Escenarios de Fraude en el Modelo Compre Ahora, Pague Después

Por: Oscar Sánchez, Ingeniero de Soluciones de Seguridad de F5 México.

La banca ha experimentado grandes transformaciones durante la última década a medida que se integra más en la vida cotidiana de los consumidores. Solo en el último año, la adopción de tecnología en la banca se ha acelerado a un ritmo sin precedentes. 

En México, de acuerdo con la Asociación Mexicana de Ventas Online (AMVO), en 2020 el comercio electrónico en el país representó 316 mil millones de pesos en ventas, un incremento de 81% con respecto a 2019.  

Los consumidores están encantados de tomar decisiones financieras sin tener que visitar una sucursal bancaria o use una aplicación bancaria. Compre ahora, pague después (Buy now pay later/ BNPL) representa una transformación en la industria de pagos y está experimentando una rápida adopción. BNPL empodera a los consumidores al proporcionar una línea de crédito en el punto de venta. 

El hecho de que la mayoría de los proveedores de servicios de BNPL no cobren intereses si los pagos se realizan a tiempo, y que las opciones de BNPL estén disponibles tanto en el comercio electrónico como en los escenarios minoristas tradicionales, hace que este instrumento financiero sea muy atractivo. 

La adopción del servicio BNPL ha crecido de manera constante, beneficiando tanto a las empresas como a los consumidores. Un caso de estudio de 2019 observó lo siguiente:  

  • Un aumento del 33 % en el tamaño del carrito de compras cuando se proporcionaron las opciones de BNPL. 
  • La capacidad de comprar ahora y pagar más tarde ayuda a los consumidores a estirar su dólar durante tiempos financieros difíciles, como lo muestra el crecimiento del 200 por ciento en la adopción de BNPL en 2020. 
  • El éxito depende de que la experiencia del usuario sea fluida con: 
  • Una experiencia de pago simple que requiere pocos clics. 
  • Una experiencia de usuario constante en todos los sitios web. 
  • Sin tarifas de procesamiento. 
  • Crédito instantáneo, sin un largo proceso de aprobación.

Sin embargo, las prácticas que mantienen la experiencia del usuario simple y atractiva son las mismas que utilizan los atacantes para cometer fraude y ganar dinero. Los estafadores aprovechan las técnicas existentes y modificadas para intentar engañar a los sistemas y servicios de BNPL. 

Cómo funcionan los sistemas BNPL 

Los servicios de BNPL son proporcionados por empresas o bancos de tecnología financiera (fintech). Los minoristas se suscriben a estos servicios y el método de pago suele activarse en el punto de venta tanto en el mundo digital como en el físico. En una plataforma de comercio electrónico, al consumidor se le ofrece BNPL como una opción de pago después de agregar artículos al carrito de compras y pagar. Si el comprador selecciona BNPL, se le dirige a un proveedor de servicios BNPL que después de verificar al usuario, le extiende una línea de crédito sin intereses. El proceso de pago implica escanear un código QR, usar el teléfono para confirmar la transacción o ingresar una contraseña de un solo uso enviada al teléfono.  

Técnicas de fraude en funcionamiento 

Los servicios BNPL son como otras aplicaciones digitales y los atacantes utilizan varias técnicas para engañar a este sistema. Tres técnicas comunes que utilizan los estafadores incluyen: 

• Adquisición de cuentas: los servicios de BNPL generalmente brindan una línea de crédito predeterminada, y los límites de préstamos generalmente aumentan con la antigüedad de la cuenta, las transacciones y el historial de pagos. Los estafadores crean cuentas falsas para capitalizar el crédito predeterminado, pero para aumentar sus ganancias también se dirigen a las cuentas existentes. Los atacantes utilizan una combinación de técnicas, que incluyen suplantación de identidad, relleno de credenciales y clonación de tarjetas SIM. 

• Abuso de la línea de crédito predeterminada para cuentas nuevas: la mayoría de los sistemas BNPL permiten a los consumidores registrarse simplemente proporcionando copias de documentos como prueba de identidad (como una licencia de conducir) y / o una dirección actual (como facturas de servicios públicos). Los estafadores obtienen estos documentos de correos electrónicos robados o violaciones de datos, y crean cuentas falsas utilizando los mismos requisitos de registro y la línea de crédito introductoria que se ofrece a los consumidores legítimos. En algunos casos, los estafadores se confabulan con los comerciantes para convertir la línea de crédito predeterminada en efectivo. 

• Reembolsos con tarjeta de crédito robada: la mayoría de los servicios de BNPL permiten a los consumidores liquidar préstamos utilizando tarjetas de crédito. Los estafadores aprovechan esta función y pagan sus deudas utilizando la información de la tarjeta de crédito robada. Para el comerciante, tales transacciones dan lugar a devoluciones de cargo y otros gastos para resolver el fraude. 

Sólida planificación de defensa  

Para hacer frente a la embestida de los diversos mecanismos de ataque que utilizan los estafadores, los proveedores de servicios de BNPL deben incluir varios controles de seguridad preventivos y de detección. Estos deben incluir mecanismos para identificar al usuario y su intención. Algunas de las comprobaciones necesarias para los sistemas BNPL incluyen: 

  • Validación del usuario durante el proceso de registro: la mayoría de los sistemas BNPL facilitan el proceso de registro, sin agregar complejidad. Por lo que deben incluir autenticación biométrica, verificaciones de vivacidad, la capacidad de detectar huellas dactilares, rostro u otro factor presentado a un lector de autenticación biométrica, y verificaciones de documentos falsos (como hologramas o discrepancias de fuentes) como parte del proceso de registro para contrarrestar la creación de identidad falsa.
  • Detección y prevención de adquisiciones de cuentas: los servicios de BNPL deben proteger las adquisiciones de cuentas de usuario válidas. Esto requiere una serie de comprobaciones que incluyen: 
  1. Detectar esfuerzos manuales y automatizados de relleno de credenciales e implementar contramedidas, como límites de tarifas y congelamientos de cuentas basados ​​en el tiempo. 
  2. Recopilar y analizar información contextual adicional, como el dispositivo del usuario, la ubicación y la hora del día, y usarla junto con otros factores de autenticación. 
  3. Implementar un sistema de autenticación multifactor robusto y basado en riesgos. 
  • Protección contra el uso de tarjetas de crédito robadas: implemente y haga cumplir el protocolo 3D Secure para tarjetas de crédito para mejorar la prevención del fraude con tarjetas de crédito.
  • Detección de anomalías: recopilar la telemetría necesaria sobre los datos de las transacciones del usuario, y utilizar algoritmos de aprendizaje automático para detectar anomalías transaccionales como la colusión entre compradores y vendedores. 

Los sistemas BNPL amplían el poder adquisitivo de los consumidores con su amplio atractivo para la audiencia y préstamos sin intereses, sin embargo, los estafadores no necesitan apartarse mucho de sus trucos existentes para sacar provecho del sistema como la adquisición de cuentas y el fraude de nuevas cuentas que representan una amenaza similar para los sistemas BNPL. Las regulaciones para las empresas de tecnología financiera difieren según las regiones, pero las empresas deben implementar controles de seguridad para protegerse contra el abuso del sistema.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s