● ¿Qué es el fraude de prueba de tarjetas?
El fraude de prueba de tarjetas ocurre cuando alguien intenta verificar si una tarjeta robada o generada puede ser utilizada para realizar compras.
Este tipo de fraude es común en los comercios en línea y, aunque PagueloFacil trabaja constantemente para reducirlo, es fundamental que tú también estés alerta.
● ¿Cómo prueban las tarjetas?
Los atacantes pueden utilizar dos métodos:
Autorizaciones:
Es el método preferido, ya que no aparece en los estados de cuenta del titular, lo que reduce las probabilidades de que la actividad sea detectada o reportada.
Pagos pequeños:
Se realizan cargos de montos bajos que suelen pasar desapercibidos. Sitios como páginas de donación o con productos de bajo costo suelen ser los principales objetivos.
● Consecuencias del fraude de prueba de tarjetas
Si tu integración está siendo utilizada para este tipo de fraude, puedes enfrentar los siguientes efectos:
Disputas:
Los titulares pueden detectar cargos y reportarlos como fraudulentos, generando pérdidas y tiempo invertido en su gestión.
Aumento en tasas de rechazo:
Esto puede afectar tu reputación ante bancos y redes de tarjetas, impactando incluso en tus ventas legítimas.
Comisiones adicionales:
Se pueden aplicar tarifas por autorizaciones y por disputas.
Sobrecarga de infraestructura:
El alto volumen de solicitudes puede ralentizar o afectar las operaciones normales.
Impacto en el ecosistema financiero:
Este tipo de fraude perjudica al sistema en general, por lo que PagueloFacil y sus socios trabajan activamente para erradicarlo.
● ¿Qué hace PagueloFacil para prevenirlo?
PagueloFacil cuenta con controles automáticos y manuales para mitigar estos ataques. Sin embargo, la cooperación del comercio es clave:
Guarda tus llaves API en un entorno seguro.
Evita exponer endpoints sin restricciones.
Mantente informado y alerta ante actividad sospechosa.
● ¿Qué puedes hacer para proteger tu comercio?
A continuación, se detallan acciones que puedes implementar:
1. Añadir un captcha
Utiliza soluciones como Google reCAPTCHA (visible o invisible) y aplícalo en todos los endpoints que validen tarjetas o pagos.
Si ya cuentas con uno y no está funcionando correctamente:
2. Añadir límites de velocidad
Controla la cantidad de acciones que puede realizar una misma IP en un período determinado.
Ejemplo: limitar el número de clientes nuevos creados desde una misma IP.
3. Exigir inicio de sesión o validación de sesión
Solicita inicio de sesión antes de permitir pagos o creación de cuentas y utiliza tokens CSRF para prevenir accesos no autorizados.
4. Detectar comportamientos inusuales
Compara el tráfico legítimo con el sospechoso y establece reglas para limitar:
5. Combinar medidas de seguridad
Implementa múltiples controles para mayor efectividad.
Ejemplo: permitir el primer pago desde una IP y requerir captcha para los siguientes pagos en las próximas horas.