Los minoristas perderán miles de millones por el fraude en línea para 2023: ¿Podría ayudar una nueva herramienta de Amex?

Se prevé que los comercios minoristas pierdan decenas de miles de millones de dólares a causa del fraude en línea en los próximos años, lo que supone un reto especial para las empresas más pequeñas, que podrían carecer de los conocimientos y recursos necesarios para prevenir estos ataques.

Entre 2018 y 2023, se espera que los minoristas pierdan unos 130.000 millones de dólares por fraudes con tarjetas no presentes, según la empresa de consultoría y previsión tecnológica Juniper Research.

Debido al cambio de Estados Unidos a la tecnología EMV, «el fraude con tarjetas presentes ha desaparecido bastante», afirma Brady Cullimore, director de gestión global de riesgos de fraude de American Express.

En cambio, «los comerciantes online están siendo atacados mucho más», afirma Cullimore. En muchos casos, «no están equipados para gestionar ese fraude. No es algo que quieran hacer o que estén preparados para hacer».

Y muchas pequeñas empresas todavía se están adaptando a hacer negocios utilizando los nuevos canales de compra en línea, como las aplicaciones y los dispositivos móviles, dice Cullimore.

Hacer uso de proveedores de terceros para proporcionar protección contra el fraude podría ser prohibitivo para las pequeñas empresas, por lo que pueden ser «un poco abandonadas a su suerte», dice Cullimore.

Del segundo trimestre de 2018 al segundo trimestre de 2019, el valor en dólares del fraude online se disparó casi un 12%, según la empresa de protección contra el fraude Forter.

El número de intentos de fraude aumenta cada año, porque «sigue siendo un lugar decente para que los defraudadores se ganen la vida», dice Colin Sims, director de operaciones de Forter.

«La escala de las operaciones de fraude por ahí es masiva y creciente», dice Sims, y los defraudadores se especializan en diferentes segmentos del mercado del fraude. Algunos construyen las herramientas utilizadas para robar los datos financieros de los consumidores, otros se centran en la venta de esos datos robados y otros se especializan en la monetización de esos datos.

El uso de criptomonedas «facilita el ecosistema que permite a los defraudadores comprar y vender datos», dice Sims.

Ver relacionado: Cómo pueden protegerse los empresarios del fraude con tarjetas de crédito

Amenazas a las transacciones

Una de las principales amenazas proviene del formjacking, en el que los ciberdelincuentes insertan código malicioso en los sitios web. Una advertencia del FBI de octubre dice que las pequeñas y medianas empresas y las agencias gubernamentales son objetivos particulares.

El código malicioso se utiliza para robar la información personal y de tarjetas de crédito de los consumidores. Los ciberladrones luego venden la información en la web oscura o la usan para hacer sus propias compras fraudulentas.

En 2018, el proveedor de ciberseguridad Symantec bloqueó más de 3,7 millones de intentos de formjacking, y alrededor de un tercio de esos intentos ocurrieron durante la ajetreada temporada de compras navideñas. Dado que las transacciones suelen llevarse a cabo y los consumidores reciben sus compras, el formjacking puede tardar mucho en ser detectado.

Muchos de los incidentes de formjacking identificados el año pasado por Symantec involucraron a ciberdelincuentes que apuntaron a servicios de terceros, como chatbots y widgets de revisión de clientes.

Cuando se trata de formjacking, «no ha habido mucha reacción sobre cómo prevenirlo y cómo responder a él», dice Ron Schlecht, fundador de BTB Security, una empresa de seguridad de la información.

El código malicioso puede proceder de ataques de phishing o de personas que descargan software infectado en sitios web, afirma.

Para un consumidor, «no hay nada desde la perspectiva del usuario que sea fácil de detectar» cuando se produce el formjacking, dice Schlecht.

Las pequeñas empresas carecen de recursos para defenderse del fraude

«Las pequeñas empresas están en una situación difícil», dice Sims. «Se enfrentan a las mismas amenazas que las grandes empresas», como Target y Home Depot, que han sido objeto de violaciones masivas de datos.

Mientras que estos grandes minoristas «luchan por contener el fraude porque los ataques son muy sofisticados, las pequeñas empresas carecen de recursos para crear defensas contra el fraude», dice Sims.

Como resultado, muchos propietarios de pequeñas empresas subcontratan la detección y prevención del fraude a terceros proveedores, dice.

A pesar de las diferencias de tamaño y recursos de las pequeñas empresas, los consumidores esperan una experiencia de compra en línea a la altura de los principales actores del comercio electrónico, afirma Sims.

Una encuesta de Forter reveló que la mitad de los estadounidenses son menos propensos a comprar algo en línea si el proceso de compra tarda más de 30 segundos. Y el encuestado medio dijo que esperaría sólo 10 segundos a que se verificara su tarjeta de crédito. Casi un tercio afirmó que abandonaría su compra si tuviera que volver a introducir los datos de su tarjeta de crédito.

Mejorar las aprobaciones

American Express está empezando a ofrecer cierta ayuda a los propietarios de pequeñas empresas a través de una herramienta gratuita llamada Enhanced Authorization (Autorización mejorada), que ha ayudado a reducir los índices de fraude y a permitir que se realicen más transacciones, afirma Cullimore.

Enhanced Authorization (Autorización mejorada) ayuda a los minoristas y a American Express a identificar quién realiza las compras online. Normalmente, un comerciante envía información como el número de la tarjeta de crédito del consumidor, el importe de la compra y el tipo de mercancía a la compañía de la tarjeta de crédito para su aprobación.

• Con la nueva herramienta, el comerciante envía información adicional, como la dirección IP del comprador, su dirección de correo electrónico y su información de envío, para ver si coincide con la información que American Express tiene en sus archivos. Esa información adicional ayuda a la compañía de tarjetas de crédito a decidir si aprueba la transacción, dice Cullimore.
• En algunos casos, American Express puede considerar que una transacción es arriesgada, pero el minorista conoce al consumidor desde hace años, por lo que la transacción será aprobada, dice.
• La Autorización Mejorada, que se basa en el aprendizaje automático, ha dado lugar a una reducción de hasta el 60% en las tasas de fraude, al tiempo que permite aprobar más transacciones.
• El proceso de aprobación no aumenta el tiempo de compra de los consumidores, afirma Cullimore.

Pero Sims, de Forter, señaló que muchos de los datos comprobados por la Autorización Mejorada, como la información de envío y la dirección IP, son «fácilmente manipulables» por los defraudadores.

«Puede ayudar, pero no debe confiarse en ella como mecanismo exclusivo de mitigación del fraude», dijo. «Es más bien un complemento de otras herramientas, técnicas y plataformas».

Sin embargo, Cullimore señaló que los comerciantes pueden proporcionar «docenas de elementos de datos» con la Autorización Mejorada.

«Mientras que un defraudador puede introducir datos reales del miembro de la tarjeta para imitar al miembro real de la tarjeta, hay muchos elementos de datos proporcionados por el comerciante en los que un defraudador no tiene capacidad para influir», dijo. «Cuantos más datos proporcione un comerciante a través de la Autorización Mejorada, mejor funcionará para aumentar las tasas de aprobación y reducir el fraude».

Ver relacionado: ¿Son las tarjetas de crédito estadounidenses las más vulnerables al fraude?

Las pequeñas empresas vuelan bajo el radar de los delincuentes… hasta que no lo hacen

Sims dice que, debido a su tamaño, las pequeñas empresas a menudo pueden «volar bajo el radar durante mucho tiempo» antes de ser atacadas por los ciberdelincuentes.

Pero si se produce un ataque de fraude, «tu vida cambia realmente», dice Sims. «En el peor de los casos, perderá la capacidad de procesar tarjetas de crédito en línea».