Cómo distinguir en internet a un timador de un cliente real

El Banco de España asegura que en 2017 se detectaron hasta 592.000 operaciones fraudulentas con tarjetas. /
El Banco de España asegura que en 2017 se detectaron hasta 592.000 operaciones fraudulentas con tarjetas.

Un comercio puede perder hasta el 3% de su facturación de sus ventas 'online' por compras fraudulentas

IRATXE BERNAL

Según Eurostat, hasta un 7 % de los internautas españoles ha sido víctima de un robo el de identidad digital o 'phishing'. Una cifra que algunas consultoras elevan hasta el 25% y que es una de las principales amenazas a las que se enfrentan los negocios cuando ofrecen sus productos y servicios 'online'. ¿Cómo saber si quién está al otro lado de la pantalla no es un timador? «El Banco de España asegura que en 2017 se detectaron hasta 592.000 operaciones fraudulentas con tarjetas de crédito o débito, con un volumen en torno a los 40 millones de euros. El fraude en Internet puede llegar a suponer hasta un 3 % de la facturación de un comercio electrónico'», asegura Joaquín Díaz de Terán, director de ventas para España y Portugal de la división de comercio online y móvil del grupo especializado en el desarrollo de soluciones de pago electrónico Ingenico.

Y aunque todos sabemos que timadores va a haber siempre y que, desgraciadamente, lo usual es que vayan por delante de las medidas antifraude, también sabemos el impresionante favor que nos puede hacer la tecnología para acotarles el terreno. «En función del tamaño de la empresa y su exposición al fraude, será necesario un nivel de seguridad u otro, pero hay soluciones para todos y algunas incluso serán obligatorias en la UE a partir de sptiembre», explica este experto, que también ofrece estas recomendaciones.

1

Automatizar las decisiones

A los defraudadores les gusta ahorrar tiempo. Trabajar deprisa. De modo que no dedican grandes esfuerzos a crear identidades digitales completas, sino que se limitan a tomar secuencias de otras. El problema es que hay tantos comercios que ofrecen venta online sin apenas medidas de seguridad que siempre encuentran quien caiga en sus redes.

Lo bueno es que cuando crean estas identidades falsas y las emplean para hacer compras lo hacen siguiendo unos patrones que se pueden detectar si se analizan una por una todas las transacciones. Algo bastante latoso que se puede dejar en manos de la tecnología. «Los sistemas antifraude hacen una evaluación del riesgo que hay de que una compra sea engañosa a partir de parametrizaciones, del cribado de datos. Del mismo modo que hay indicios de que la compra es fraudulenta (como un gasto mucho más elevado de lo habitual), los hay de que es fidedigna, como la doble verificación de la identidad. El dato final, ese porcentaje que se establece y se ofrece al comercio, se hace ponderando unos y otros», señala Díaz de Terán.

Así se puede detectar, por ejemplo, cuando se están cargando pagos a una misma tarjeta en comercios de distintos países, si se está utilizando en un número inhabitual de tiendas o si se sobrepasa el límite de compras considerado normal en un determinado período de tiempo. También se puede saber si la tarjeta está emitida en un país distinto al de la IP del ordenador o si esa dirección IP ha estado relacionada con algún fraude.

Además, estos avisos genéricos se deben completar con los meramente aplicables al sector en el que opera el comercio e incluso a los establecidos por el propio establecimiento, «que conoce muy bien a su cliente tipo y sabe cuáles son sus hábitos de compra». Después, teniendo en cuenta ambas cribas el sistema valora el riesgo de esa compra, «qué porcentaje hay de que esa transacción sea fraudulenta para que el comercio, con ese dato en la mano, decida admitirla, revisarla o bloquearla», señala el experto.

En total, una operación de compraventa por Internet puede ser estudiada atendiendo hasta a 20.000 parámetros en distintos niveles. Por ejemplo, por un lado el comercio realiza su evaluación mientras Visa o MasterCard hacen la suya y el banco efectúa otra más. Un análisis que, maravillas del 'big data', se realiza en un parpadeo, en esos pocos segundos durante los que, amablemente, se nos dice por ejemplo que la aerolínea está comprobando la disponibilidad de nuestro vuelo. Resulta poco fino decirle a un cliente que en realidad lo que estás haciendo es comprobar su fiabilidad.

2

Ajustarse a cada país

La forma de comprar es muy distinta de unos países a otros incluso cuando se hace por Internet. En el norte de Europa es frecuente que el cliente pague después de haber recibido el producto, algo impensable aquí. En Portugal, bien cerca de nosotros, es habitual que el proceso de autentificación se realice en un cajero. Es decir, empiezan a hacer la compra desde casa pero la terminan en la calle sin esa necesidad de inmediatez que tenemos a este lado de la frontera.

Por eso es necesario adaptar la estrategia de prevención del fraude identificando los métodos de pago más habituales en cada país. «En España casi todas las compras se realizan con Visa, Mastercard y PayPal, pero en Portugal sólo un 30% de la población recurre a alguno de estos medios mientras el 70% restante emplea un sistema local llamado Multibanco. En países como Holanda o Alemania están muy asentados otros sistemas de transferencia como GiroPay o iDeal. En cada país hay un medio de pago preferido y cada medio tiene su porcentaje de denegaciones y sus tiempos de ejecución», explica Díaz de Terán.

3

Monotorizar las transacciones denegadas

Establecer de filtros está bien, pero hasta cierto punto. «Si tienes un sistema de criba muy estricto y bloqueas las operaciones que muestran cualquier anomalía evidentemente reduces las posibilidades de ser víctima de un fraude. Pero si colocas ese umbral muy bajo, si le dices al sistema que rechace todas las operaciones en las que haya un mínimo porcentaje de riesgo de fraude, también venderás menos porque estás rechazando transacciones que aún siendo fidedignas presentan algún rasgo sospechoso», indica Díaz de Terán.

«Si el comerciante sabe que normalmente el porcentaje de operaciones que le rechazan las entidades bancarias (porque el cliente en ese momento no tiene saldo, por ejemplo) supone un 6% del total que realiza pero tras establecer el sistema de filtros la cifra de compras rechazadas sube considerablemente deberá plantearse si la criba que está realizando es la adecuada. Hacer que el sistema rechace demasiadas compras es tan malo como pedirle que no descarte ninguna sea cual sea el porcentaje de riesgo que detecte», advierte.

4

Hacer listas negras...y blancas

Hablando de tener un poco de cintura, ¿qué pasa si hacemos una compra 'online' durante un viaje al extranjero? Los sistemas de detección del fraude indicarán que la transacción se está realizando desde un país diferente al de emisión de la tarjeta y automáticamente se nos considerara sospechosos. Si esa operación suma además otros indicadores que no se ajusten a nuestro perfil estaremos sentenciados.

Sin embrago, un alto porcentaje de dudas no va necesariamente unido a un intento de fraude. «Del mismo modo en que conviene tener muy bien identificadas las operaciones que nos han dado problemas también hay que saber quién merece nuestra confianza aunque en un momento dado el sistema le ponga bajo sospecha», indica el experto. «Es fundamental localizar intentos repetidos de engaño por parte de un mismo delincuente, pero también asegurarse de que un cliente fiel no tenga problemas al pagar porque el sistema detecte un día que su intento es sospechoso. Hay que tener lista negras y blancas», aclara.

5

Implementar el estándar 3-D Secure 2.0

A partir de septiembre, la regulación europea de los servicios de pagos digitales (PSD2) obligará a los comercios online a reforzar el proceso de identificación. Antes de cerrar la compra, el cliente deberá demostrar quién es gracias a «algo que conoce», como un PIN o una contraseña; «algo que posea», como una tarjeta de coordenadas o un móvil al que enviar una clave por SMS; o algo «que sea», es decir a través de identificaciones biométricas de sus huellas dactilares, iris o rasgos faciales.

La autenticación reforzada del cliente exige que se realicen al menos dos de esas tres comprobaciones. Esto incrementa sustancialmente la seguridad, pero también puede abrumar o aburrir al comprador. Hacer que se enfríe y abandone la compra. Imaginemos tener la obligación de identificarnos así con el pago de cada mensualidad de una suscripción.

«La alternativa es acudir a sistemas que trabajen con el estándar 3-D Secure 2.0, que es el que han puesto en marcha las marcas de tarjetas para que los comercios puedan cumplir con las directrices y requerimientos técnicos de la UE agilizando el proceso a través del intercambio de datos con el banco. El establecimiento puede justificar que no ha hecho esa doble identificación porque ya controla la fiabilidad del comprador con sus sistemas de parametrización», explica el experto.