ciberdelincuencia

El temor al robo 'on line' se traspasa a los comerciantes

Internet es el canal de la mayoría de los intentos de fraude con tarjetas de crédito

Pago con tarjeta de crédito.

Pago con tarjeta de crédito.

Eduardo López Alonso / Barcelona

Por qué confiar en El PeriódicoPor qué confiar en El Periódico Por qué confiar en El Periódico

El fraude con tarjetas bancarias se produce en su mayoría actualmente a través de las compras a distancia por la copia o duplicado de tarjetas de crédito o débito. El gran perjudicado de ese fraude es también el comerciante que acepta los pagos de una tarjeta duplicada. Si hace algunos años el temor a realizar compras en internet recaía en el comprador, por la falta de confianza en el vendedor, actualmente los miedos se han traspasado a los comercios, especialmente los más modestos, temerosos de que los productos vendidos no lleguen a cobrarse jamás. 

Las cifras de fraude con tarjetas bancarias emitidas en España han ido en aumento en los últimos años. Según los últimos datos del Banco de España, en el 2016 se produjeron 888.000 operaciones fraudulentas que supusieron un importe de 56 millones de euros. El 69% de estas operaciones se hicieron a distancia, a través de internet. Las víctimas de estas usurpaciones de identidad no son solo los usuarios de las tarjetas, sino también las tiendas 'on line'. Solo el 28% de las operaciones fraudulentas se hacen en lectores de tarjetas de comercios, en TPVs (Terminal en Punto de Venta). Y muchas menos en cajeros automáticos (3%). Internet es el centro del pillaje. 

Facilidades para el hurto

Que una persona diferente de la titular de la tarjeta bancaria realice una compra 'on line' es relativamente sencillo. Y el quebranto es tanto para el propietario de una posible tarjeta usurpada como para el comerciante que vende a un cliente desconocido en internet. En ausencia de 3D Secure (el sistema que envía una clave por SMS al móvil del titular para validar la compra), cualquier persona que esté en posesión de los 16 dígitos de una tarjeta de crédito, su fecha de caducidad y los 3 dígitos del criptograma (CVC) puede completar un pedido 'on line'. El titular de la tarjeta de crédito usurpada puede reclamar el importe a su banco, que está en la obligación de devolver los importes adeudados. Pero ese importe puede ser reclamado también a su vez al comercio que autorizó la compra ('chargeback'). Si los cargos indebidos son reiterados en un mismo 'ecommerce', las entidades emisoras de las tarjetas bancarias pueden llegar a bloquear las operaciones tramitadas a través de esa tienda. La amenaza al comercio está servida. 

Comprobaciones

El Banco de España establece los procedimientos de autenticación de los pagos a distancia, pero esos procedimientos fueron diseñados especialmente para proteger al consumidor frente a comercios fraudulentos y no tanto ante la posibilidad de duplicado de tarjetas y el quebranto directo al comercio estafado. Así, cualquier operación a distancia comprueba tres elementos básicos; conocimiento, posesión e inherencia. Esto es, un código personal o pin; algo que solo posee el propietario (móvil o tarjeta física); y una característica biométrica. Aunque esos elementos de seguridad son independientes ("la violación de uno no debe comprometer la seguridad de los otros", según el Banco de España), lo cierto es que globalmente el sistema no es tan seguro como se piensa. Por ello, la normativa establece que los proveedores de servicios de pago deben contar con procesos que garanticen que todas las operaciones y flujos de pago queden registrados. Y la defensa del consumidor es prioritaria. 

Menos responsabilidad de los bancos

Durante este año 2018, la mayoría de las entidades han tenido que reducir la responsabilidad por uso fraudulento de la tarjeta. Esto significa que es el banco el que deberá devolver al titular de la tarjeta las cantidades que excedan de un límite, que pasa de 150 euros a 50. En el caso de que haya un uso fraudulento de la tarjeta sin que el titular haya dejado de tenerla en su poder, por duplicación o por robo de los datos de la tarjeta, el usuario no tiene forma de darse cuenta del engaño por lo que es el banco quien deberá devolver de inmediato el importe total de la operación no autorizada. Pese a ello, las entidades suelen intentar que sea el propio usuario el que reclame las cantidades y que presente una denuncia ante la policía. 

Responsabilidad limitada

Si el fraude se produce como consecuencia del robo o pérdida de la tarjeta, el usuario suele ser responsable de las operaciones realizadas antes de la comunicación del robo o la pérdida, pero la cuantía está limitada a ese máximo de 50 euros. Cualquier reclamación debe cursarse antes de que pasen 13 meses de cualquier operación. 

Medidas para detectar fraudes

Según la plataforma de pago Klik & Pay, especializada en Pymes, los proveedores de productos y servicios tienen que tomar medidas para evitar ventas 'on line' que después no podrán cobrar. Con su experiencia, considera que deben estar atentos a pedidos anormalmente altos. "Un profesional suele contactar previamente para negociar condiciones especiales", explican en Klik & Pay. Lo habitual es que se realice un encargo pequeño y tras esa experiencia elevar progresivamente las compras. "Los estafadores saben que solo tienen una oportunidad para usar la tarjeta robada. Por eso, acumulan un máximo de productos en el pedido antes de que la víctima anule su tarjeta", explican los expertos de Klik & Pay.

Algunos ciberdelincuentes moderan sus pedidos para no levantar sospechas. Si los comercios levantan la guardia ante pedidos inferiores a 25 euros, por ejemplo, los delincuentes presentarán muchos pedidos de ese tipo. 

Urgencias indebidas

Los expertos también alertan ante compradores anormalmente exigentes que piden una excesiva urgencia en la entrega del producto comprado. Los estafadores tratarán de recopilar un máximo de artículos antes de que el titular de la tarjeta la bloquee. La idea es que el comerciante debe expedir los pedidos con un tiempo prudencial y comprobando el que pago se ha hecho sin problemas. 

Las transacciones entre empresas (B2B) suelen ser las más comprometidas. Los estafadores son conscientes de que una empresa siempre levanta menos sospechas que un particular.

Comprobar la identidad

El vendedor debe comprobar la identidad de aquellos que están tras las empresas. La dirección IP te permite identificar y localizar geográficamente a los internautas. Por ello, un defraudador tratará de encubrir la suya detrás de un 'proxy' para impedir ser localizado. Las pasarelas de pago seguro identifican esa práctica e informan de la sospecha de fraude.

Los defraudadores suelen también recurrir a pedidos internacionales con el objetivo de disuadir a los comerciantes de tomar acciones judiciales, ya que son más complejas de resolver desde el extranjero. Por ello, los expertos aconsejan que al recibir un pedido internacional, lo mejor es guardar el paquete en depósito unos días más de lo habitual para realizar comprobaciones. Entre esa puede incluirse una simple llamada telefónica con la excusa de comprobar los datos de entrega o cualquier otra consulta.