fraude puede detectarse mediante inteligencia artificial y aprendizaje automático, así como prevenirse por parte de emisores, instituciones y titulares de tarjetas individuales. Según un informe anual de 2021, aproximadamente el 50% de todos los estadounidenses han experimentado un cargo fraudulento en sus tarjetas de crédito o débito, y más de uno de cada tres titulares de tarjetas de crédito o débito han experimentado fraude varias veces. Esto equivale a 127 millones de personas en los EE. UU. que han sido víctimas del robo de tarjetas de crédito al menos una vez.
Los reguladores, los proveedores de tarjetas y los bancos dedican mucho tiempo y esfuerzo a colaborar con los investigadores de todo el mundo con el objetivo de garantizar que los estafadores no tengan éxito. El dinero de los titulares de tarjetas suele estar protegido de los estafadores mediante regulaciones que obligan a los proveedores de tarjetas y a los bancos a rendir cuentas. La tecnología y las medidas de seguridad detrás de las tarjetas de crédito avanzan continuamente, lo que añade barreras a los estafadores que intentan robar dinero. [4]
Existen dos tipos de fraude con tarjetas: el fraude con tarjeta presente (no tan común en la actualidad) y el fraude con tarjeta no presente (más común). La vulneración puede producirse de diversas maneras y, por lo general, sin que el titular de la tarjeta lo sepa. Internet ha hecho que las fallas de seguridad de las bases de datos resulten particularmente costosas; en algunos casos, millones de cuentas se han visto comprometidas. [5]
Los titulares de tarjetas pueden denunciar rápidamente el robo de tarjetas, pero los detalles de una cuenta comprometida pueden permanecer en poder de un estafador durante meses antes de que se produzca el robo, lo que dificulta la identificación de la fuente del robo. Es posible que el titular de la tarjeta no descubra el uso fraudulento hasta que reciba un extracto. Los titulares de tarjetas pueden mitigar este riesgo de fraude comprobando su cuenta con frecuencia para asegurarse de que no haya transacciones sospechosas o desconocidas. [6]
Cuando se pierde o se roba una tarjeta de crédito, se puede utilizar para realizar compras ilegales hasta que el titular notifique al banco emisor y este bloquee la cuenta. La mayoría de los bancos tienen números de teléfono gratuitos disponibles las 24 horas para fomentar la pronta denuncia. Aun así, es posible que un ladrón realice compras no autorizadas con una tarjeta antes de que esta sea cancelada.
La información de la tarjeta se almacena en varios formatos. Los números de tarjeta (formalmente, el número de cuenta principal o PAN) suelen estar grabados o impresos en la tarjeta, y una banda magnética en la parte posterior contiene los datos en un formato legible por máquina. Los campos pueden variar, pero los más comunes incluyen el nombre del titular de la tarjeta, el número de tarjeta, la fecha de vencimiento y el código CVV de verificación .
En Europa y Canadá, la mayoría de las tarjetas están equipadas con un chip EMV que requiere que se introduzca un PIN de 4 a 6 dígitos en la terminal del comerciante antes de que se autorice el pago. Sin embargo, no se requiere un PIN para las transacciones en línea. En algunos países europeos, a los compradores que utilicen una tarjeta sin chip se les puede solicitar una identificación con fotografía en el punto de venta .
En algunos países, el titular de una tarjeta de crédito puede realizar un pago sin contacto por bienes o servicios acercando su tarjeta a un lector RFID o NFC sin necesidad de introducir un PIN o una firma si el coste se encuentra por debajo de un límite predeterminado. Sin embargo, una tarjeta de crédito o débito robada podría utilizarse para realizar varias transacciones más pequeñas antes de que se detecte la actividad fraudulenta.
Los emisores de tarjetas mantienen varias contramedidas, incluido un software que puede estimar la probabilidad de fraude. Por ejemplo, una transacción importante que se realiza a gran distancia del domicilio del titular de la tarjeta puede parecer sospechosa. Se puede indicar al comerciante que llame al emisor de la tarjeta para verificarla o que rechace la transacción, o incluso que retenga la tarjeta y se niegue a devolverla al cliente. [7]
Dada la inmensa dificultad de detectar el fraude con tarjetas de crédito, se desarrolló la inteligencia artificial y computacional para que las máquinas intenten realizar tareas en las que los humanos ya están haciendo bien. La inteligencia computacional es simplemente un subconjunto de la inteligencia artificial que permite la inteligencia en un entorno cambiante. Debido a los avances tanto en inteligencia artificial como computacional, las formas más utilizadas y sugeridas para detectar el fraude con tarjetas de crédito son las técnicas de inducción de reglas, los árboles de decisión, las redes neuronales, las máquinas de vectores de soporte, la regresión logística y la metaheurística. Hay muchos enfoques diferentes que se pueden utilizar para detectar el fraude con tarjetas de crédito. Por ejemplo, algunos "sugieren un marco que se puede aplicar en tiempo real donde primero se realiza un análisis de valores atípicos por separado para cada cliente utilizando mapas autoorganizados y luego se utiliza un algoritmo predictivo para clasificar las transacciones que parecen anormales". Algunos problemas que surgen al detectar el fraude con tarjetas de crédito a través de la inteligencia computacional son la idea de clasificaciones erróneas como falsos negativos/positivos, así como la detección de fraude en una tarjeta de crédito que tiene un límite disponible mayor es mucho más prominente que la detección de un fraude con un límite disponible menor. Un algoritmo que ayuda a detectar este tipo de problemas se conoce como algoritmo MBO. Se trata de una técnica de búsqueda que permite la mejora mediante sus "soluciones vecinas". Otro algoritmo que ayuda a solucionar estos problemas es el algoritmo GASS. En GASS, se trata de un híbrido entre algoritmos genéticos y búsqueda dispersa. [8]
En cuanto a las dificultades de la detección de fraudes con tarjetas de crédito, incluso con más avances en aprendizaje y tecnología cada día, las empresas se niegan a compartir sus algoritmos y técnicas con terceros. Además, las transacciones fraudulentas representan solo entre el 0,01 y el 0,05 % de las transacciones diarias, lo que las hace aún más difíciles de detectar. El aprendizaje automático es similar a la inteligencia artificial, donde es un subcampo de la IA, mientras que la estadística es una subdivisión de las matemáticas. Con respecto al aprendizaje automático, el objetivo es encontrar un modelo que produzca ese nivel más alto sin sobreajuste al mismo tiempo. El sobreajuste significa que el sistema informático memoriza los datos y, si una nueva transacción difiere en el conjunto de entrenamiento de alguna manera, lo más probable es que se clasifique incorrectamente, lo que provocará un titular de tarjeta irritado o una víctima de fraude que no fue detectado. Los programas más populares utilizados en el aprendizaje automático son Python, R y MatLab. Al mismo tiempo, SAS también se está convirtiendo en un competidor cada vez mayor. A través de estos programas, el método más fácil utilizado en esta industria es la máquina de vectores de soporte. R tiene un paquete con la función SVM ya programada. Cuando se emplean máquinas de vectores de soporte, es una forma eficiente de extraer datos. SVM se considera una investigación activa y también resuelve con éxito problemas de clasificación. Desempeña un papel importante en el aprendizaje automático y tiene "un excelente rendimiento de generalización en una amplia gama de problemas de aprendizaje, como el reconocimiento de dígitos escritos a mano, la clasificación de páginas web y la detección de rostros". SVM también es un método exitoso porque reduce la posibilidad de sobreajuste y dimensionalidad. [9]
El fraude de solicitud se produce cuando una persona utiliza documentos robados o falsos para abrir una cuenta a nombre de otra persona. Los delincuentes pueden robar o falsificar documentos como facturas de servicios públicos y extractos bancarios para crear un perfil personal. Cuando se abre una cuenta utilizando documentos falsos o robados, el estafador puede retirar dinero en efectivo u obtener crédito a nombre de la víctima. [10]
El fraude de solicitud también puede ocurrir utilizando una identidad sintética que es similar a los documentos falsos mencionados anteriormente. Una identidad sintética es información personal obtenida de muchas identidades diferentes para crear una identidad falsa. [11] Una vez que se establece la identidad y la cuenta, el estafador tiene algunas opciones diferentes para aprovecharse del banco. Puede maximizar el gasto de su tarjeta de crédito gastando la mayor cantidad de dinero posible en su nueva tarjeta de crédito. Muchos estafadores usarán la nueva tarjeta de crédito para comprar artículos que tienen un alto valor de reventa para poder convertirlos en efectivo. [12]
La apropiación de una cuenta se refiere al acto mediante el cual los estafadores intentarán asumir el control de la cuenta de un cliente (es decir, tarjetas de crédito, correo electrónico, bancos, tarjeta SIM, etc.). El control a nivel de la cuenta ofrece grandes beneficios para los estafadores. Según Forrester, la autenticación basada en riesgos (RBA) desempeña un papel clave en la mitigación de riesgos. [13]
Un estafador utiliza partes de la identidad de la víctima, como una dirección de correo electrónico, para obtener acceso a las cuentas financieras. Luego, este individuo intercepta las comunicaciones sobre la cuenta para mantener a la víctima a ciegas ante cualquier amenaza. Las víctimas suelen ser las primeras en detectar el robo de cuentas cuando descubren cargos en los extractos mensuales que no autorizaron o múltiples retiros cuestionables. [14] Ha habido un aumento en el número de robos de cuentas desde la adopción de la tecnología EMV, lo que hace que sea más difícil para los estafadores clonar tarjetas de crédito físicas. [15]
Entre los métodos más comunes que utiliza un estafador para comprometer una cuenta, la toma de control incluye aplicaciones de un solo clic para "verificar" basadas en proxy, ataques de botnets de fuerza bruta, phishing [16] y malware. Otros métodos incluyen buscar información personal en correo descartado en la basura y comprar directamente listas de "Fullz", un término del argot para paquetes completos de información de identificación que se venden en el mercado negro [17] .
Una vez que inician sesión, los estafadores tienen acceso a la cuenta y pueden realizar compras y retirar dinero de las cuentas bancarias. [18] Tienen acceso a cualquier información vinculada a la cuenta, pueden robar números de tarjetas de crédito y números de seguridad social. Pueden cambiar las contraseñas para evitar que la víctima acceda a su cuenta. Los cibercriminales tienen la oportunidad de abrir otras cuentas, utilizar las recompensas y los beneficios de la cuenta y vender esta información a otros piratas informáticos. [19]
El fraude de ingeniería social puede ocurrir cuando un delincuente se hace pasar por otra persona, lo que da como resultado una transferencia voluntaria de dinero o información al estafador. [20] Los estafadores están recurriendo a métodos más sofisticados para estafar a personas y empresas. Una táctica común es enviar correos electrónicos falsos haciéndose pasar por un miembro superior del personal e intentando engañar a los empleados para que transfieran dinero a una cuenta bancaria fraudulenta. [21]
Los estafadores pueden utilizar diversas técnicas para solicitar información personal haciéndose pasar por un banco o un procesador de pagos. El phishing telefónico es la técnica de ingeniería social más común para ganarse la confianza de la víctima.
Las empresas pueden protegerse con un proceso de doble autorización para la transferencia de fondos que requiere la autorización de al menos dos personas y un procedimiento de devolución de llamada a un número de contacto establecido previamente, en lugar de cualquier información de contacto incluida en la solicitud de pago. El banco debe reembolsar cualquier pago no autorizado; sin embargo, puede rechazar un reembolso si puede demostrar que el cliente autorizó la transacción, o puede demostrar que el cliente es culpable porque actuó deliberadamente o no protegió los detalles que permitieron la transacción. [22]
El skimming es el robo de información personal que ha sido utilizada en una transacción normal. El ladrón puede obtener el número de tarjeta de la víctima utilizando métodos básicos como fotocopiar recibos o métodos más avanzados como usar un pequeño dispositivo electrónico (skimmer) para pasar y almacenar cientos de números de tarjeta de las víctimas. [23] Los escenarios comunes para el skimming son taxis, restaurantes o bares donde el skimmer tiene posesión de la tarjeta de pago de la víctima fuera de su vista inmediata. [24] El ladrón también puede usar un pequeño teclado para transcribir discretamente el código de seguridad de la tarjeta de tres o cuatro dígitos , que no está presente en la banda magnética.
Los centros de llamadas son otro ámbito en el que es fácil que se produzcan robos de datos. [25] El robo de datos también puede producirse en comercios cuando se instala un dispositivo de lectura de tarjetas de terceros fuera de una terminal de lectura de tarjetas. Este dispositivo permite a un ladrón capturar la información de la tarjeta de un cliente, incluido su PIN, con cada pasada de tarjeta. [26]
El skimming es difícil de detectar para el titular de una tarjeta, pero si se cuenta con una muestra lo suficientemente grande, es bastante fácil de detectar para el emisor de la tarjeta. El emisor recopila una lista de todos los titulares de tarjetas que se han quejado de transacciones fraudulentas y luego utiliza la minería de datos para descubrir las relaciones entre ellos y los comerciantes que utilizan. Los algoritmos sofisticados también pueden buscar patrones de fraude. Los comerciantes deben garantizar la seguridad física de sus terminales y las sanciones para los comerciantes pueden ser severas si se ven comprometidos, desde grandes multas por parte del emisor hasta la exclusión total del sistema, lo que puede ser un golpe mortal para negocios como los restaurantes donde las transacciones con tarjetas de crédito son la norma.
Se han reportado casos de skimming en los que el perpetrador ha colocado sobre la ranura para tarjetas de un cajero automático un dispositivo que lee la banda magnética mientras el usuario pasa su tarjeta sin saberlo. [27] Estos dispositivos se utilizan a menudo junto con una cámara en miniatura para leer el número de identificación personal del usuario al mismo tiempo. [28] Este método se está utilizando en muchas partes del mundo, incluyendo Sudamérica, Argentina, [29] y Europa. [30]
El pago de facturas en línea o las compras por Internet utilizando una cuenta bancaria son una fuente de facturación repetida conocida como "cargos bancarios recurrentes". Se trata de órdenes permanentes u órdenes bancarias de un cliente para honrar y pagar una cierta cantidad cada mes al beneficiario. Con el comercio electrónico , especialmente en los Estados Unidos , un vendedor o beneficiario puede recibir el pago por débito directo a través de la red ACH . Si bien muchos pagos o compras son válidos y el cliente tiene la intención de pagar la factura mensualmente, algunos se conocen como pagos automáticos fraudulentos . [31]
Otro tipo de fraude con tarjetas de crédito se dirige a los clientes de servicios públicos. Los clientes reciben comunicaciones no solicitadas en persona, por teléfono o por medios electrónicos de personas que dicen ser representantes de empresas de servicios públicos . Los estafadores alertan a los clientes de que se les desconectará el servicio público a menos que realicen un pago inmediato, que generalmente implica el uso de una tarjeta de débito recargable para recibir el pago. A veces, los estafadores utilizan números de teléfono y gráficos que parecen auténticos para engañar a las víctimas.
El phishing es uno de los métodos más comunes utilizados para robar datos personales. Es un tipo de ciberataque en el que el atacante actúa como una persona, institución o entidad creíble e intenta engañar a la víctima para que acepte un mensaje o realice una acción con la solicitud específica. A menudo, el objetivo del ataque recibirá un correo electrónico o un mensaje de texto sobre algo que posiblemente desee o necesite con la esperanza de engañarlo para que lo abra o descargue. Durante la pandemia de COVID-19, el phishing ha ido en aumento a medida que nuestro mundo se volvió aún más virtual. Para dar perspectiva, "los investigadores notaron un aumento sustancial del 667% en los ataques de phishing de COVID-19 en los primeros meses de la pandemia". [32] Además, dada la importancia de los sistemas de atención médica en estos últimos años, las empresas de atención médica han sido los principales objetivos de los ataques de phishing. Estas empresas tienen toneladas de datos personales almacenados que pueden ser extremadamente valiosos para el atacante.
El intercambio de información es la transferencia o intercambio de datos entre personas, empresas, organizaciones y tecnologías. Los avances en la tecnología, Internet y las redes han acelerado el crecimiento del intercambio de información. La información se difunde y comparte en cuestión de segundos, y se acumula y se digiere a velocidades más rápidas que nunca. Las personas a menudo no son conscientes de la cantidad de información confidencial y personal que comparten todos los días. Por ejemplo, cuando compran productos en línea, el nombre del comprador, la dirección de correo electrónico, la dirección de su casa y la información de la tarjeta de crédito se almacenan y comparten con terceros para rastrearlos y rastrear sus futuras compras. Las organizaciones trabajan duro para mantener segura la información personal de las personas en sus bases de datos, pero a veces los piratas informáticos pueden comprometer su seguridad y obtener acceso a una inmensa cantidad de datos. Una de las mayores violaciones de datos ocurrió en la tienda de descuento Target. En esta violación, se vieron afectados unos 40 millones de compradores. En este caso específico, los piratas informáticos apuntaron a su sistema de punto de venta, lo que significa que "o bien introdujeron malware en las terminales donde los clientes pasan sus tarjetas de crédito, o bien recopilaron datos de los clientes mientras estaban en camino desde Target a sus procesadores de tarjetas de crédito". [33] Con una sola compra en la caja registradora se recogen grandes cantidades de datos personales que, si son robados, tienen importantes consecuencias. La infraestructura del mercado financiero y el sistema de pagos seguirán siendo un proyecto en desarrollo, ya que se encuentran en constante lucha contra los piratas informáticos.
Aunque no es una norma federal en los Estados Unidos, la norma PCI DSS está establecida por el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago, que está compuesto por las principales marcas de tarjetas de crédito y mantiene esta norma como una norma de la industria. Algunos estados han incorporado la norma a sus leyes.
El Departamento de Justicia de Estados Unidos anunció en septiembre de 2014 que trataría de imponer una ley más dura para combatir el tráfico de tarjetas de crédito en el extranjero. Las autoridades dicen que el estatuto actual es demasiado débil porque permite a las personas de otros países evitar el procesamiento si permanecen fuera de Estados Unidos cuando compran y venden los datos y no pasan su negocio ilícito a través de Estados Unidos. El Departamento de Justicia pide al Congreso de Estados Unidos que modifique la ley actual que haría ilegal que un delincuente internacional posea, compre o venda una tarjeta de crédito robada emitida por un banco estadounidense independientemente de la ubicación geográfica. [34]
En los Estados Unidos, la ley federal limita la responsabilidad de los titulares de tarjetas a 50 dólares en caso de robo de la tarjeta de crédito, independientemente del importe cargado en la misma, si se informa dentro de los 60 días siguientes a la recepción del estado de cuenta. [35] En la práctica, muchos emisores renuncian a este pequeño pago y simplemente eliminan los cargos fraudulentos de la cuenta del cliente si este firma una declaración jurada que confirma que los cargos son, en efecto, fraudulentos. Si no se pierde ni se roba la tarjeta física, sino que se roba únicamente el número de cuenta de la tarjeta de crédito, la ley federal garantiza que los titulares de tarjetas no tienen ninguna responsabilidad ante el emisor de la tarjeta de crédito. [36]
En el Reino Unido, las tarjetas de crédito están reguladas por la Ley de Crédito al Consumidor de 1974 (modificada en 2006 ). Esta ley establece una serie de protecciones y requisitos. Cualquier uso indebido de la tarjeta, a menos que sea deliberadamente delictivo por parte del titular, debe ser reembolsado por el comerciante o el emisor de la tarjeta.
La regulación de los bancos en el Reino Unido está a cargo del Banco de Inglaterra (BoE), la Autoridad de Regulación Prudencial (PRA), una división del BoE, y la Autoridad de Conducta Financiera (FCA), que se encarga de la supervisión diaria. No existe una legislación o regulación específica que rija la industria de las tarjetas de crédito. Sin embargo, la Asociación de Servicios de Compensación de Pagos (APACS) es la institución de la que forman parte todos los miembros de la liquidación. La organización trabaja bajo la Directiva de Consolidación Bancaria para proporcionar un medio por el cual se puedan monitorear y regular las transacciones. [37] UK Finance es la asociación del sector bancario y de servicios financieros del Reino Unido, que representa a más de 250 empresas que brindan servicios de crédito, bancarios y relacionados con los pagos.
En Australia , el fraude con tarjetas de crédito se considera una forma de delito de identidad . El Centro Australiano de Informes y Análisis de Transacciones ha establecido definiciones estándar en relación con el delito de identidad para su uso por parte de las fuerzas del orden en todo Australia:
Ante el creciente número de transacciones con tarjetas de pago no autorizadas que implican fraudes y estafas, la Autoridad Monetaria de Hong Kong emitió dos circulares el 25 de abril de 2023. [39]
Según las estimaciones realizadas por el Departamento del Fiscal General, los delitos de identidad le cuestan a Australia más de 1.600 millones de dólares al año, y la mayor parte de los 900 millones de dólares que se pierden son personas físicas a causa de fraudes con tarjetas de crédito, robos de identidad y estafas. [38] En 2015, el Ministro de Justicia y Ministro Asistente del Primer Ministro para la Lucha contra el Terrorismo, Michael Keenan, publicó el informe Identity Crime and Misuse in Australia 2013-14 (Delitos de identidad y uso indebido en Australia 2013-14). En este informe se estima que el coste total directo e indirecto de los delitos de identidad se acercaba a los 2.000 millones de dólares, lo que incluye las pérdidas directas e indirectas que sufren las agencias gubernamentales y las personas físicas, y el coste de los delitos de identidad registrados por la policía. [40]
En Australia, la víctima de un fraude con tarjeta de crédito que aún esté en su posesión no es responsable de nada que haya comprado con ella sin su permiso. Sin embargo, esto está sujeto a los términos y condiciones de la cuenta. Si se ha denunciado el robo físico o la pérdida de la tarjeta, el titular de la misma no suele ser responsable de ninguna transacción que no haya realizado, a menos que se pueda demostrar que actuó de manera deshonesta o sin el debido cuidado. [38]
Para evitar que los vendedores sean "devueltos" a sus clientes por transacciones fraudulentas, los comerciantes pueden inscribirse en los servicios ofrecidos por Visa y MasterCard denominados Verified by Visa y MasterCard SecureCode, bajo el término genérico 3-D Secure . Esto requiere que los consumidores agreguen información adicional para confirmar una transacción. [ cita requerida ]
Con frecuencia, los comerciantes en línea no toman las medidas adecuadas para proteger sus sitios web de ataques fraudulentos, por ejemplo, ignorando la secuenciación. A diferencia de las transacciones de productos más automatizadas, un empleado que supervisa las solicitudes de autorización con tarjeta presente debe aprobar la retirada de los productos del establecimiento por parte del cliente en tiempo real. [ cita requerida ]
Si el comerciante pierde el pago, las tarifas por procesar el pago, las comisiones por conversión de moneda y el monto de la penalización por devolución de cargo. Por razones obvias, muchos comerciantes toman medidas para evitar las devoluciones de cargo, como no aceptar transacciones sospechosas. Esto puede generar daños colaterales, ya que el comerciante pierde además ventas legítimas al bloquear incorrectamente las transacciones legítimas. Los comerciantes de pedidos por correo o por teléfono (MOTO) están implementando la automatización asistida por agente que permite al agente del centro de llamadas recopilar el número de tarjeta de crédito y otra información de identificación personal sin verlo ni escucharlo. Esto reduce en gran medida la probabilidad de devoluciones de cargo y aumenta la probabilidad de que se anulen las devoluciones de cargo fraudulentas. [41]
Entre julio de 2005 y mediados de enero de 2007, una violación de los sistemas de TJX Companies expuso los datos de más de 45,6 millones de tarjetas de crédito. Albert González está acusado de ser el cabecilla del grupo responsable de los robos. [42] En agosto de 2009, González también fue acusado del mayor robo de tarjetas de crédito conocido hasta la fecha: se robó información de más de 130 millones de tarjetas de crédito y débito en Heartland Payment Systems , los minoristas 7-Eleven y Hannaford Brothers , y dos empresas no identificadas. [43]
En 2012, alrededor de 40 millones de conjuntos de información de tarjetas de pago se vieron comprometidos por un ataque a Adobe Systems . [44] La información comprometida incluía nombres de clientes, números de tarjetas de pago encriptados, fechas de vencimiento e información relacionada con pedidos, dijo el director de seguridad Brad Arkin. [45]
En julio de 2013, informes de prensa indicaron que cuatro rusos y un ucraniano fueron acusados en el estado de Nueva Jersey, Estados Unidos, por lo que se denominó "el mayor plan de piratería y violación de datos jamás llevado a cabo en los Estados Unidos". [46] Albert González también fue citado como co-conspirador del ataque, que provocó pérdidas de al menos 160 millones de tarjetas de crédito y más de 300 millones de dólares en pérdidas. El ataque afectó a empresas estadounidenses y europeas, entre ellas Citigroup, Nasdaq OMX Group, PNC Financial Services Group, la licenciataria de Visa, Visa Jordan, Carrefour, JCPenney y JetBlue Airways. [47]
Entre el 27 de noviembre y el 15 de diciembre de 2013, una vulneración de los sistemas de Target Corporation expuso los datos de alrededor de 40 millones de tarjetas de crédito. La información robada incluía nombres, números de cuenta, fechas de vencimiento y códigos de seguridad de las tarjetas . [48]
Del 16 de julio al 30 de octubre de 2013, un ataque de piratería comprometió alrededor de un millón de conjuntos de datos de tarjetas de pago almacenados en computadoras de Neiman-Marcus . [44] [49] Un sistema de malware, diseñado para conectarse a las cajas registradoras y monitorear el proceso de autorización de tarjetas de crédito (malware que raspa RAM), se infiltró en los sistemas de Target y expuso información de hasta 110 millones de clientes. [50]
El 8 de septiembre de 2014, The Home Depot confirmó que sus sistemas de pago habían sido vulnerados. Posteriormente, publicó un comunicado en el que afirmaba que los piratas informáticos habían obtenido un total de 56 millones de números de tarjetas de crédito como resultado de la vulneración. [51]
El 15 de mayo de 2016, en un ataque coordinado, un grupo de unas 100 personas utilizó los datos de 1.600 tarjetas de crédito sudafricanas para robar 12,7 millones de dólares estadounidenses de 1.400 tiendas de conveniencia de Tokio en un plazo de tres horas. Se cree que, al actuar un domingo y en un país distinto del banco que emitió las tarjetas, ganaron tiempo suficiente para abandonar Japón antes de que se descubriera el robo. [52]
Las contramedidas para combatir el fraude con tarjetas de crédito incluyen las siguientes.
Diferencias generacionales
Diferencias raciales