Fraude de pago autorizado: cómo funciona esta estafa


¿Sabe en qué consiste el fraude de pago autorizado (fraude APP)? Imagine la situación: acaba de ampliar su vivienda y justo cuando terminan las obras recibe un e-mail desde una cuenta que lleva el nombre de la empresa de construcción con una factura adjunta en la que figura el importe acordado por la obra?

Paga la factura, tal y como debe ser. Pero no vuelve a saber nada de la empresa y unos días después manda otro mensaje para comprobar si ha recibido el pago. Sin embargo, no solo descubre que no ha recibido el dinero, sino que los datos de la cuenta a la que realizó el ingreso no están asociados a ninguna cuenta de la empresa de construcción.

No se deje engañar: fraude de pago autorizado («Authorized Push Payment» o APP)

Este es un ejemplo de un fraude de pago autorizado (APP). En este tipo de fraude, el estafador se hace pasar por una persona legítima, convence a alguien de que envíe un pago alegando falsas pretensiones y el dinero termina en una cuenta controlada por los fraudsters. Ejemplos como el citado pueden incluir el fraude de facturas falsas, en el que el fraudster factura a la víctima un trabajo que realmente se ha realizado (solo que lo ha hecho otro) o se las arregla para interceptar la factura y cambiar los datos bancarios para que el pago se deposite en una cuenta controlada por él.

Los números detrás del fraude de pago autorizado

UK Finance señaló que en el primer semestre de 2019 el fraude por APP supuso en el Reino Unido una pérdida de 208 millones £. Las estafas por APP son cada vez más habituales debido a la adopción masiva de los pagos en tiempo real por parte del sector de servicios financieros, y se espera que en 2020 supongan una gran parte de la actividad fraudulenta. Descubra por qué en una entrada anterior del blog sobre las tendencias de fraude que se esperan para este año.

Iniciativas como Faster Payments en el Reino Unido están contribuyendo a implantar pagos en tiempo real en todo el mundo, puesto que los bancos compiten con las fintechs para brindar la mejor experiencia de usuario posible. Los pagos en tiempo real son el elemento definitorio del fraude por APP, porque implican que las transacciones no se pueden revertir y los fraudsters pueden coger el dinero y salir corriendo.

El fraude por APP suele servirse de ingeniería social para engañar a las víctimas

El método para cometer este tipo de fraude no es nuevo ni innovador, ya que, como casi todas las estafas, implica alguna forma de ingeniería social. El fraudster se hará pasar por un empleado de banco, un policía o un empleado de una empresa legítima con la que el usuario mantiene una relación. Seguidamente, realiza lo que a primera vista son solicitudes de pagos legítimas debido a la familiaridad artificial percibida por la víctima.

El uso de ingeniería social permite a los fraudsters perpetrar un amplio abanico de ataques. Además, la autenticación reforzada del cliente exigida en el marco de la PSD2 no afecta al fraude de pago autorizado, porque el titular de la cuenta ha sido engañado para proporcionar la autenticación necesaria.


Las estafas por APP se han convertido en una opción mucho más atractiva de ganar dinero desde el anuncio de esta directiva.


app-fraud-fraude-pago-autorizado-01

El fraude de pago autorizado en acción: diferentes tipos de fraude

  • Un tipo de estafa por APP son las denominadas «estafas románticas». Por ejemplo, en un informe de la BBC se detalla cómo Thomas, del Reino Unido, conoció a Tonia a través de una red social. Parecían compartir muchas cosas, incluida la pasión por viajar y por sus perros. Sin embargo, «Tonia» era un fraudster que fingía un interés amoroso. Se inventó una historia en la que vivía en EE.UU. al cuidado de su abuela enferma y sin dinero propio, pero afirmaba que heredaría una buena fortuna. Todo era mentira. Con paso lento, pero seguro, sonsacó a Thomas sus datos personales y, tras siete meses de meticuloso trabajo, terminó por sacarle su dinero.
  • En otras ocasiones, los fraudsters se hacen pasar por empleados de una empresa Por ejemplo, en 2016, alguien llamó a una empresaria jubilada haciéndose pasar por un empleado de BT y la convenció para que compartiera datos de seguridad confidenciales. En menos de 24 horas el fraudster sacó de su cuenta 180 000 £ a través de 33 transferencias, un dinero que la víctima había ahorrado para garantizar un buen futuro a sus hijos. Al principio, su banco la culpó a ella por autorizar la transacción.

 

Los usuarios necesitan protección frente a los fraudes de pago autorizado

Estas historias ya son de lo más habituales; sin embargo, cuando los pagos en tiempo real empezaron a generalizarse no se estableció ningún reglamento sobre la protección de los usuarios. Aunque a los usuarios se les brindó la posibilidad de realizar pagos instantáneos, no se pensó en brindarles también protección por si algo fallaba.

En 2016, “Which?”, una organización de defensa de intereses ciudadanos británica independiente presentó una megademanda ante el Payment Systems Regulator (PSR) en relación con la protección de los clientes en el mercado de los pagos por transferencia. Le preocupaba que no existiera la misma protección para los consumidores que eran víctimas del fraude por APP en comparación con otros tipos de métodos de pago.

Esto dio lugar a la creación del APP Scams Steering Group, que estableció la iniciativa Contingent Reimbursement Model. Se trata de un código voluntario que los bancos británicos pueden suscribir y que les obliga a reembolsar el dinero a los clientes víctimas de este tipo de fraude, siempre y cuando se haya cumplido este código. Gracias a este, a Thomas (el protagonista de nuestra estafa romántica) se le reembolsó el dinero, puesto que su banco había firmado este acuerdo.

El de Reino Unido fue uno de los primeros mercados financieros que adoptó los pagos en tiempo real y el reconocimiento posterior de la necesidad de prestar protección contra el fraude por APP probablemente se convertirá en un paradigma para el resto del mundo que ha seguido sus pasos.

Los datos completos sobre los reembolsos realizados en 2019 en virtud de este nuevo código se publicarán este año, pero lo más probable es que el reembolso a los clientes por parte de los bancos se convierta a su debido tiempo en una práctica ampliamente aceptada por los PSP, ya sea como parte de un código oficial o de otro modo.

app-fraud-fraude-pago-autorizado-02

¿Qué implica esto para el fraude por APP?

El hecho de responsabilizar a los bancos de las pérdidas sufridas por los clientes debido a fraude por APP hace que los primeros se interesen más por impedir que ocurra.

Sin embargo, las estafas asociadas a la ingeniería social son las más difíciles de detectar y de evitar, puesto que la víctima realiza lo que parece una transferencia totalmente autorizada. De hecho, en ese momento, el cliente cree que eso es lo que está haciendo. En cierto sentido, cuando la persona es víctima de una estafa por APP, se está estafando sin querer a sí misma.

Las soluciones de seguridad basadas en la biometría del comportamiento pueden contribuir a contrarrestar este fenómeno, mediante el análisis de miles de parámetros relacionados con el comportamiento de los usuarios en tiempo real para comprobar si este sugiere que están siguiendo instrucciones al realizar la transferencia.

Esta información se puede comparar después con el comportamiento fraudulento conocido extraído de sesiones de banca fraudulenta y con la forma en que se realizan habitualmente las transacciones legítimas.

Una solución que se sirve de biometría del comportamiento puede generar una calificación crediticia basada en esta información, trabaja de forma invisible y sin efecto para la experiencia de usuario; partiendo de ahí, los bancos pueden adoptar las medidas oportunas para frenar el fraude de pago autorizado.

Publicado por Jose Carlos Corrales

José has a track record of more than 10 years in the different areas of cybersecurity, boasting experience in managed security services, anti-fraud services, reverse engineering, malware analysis and many others, working as a middle manager, a project manager and a presales engineer in companies such as Telefónica and Deloitte, mainly in banking customers. He currently analyses the market to detect new functionalities that ensure our solution stays on the cutting-edge of anti-fraud and serves to solve our customers’ present problems.


¿Te ha gustado? Comparte en tus comunidades sociales

 

¿Qué piensas sobre este tema?

Deja tus comentarios

 

¿Necesitas reducir el fraude online de tu banco?

Descubre nuestra visión holística aplicada a la detección del fraude online

Solicita una demo