El fraude de prueba de tarjetas es un tipo de actividad fraudulenta en la que alguien intenta determinar si la información de una tarjeta robada puede ser utilizada para realizar compras.
Este tipo de actividad fraudulenta es un riesgo inevitable que forma parte de los comercios en línea. Por lo mismo, constantemente nos encontramos mejorando nuestras herramientas y sistemas para detectar y reducir el riesgo de fraude; no obstante, es vital que siempre te mantengas alerta.
Los probadores de tarjetas utilizan tanto las autorizaciones como los pagos para determinar si la información de la tarjeta robada o generada que tienen es válida o no.
Autorizaciones: este es el método preferido para comprobar las tarjetas, ya que las autorizaciones no suelen aparecer en los extractos del titular de la tarjeta. Esto también hace que sea menos probable que el titular de la tarjeta se dé cuenta o denuncie la actividad fraudulenta.
Pagos: los probadores de tarjetas prefieren los pagos pequeños, que tienen menos probabilidades de ser notados por los titulares de las tarjetas y denunciados como fraudulentos. Esto hace que las páginas de donaciones y los negocios que facilitan las compras de poco valor sean objetivos ideales para los probadores de tarjetas.
Efectos adversos
Si su integración está siendo explotada por probadores de tarjetas, debe de mitigar la actividad fraudulenta tan pronto como sea posible. Las pruebas con tarjetas tienen muchos aspectos negativos, algunos de los cuales empeoran con el tiempo a medida que las pruebas con tarjetas continúan.
Disputas: muchos tipos de pruebas con tarjetas implican pagos, algunos de los cuales tendrán éxito. Muchos de esos pagos exitosos serán notados por el titular de la tarjeta y disputados como fraudulentos, lo que resultará en disputas que le costarán tiempo y dinero.
Mayores tasas de rechazo: las pruebas con tarjetas suelen provocar un gran número de rechazos asociados a su negocio. Un alto índice de rechazo daña la reputación de su negocio con los emisores y las redes de tarjetas, lo que hace que todas sus transacciones parezcan más arriesgadas. Esto puede dar lugar a un aumento de la tasa de rechazo de los pagos legítimos, incluso después de que la prueba de tarjetas se detenga.
Comisiones adicionales: la actividad de comprobación de tarjetas puede dar lugar a comisiones adicionales, como comisiones de autorización para planes de precios personalizados y comisiones por disputas.
Carga de la infraestructura: las pruebas de tarjetas suelen dar lugar a numerosas solicitudes y operaciones en la red. Este tráfico adicional puede sobrecargar su infraestructura e interrumpir la actividad legítima.
Daña la salud del ecosistema: las pruebas de tarjetas tienen un impacto negativo en el sistema financiero en su conjunto, por lo que tanto Stripe como nuestros socios financieros quieren ayudarle a detenerlas.
¿Qué hacemos nosotros para prevenir el fraude de prueba de tarjetas?
PagueloFacil posee múltiples controles automáticos y manuales dedicados a mitigar las pruebas tarjeta. Estas medidas no pueden prevenir las pruebas de tarjeta en su plenitud; pero tu atención a este tipo de situaciones puede hacerle el fraude mucho más difícil a estas personas. Tus llaves API te otorgan acceso al sistema y red financiera de PagueloFacil. Este acceso es exactamente lo que estos "probadores de tarjeta" quieren aprovechar, por lo que es sumamente importante que mantengas tus llaves en un estado seguro, para así, prevenir el fraude y otras actividades maliciosas.
¿Qué puedes hacer en tu comercio para prevenir las pruebas de tarjetas?
Los probadores de tarjetas emplean una amplia variedad de técnicas para hacer que su actividad fraudulenta sea difícil de bloquear. Como resultado, las simples reglas de cortafuegos o los filtros basados en cosas como las cadenas de agentes de usuario no suelen ser suficientes para evitar las pruebas de tarjetas por sí solas.
Los sistemas que carecen de medidas de seguridad para evitar el acceso irrestricto a ciertas funciones de Stripe pueden ser vulnerables a las pruebas de tarjetas. Los puntos finales a los que se dirigen los probadores de tarjetas suelen permitirles hacer una de las siguientes cosas:
Adjuntar una tarjeta a un cliente.
Realizar un pago.
Añadir restricciones de seguridad a los puntos finales que exponen esta funcionalidad le ayudará a prevenir o mitigar las pruebas de tarjetas. Las restricciones que implemente deben hacer que las pruebas con tarjetas sean poco prácticas y tengan un impacto mínimo o nulo en su tráfico legítimo.
Las medidas de seguridad específicas que añada a su integración variarán en función de su situación y de las necesidades de su empresa. A continuación se describen varios enfoques comunes.
Añadir un captcha
Los probadores de tarjetas suelen utilizar scripts automatizados que pueden bloquearse mediante un captcha.
El reCAPTCHA de Google suele ser eficaz para bloquear las pruebas de tarjetas. Ofrecen opciones para captchas visibles e invisibles, dependiendo de tus necesidades.
Si has añadido un captcha a tu integración, pero la prueba de tarjetas no se ha detenido, comprueba lo siguiente:
Asegúrate de que el captcha requiera la validación en todas las solicitudes que permitan validaciones de tarjetas o pagos con PagueloFacil.
Revisa la documentación del captcha para asegurarse de que se ha implementado correctamente.
Si utiliza un captcha que proporciona una puntuación, ajuste el umbral a partir del cual impide que las solicitudes tengan éxito.Prueba una solución de captcha diferente, como cambiar de un captcha invisible a uno visible, o utilizar una solución de captcha completamente diferente.
Añada límites de velocidad
En algunos casos, puede detener las pruebas de tarjetas añadiendo límites de velocidad. Adapte estos límites de velocidad para detener el tipo específico de prueba de tarjetas que está experimentando.
Por ejemplo, si los probadores de tarjetas utilizan su integración para validar tarjetas adjuntándolas a nuevos clientes, un elemento disuasorio eficaz podría ser limitar el número de nuevos clientes que puede crear una sola dirección IP en un día.
Exigir el inicio de sesión o la validación de la misma
La prueba de tarjetas puede evitarse a menudo exigiendo la validación del inicio de sesión o de la sesión cuando se realizan determinadas acciones, como la creación de una cuenta o la realización de un pago. Algunas de las salvaguardias que protegen contra los ataques de falsificación de solicitudes en sitios cruzados (CSRF) también son eficaces contra algunos tipos de pruebas con tarjetas, como los tokens CSRF.
Detectar y prevenir comportamientos inusuales
Tan pronto como haya identificado la actividad de prueba de tarjetas, puede compararla con el tráfico legítimo típico y, a continuación, crear reglas o filtros que limiten o impidan únicamente la actividad de prueba de tarjetas.
Por ejemplo, puede realizar cambios en su sistema que:
Limiten el número de tarjetas que se pueden adjuntar a un solo cliente.
Limiten el número de clientes que pueden crearse con una sola dirección IP.
Filtren las solicitudes con determinados agentes de usuario u otros parámetros.
Utilizar una combinación de mitigaciones
Puede tener sentido combinar varios enfoques para detener las pruebas de tarjetas con el fin de maximizar el impacto en la actividad fraudulenta sin tener un efecto adverso en el tráfico legítimo.
Por ejemplo, podría combinar captchas y límites de velocidad para que el primer intento de pago desde una dirección IP tenga éxito sin restricciones, pero las siguientes solicitudes realizadas por esa misma dirección IP durante las siguientes horas requieran una verificación con captcha para tener éxito.