Trabajar en gestión de riesgos y soluciones contra el fraude es extremadamente desafiante, en especial con respecto al mundo de Internet. De manera recurrente y dinámica, una modalidad específica, que crece cada vez más y la cual ya es una de las más comunes en el comercio, es la prueba de tarjeta.
Por: Renato Rocha, Vicepresidente de Soluciones
para Comercios de Visa América Latina y el Caribe
Este tipo de fraude ocurre cuando un atacante “prueba” el número de una tarjeta de crédito robada, adquirida principalmente en la Internet profunda (más conocida como “deep web”, la cual se refiere al contenido de Internet que es inaccesible desde los motores de búsqueda convencionales) o por medio de “phishing” o “spyware”.
A menudo, el objetivo principal de la prueba no es comprar un producto o contratar un servicio, sino más bien verificar que los datos de la tarjeta sean válidos. Con este fin, el atacante intenta realizar pequeñas compras online, en el sitio web de un establecimiento comercial, para ver si se aprueba la tarjeta (en muchas ocasiones, se trata de compras de valores muy bajos, centavos). Una vez que logran confirmar que los datos son válidos, estos atacantes comienzan a realizar compras online.
Es posible que las empresas atacadas no perciban un aumento en sus tasas de contracargo, dado el valor bajo de las transacciones de prueba, pero notarán un aumento significativo en la cantidad de autorizaciones rechazadas. Las tarifas de autorización de los gateway de pago suelen ser bajas; sin embargo, cuando un sitio recibe miles de transacciones en poco tiempo, el total de estas tarifas puede llegar a montos elevados.
Los atacantes emplean técnicas avanzadas para probar la validez de las tarjetas robadas. El proceso de prueba de tarjetas puede ser muy lento y difícil cuando se realiza manualmente. Para que esto no sea un obstáculo, los atacantes generalmente recurren a un sistema más sofisticado que utiliza grandes redes de computadoras ya comprometidas (botnets) para realizar las pruebas.
En estos ataques de prueba de tarjetas, los bots, que es un software creado para automatizar procesos de internet, se pueden programar para procesar miles de transacciones simultáneas, cada una de las cuales realiza pequeñas compras en un sitio web para identificar si los números de las tarjetas son válidos.
En general, las pequeñas y medianas empresas son las más vulnerables a este tipo de ataque, ya que no suelen disponer de los recursos, las herramientas y las tecnologías necesarias para detectar, impedir o evitar este tipo de ataque. A continuación, mostramos un resumen de las mejores prácticas y herramientas que los establecimientos comerciales pueden utilizar para ayudar a combatir esta amenaza creciente.
1. Una de las mejores prácticas es asegurarse de que la página de pago, y la página en la que el comprador ingresa el número de tarjeta, tengan la tecnología necesaria para detectar y evitar el envío de transacciones mediante scripts automatizados. Entre estas tecnologías se encuentran los firewalls, pruebas creadas para distinguir a los humanos de los scripts automatizados, un sistema de identificación de huellas digitales con funciones para ignorar servidores proxy, límites de velocidad y detección de anomalías.
2. Si su sitio web acepta donaciones o montos de pago que vienen de mensajes de texto gratuitos, es particularmente importante incluir medidas para impedir scripts automatizados y pruebas de tarjetas.
Los atacantes descubrieron que este tipo de sitios pueden ser presas fáciles e intentan usarlos para probar tarjetas. Por ello, establezca límites mínimos. En un ataque de prueba de tarjetas, los atacantes tienen como objetivo validar si se puede usar una tarjeta de crédito, evitando la posibilidad de que el titular de la tarjeta detecte y denuncie la transacción. Recuerde que, cuanto menor sea el valor de la transacción, menor será la posibilidad de llamar la atención o de generar un contracargo.
3. Estar atento: identificar las anomalías desde el principio. Si se nota que hay un aumento repentino e inesperado en el promedio de transacciones diarias, vale la pena investigar. Un aumento imprevisto en la cantidad de tarjetas de crédito rechazadas suele ser una indicación muy clara de que su empresa está siendo atacada.
Cabe destacar que, por sí solo, ningún componente es capaz de impedir el fraude de prueba de tarjetas, por lo que es indispensable implementar varias capas de protección. Las empresas deben adoptar una combinación de mejores prácticas y de herramientas de riesgo, en todas las etapas del flujo de transacciones, lo que incluye desde eventos que suceden en la cuenta del cliente (por ejemplo, creación y modificación de datos de registro), hasta la carga de datos de la tarjeta y solicitudes de transacciones. CyberSource ofrece soluciones para esta estrategia multifacética, las cuales ayudan a identificar y bloquear los intentos de ataque a la empresa por medio de pruebas de tarjetas. ¿Quiere obtener más información? Visite www.cybersource.com
…