APT36, el grupo de hackers vinculado a Pakistán, ha mejorado ElizaRAT con técnicas avanzadas de evasión y nuevos payloads.
Informe global sobre fraude: tendencias y necesidades cuando el peligro se multiplica
A partir de una amplia ronda de encuestas realizada entre noviembre y diciembre de 2021, Cybersource publicó un completo informe a mediados del pasado año que indaga en las últimas tendencias en el área de prevención de fraude y pagos electrónicos, identificando las principales formas de estafa que enfrenta el ecommerce y las medidas de protección más adecuadas.
E
l “Informe global sobre fraude, 2022”1, en cuya elaboración también colaboraron el desarrollador Verifi y el Consejo de Riesgos Mercantiles (Merchant Risk Council, MRC), pretende ofrecer una panorámica sobre las formas de fraude imperantes, los medios que empresas y comercios ponen a disposición de la lucha contra el fraude y sobre cuestiones como hasta dónde llega la responsabilidad de las compañías o si se está haciendo suficiente para minimizar los daños de estas actividades delictivas. Vamos a repasar las problemáticas e interrogantes más relevantes que plantea el informe.
La muestra representa a un conjunto muy diverso de grandes, medianas y pequeñas empresas de África, Asia, América y Europa. Por sectores, se dividen en bienes físicos y retail (60%), activos digitales y entretenimiento (6%), turismo y viajes (9%) y otros productos y servicios (25%). Este conjunto sirve de vehículo para una investigación estructurada sobre cinco cuestiones.
-
¿Qué efecto tiene el fraude en las empresas?
Los costes del fraude aumentaron por segundo año consecutivo a nivel mundial, con repuntes de aproximadamente medio punto en un año en todos los marcadores: ingresos perdidos, pedidos rechazados como fraudulentos, devoluciones de cargos y disputas.
Sin embargo, la inversión destinada a luchar contra el fraude apenas se ha movido. De media, esta partida supuso un 10% del gasto total en 2021, sin aumento en 2022. Norteamérica se sitúa por encima de la media, eso sí, porque en 2021 solo invertía un 5%, igualándose al 10% del resto de territorios en 2022. Aun así, los encuestados se muestran favorables a las mejoras de las directivas sobre servicios de pago, que establecen la obligatoriedad de poner en marcha sistemas de autenticación reforzada, lo que exigirá un esfuerzo económico mayor progresivamente. También se observa que el objetivo a medio plazo es potenciar las herramientas automatizadas de detección de fraude en detrimento de las comprobaciones manuales de los pedidos, que al final se traducen en un esfuerzo muy importante para una tasa de detecciones muy baja.
-
¿Qué tipos de fraude están sufriendo?
Los más habituales serían:
- Phising y pharming (35%), un tipo de phising que consiste en dirigir a las personas a páginas web fraudulentas que imitan páginas auténticas.
- Comprobación de tarjetas (34%), pequeñas compras que llevan a cabo los hackers con números de tarjetas bancarias robadas antes de realizar una transacción mayor para comprobar si funciona, lo que suele hacerse mediante múltiples transacciones con distintos comercios para evitar sospechas.
- Robos de identidad (33%).
- Fraude amistoso (32%). Es un término paraguas que engloba los fraudes que lleva a cabo un titular de una cuenta que asegura que no ha hecho una transacción para reclamar una devolución, un cambio o algún otro beneficio. Es difícil de detectar porque el cliente está reclamando una transacción legítima.
- Usurpación de cuentas (27%), el conocido ATO o account takeover.
De media, cada comercio soporta 3 ataques al año. En particular, los encuestados reportan un incremento significativo del uso indebido amistoso, con clientes que se escudan en los fallos técnicos y las confusiones para “engañar” al comercio.
A este respecto, los desafíos más urgentes que habría que afrontar, según las respuestas a este punto, serían: identificar y responder a ataques de fraude emergentes, mantenerse al día con las regulaciones o cambios en las normas de los sistemas de pago, saber adaptar rápidamente los modelos de negocio debido a los cambios post COVID-19, utilizar eficazmente los datos para gestionar el fraude, actualizar los modelos de riesgo de fraude (obtención de scores, etc.) y expandirse a nuevos canales de venta.
-
¿Qué tipo de estrategias están siguiendo las empresas para prevenir y gestionar el fraude?
En este punto, el estudio observa una tendencia por la cual las empresas están priorizando la lucha contra el fraude por encima de la mejora en la experiencia de cliente, aspecto que sí destacaba en informes anteriores.
De media, cada empresa utiliza 4 herramientas de detección del fraude, principalmente servicios de verificación de la identidad y de las tarjetas de crédito (como los códigos CVV o CVN), fórmulas de autenticación multifactor o, menos comúnmente, el análisis del historial de pedidos del cliente.
Los dos siguientes bloques del informe se articulan sobre los pagos electrónicos: qué métodos se utilizan para pagar, cómo están optimizando los comercios los servicios y procesos a su alcance, las diferentes formas de gestión, las nuevas plataformas de pago, así como su capacidad de absorción en un mundo que adopta la digitalización de modo muy desigual.
-
¿Qué prácticas y socios se utilizan para aceptar pagos de comercio electrónico?
La mayoría de los responsables de comercio electrónico están adoptando métodos de pago más modernos para mejorar la experiencia del cliente, llegar a nuevos segmentos y minimizar el riesgo de fraude. De hecho, 9 de cada 10 aseguran que anima proactivamente a sus clientes a utilizar los métodos de pago que consideran más adecuados. Los cuatro métodos preferidos por los encuestados son: monederos digitales, transferencias por domiciliación bancaria, tarjetas tradicionales y aplicaciones móviles como PayPal móvil o Amazon one-click.
Se aprecia un crecimiento en los pagos a través de terceros (tipo Paypal), los pagos BNPL (buy now, pay later, compre ahora, pague después), las carteras digitales y los pagos a través de aplicación móvil.
Para apoyar estos métodos omnicanal, los comerciantes están utilizando múltiples procesadores de pagos y bancos adquirentes para maximizar la flexibilidad, la cobertura geográfica y las autorizaciones. Al utilizar varios proveedores, los comerciantes pueden asegurar un tiempo de actividad continuo y una mayor seguridad en sus transacciones.
La absorción de nuevas fórmulas de pago repercute en menor riesgo de fraude, mayor tasa de conversión y más rapidez a la hora de disponer de los fondos.
Otra de las tendencias que parece no tocar techo es el apoyo que buscan los comercios en mercados de terceros (Amazon, AliBaba, etc.) para vender sus productos y posicionarse. Así, 8 de cada 10 los incluye dentro de su estrategia para afianzar la lealtad con sus clientes, favorecer la competencia, mejorar la experiencia de usuario, no depender de la ubicación de la empresa o apostar por el ecommerce sin necesidad de asumir los costes de desarrollo de una web.
-
¿Cómo están optimizando los comerciantes las plataformas y los procesos de pago?
Los comercios están buscando nuevas formas de mejorar la experiencia del cliente y facilitar los pagos, y están experimentando con una variedad de enfoques innovadores. Esto incluye la recogida en tienda, los pedidos online con pago presencial, y el uso de tecnologías como chatbots de inteligencia artificial. Estos bots son capaces de asistir a los consumidores en momentos críticos de la compra para evitar los abandonos que se producen por dificultades técnicas u ofrecer sugerencias basadas en artículos que han buscado o comprado previamente. También pueden compartir actualizaciones de productos para incitar a los clientes a seguir comprando a la misma marca. Sin embargo, estas tecnologías aún no se han adoptado de manera generalizada, siendo Asia y América Latina los territorios más propensos a ahondar en su desarrollo.
En términos de optimización de pagos, se utilizan en promedio de 2 a 3 enfoques o técnicas diferentes:
- Enrutamiento inteligente. Utilizada para aumentar el rendimiento de la autorización de pagos, es una técnica que consiste en el uso de algoritmos avanzados para elegir el mejor procesador de pagos o adquirente para una transacción específica. En lugar de utilizar un procesador o banco adquirente predeterminado, el enrutamiento inteligente analiza factores como la tasa de aprobación, la tasa de interés, la geografía y el historial de transacciones para determinar el mejor proveedor para cada transacción.
- Aprendizaje automático o machine learning. Aplicado a las compras en comercio electrónico, un sistema de aprendizaje automático puede ayudar a optimizar las ventas analizando datos históricos de transacciones para detectar patrones y tendencias. Estos patrones pueden incluir desde el momento del día en que se realizan las transacciones hasta el tipo de dispositivo utilizado para realizar el pago. Con esta información, el sistema puede adaptar automáticamente sus procesos para mejorar la tasa de éxito de los pagos y además reducir el riesgo de fraude.
- Reintentos automatizados. Es un proceso que se activa cuando un pago inicial no es aprobado o falla. El sistema automatizado intentará el pago de nuevo utilizando diferentes parámetros o información, como una nueva tarjeta o un nuevo procesador de pagos.
La tokenización, entendida como la encriptación de los datos de tarjetas mediante códigos únicos o tokens, se está extendiendo a buen ritmo entre el comercio electrónico, motivado por la seguridad y la reducción de los riesgos que significa. En cualquier caso, estaríamos hablando de algo más del 50% de las empresas a nivel mundial usando estos procedimientos en la gestión de los pagos, lo que deja mucho margen de crecimiento.
El “Informe global sobre fraude” nos muestra que el comercio electrónico se encuentra ante un futuro lleno de interrogantes, con una buena predisposición para entender los beneficios de aplicar tecnologías innovadoras, pero con los defraudadores multiplicando sus tácticas de ataque al mismo tiempo. Las inversiones para combatir los delitos en línea son moderadas si las comparamos con las pérdidas que originan. Cualquier sector que facilite los pagos electrónicos está en riesgo, por lo que no se debe bajar la guardia.
1 Global fraud report | Cybersource. 2022