¿Amigo o enemigo? Cuando el estafador es, además, su cliente

Publicado por buguroo - 28/11/2019

Cuando pensamos en un estafador online, el estereotipo más común es el del sombrío delincuente que ha conseguido robar con éxito las credenciales de un cliente desprevenido para vaciar su cuenta bancaria o para irse de compras con el dinero que tanto le costó ganar. O quizá, como debatíamos en nuestro blog anterior, suponemos que el fraude es obra de una banda criminal bien organizada, que utiliza todo un arsenal de sofisticadas herramientas automatizadas para evitar ser detectada y hacerse con el control de una cuenta antes, durante, o después de que se haya producido una transacción.

Aunque a menudo es este el caso, en el mundo real no siempre se confirman estos estereotipos. De hecho, algunas estimaciones sugieren que tan solo un 29 por ciento de las incidencias de fraude pueden clasificarse como ‘auténtico fraude’: cuando los delincuentes son los autores reales. En el resto de las ocasiones, no se trata en absoluto de una simple historia del bien contra el mal. Es más, no pocas veces la persona que comete el fraude es, además, el titular de la cuenta o de la tarjeta: una situación que se conoce como ‘fraude amistoso’.

 

El fraude amistoso tiene muchas caras

Para bancos, comerciantes y proveedores de servicios de pago (PSP), el fraude amistoso tiene muy poco de amistoso porque, en la gran mayoría de los casos, exigirá investigar y, si es necesario, reembolsar el valor de toda transacción fraudulenta al titular de la cuenta.

No obstante, el fraude amistoso tiene varias caras diferentes, unas más hostiles que otras.

Errores honestos

En su forma más inocente, el fraude amistoso puede ser fruto del olvido. En la época actual de pagos sin contacto y móviles, es fácil acumular compras sin llevar un seguimiento. Una transacción aparentemente fraudulenta en el extracto bancario del titular de una cuenta puede ser totalmente legítima, incluso aunque no sea memorable en absoluto.

friend-or-foe-01

El reino de la confusión

Las incoherencias entre nombres de empresas (o marcas) y nombres comerciales solo aportan confusión. Probablemente todos hemos echado una ojeada al extracto de nuestra tarjeta de crédito y hemos pensado ‘no he sido yo; yo nunca he oído hablar de esta empresa’, solo para llamar al banco y descubrir que se trata del oscuro nombre comercial de un conocido minorista.

Además, la creciente popularidad de servicios de suscripción supone un desbarajuste aún mayor para los consumidores. Los servicios proporcionados por proveedores como Amazon Prime o Netflix (entre otros) están vinculados a un único titular de tarjeta o de cuenta bancaria, pero pueden extenderse a múltiples dispositivos que utilizan distintos miembros del hogar. Sin su conocimiento, sus hijos podrían estar comprando los últimos estrenos de películas o juegos usando su tarjeta.

friend-or-foe-02

Intención maliciosa

Sin embargo, no todo el fraude amistoso puede culparse a un simple olvido o a las complicaciones de la vida moderna. A veces, el titular de la tarjeta o de la cuenta es cómplice del delito.

Lo que se conoce comúnmente como fraude de ‘devoluciones de cargo’ se da cuando un consumidor realiza una compra online, sin presentación de tarjeta, usando sus propias credenciales, antes de dar instrucciones a su banco para que cancelen el pago, afirmando que no ha encargado esas compras, que nunca recibió los artículos, o que estaban dañados o se perdieron durante el tránsito. Si el banco aprueba estas reclamaciones, el consumidor recibirá un reembolso.

En estas circunstancias, el comerciante acaba asumiendo los costes en forma de devolución de cargos por parte del banco, incluso aunque haya emprendido todos los pasos necesarios para autenticar al usuario en el mismo momento de la transacción. Entre tanto, el consumidor obtiene los bienes y el reembolso.

A veces, para evitar su detección, el consumidor no pedirá los bienes o servicios desde su propio dispositivo o su dirección IP, sino que dará los datos de su tarjeta o de conexión a un amigo, lo que hace más difícil vincular la compra con el titular autorizado de la tarjeta o la cuenta.

friend-or-foe-03

 

La difícil distinción entre bueno y malo

No siempre es fácil detectar un fraude amistoso porque, por supuesto, el usuario (o su cómplice) estará utilizando credenciales legítimas y plenamente autenticadas para realizar una transacción. Si el fraude se debe verdaderamente a un simple error honesto, porque el cliente lo ha olvidado o porque no era consciente del acceso por parte de otra persona a su cuenta, una simple llamada telefónica o un SMS normalmente ayudará al banco o al proveedor de servicios de pago a establecer los hechos con el titular de la cuenta.

Aunque no se efectúe un reembolso al cliente (ni se aplique una devolución de cargos al comerciante), aún seguirá existiendo un gasto administrativo asociado a estas investigaciones.

Cuando las credenciales del cliente son legítimas, pero las motivaciones están poco claras, las cosas se complican considerablemente. No siempre es fácil deducir que se ha producido un fraude, en especial en caso de que un pedido no haya llegado al supuesto destinatario. Bancos, proveedores de tarjetas de crédito y PSP – en particular en esta era de Banca Abierta y de mayor competencia por parte de marcas de fintech rivales – pueden decidir otorgar al cliente el beneficio de la duda sin una investigación meticulosa, con el fin de conservar a su cliente.

Es más, los consumidores a menudo disfrutan de una protección enorme. En la mayoría de los países, sus derechos son superiores a los de los comerciantes, que acabarán asumiendo el coste final de la transacción en forma de devolución de cargos por parte del banco o de la compañía de tarjetas de crédito.

 

Calculando el coste

El fraude representa un coste masivo para la industria; es más, se piensa que cada dólar de fraude termina costándole al sector de servicios financieros más del triple de ese importe. Este incremento se debe a gastos adicionales como devoluciones de cargos, comisiones e investigación, entre otros elementos.

El fraude amistoso contribuye enormemente a este problema. CardNotPresent.com estima que solo a los minoristas les cuesta más de 11.000 millones de USD al año. Estos costes son insostenibles, especialmente debido a que el fraude es cada vez más frecuente.

 

Cómo identificar el fraude amistoso

Como ya hemos comentado, no es fácil identificar el fraude amistoso: no va a haber banderas rojas durante el proceso de autenticación; el dispositivo del usuario, la geolocalización y el entorno de red no van a disparar ninguna alarma; ni se va a detectar malware sospechoso alguno.

No obstante, existe una solución. Es posible desarrollar técnicas de deep learning (aprendizaje profundo), capaces de comparar el comportamiento del usuario durante una sesión concreta con el de todas sus interacciones anteriores, con el fin de buscar actividades anómalas o sospechosas.

A fin de cuentas, todo cliente tiene un ADN digital; si una sesión no encaja con su patrón habitual de comportamiento, podría merecer la pena investigarla.

.

.

.

Temas: Psicología cibercriminal, online fraud

 

 

Deep Learning for Online Fraud Prevention


Últimos artículos

Repaso de los principales mecanismos de autenticación utilizados

read more

¿Amigo o enemigo? Cuando el estafador es, además, su cliente

read more

CYBERCRIME.ORG. Cibercrimen como Empresa

read more