OPINIÓN

Salvemos al e-commerce del fraude online

Mientras las autoridades del BCRA están más ocupadas en afectar la operación de las fintech, primero prohibiendo usar plataformas para pagar sueldos y ahora aumentando al 100% el encaje de sus depósitos en entidades financieras, se han venido sucediendo hechos graves y poco conocidos que afectan el desarrollo del e-commerce local y atentan contra la seguridad de compradores y vendedores online.

Con el aumento del comercio electrónico impulsado por la pandemia, comenzaron a incrementarse los fraudes online, bajo distintas modalidades. En agosto de 20121 se dio cuenta de una banda que había cometido estafas a casas de electrodomésticos por más de $ 50 millones, con un modus operandi que involucra tarjetas de crédito robadas y DNI clonados.

Plataformas de pagos y cobros online, y comercios con su propio e-commerce, comenzaron a sufrir ataques de seguridad, consistentes en altas de personas, amparadas bajo alguna actividad profesional, con todos los requisitos solicitados y su registro en AFIP. Estos "nuevos clientes" generaban operaciones que disparaban alertas de comportamientos sospechosos, como tener un domicilio de radicación distinto al de la provincia donde se hacían las compras y efectuar gran cantidad de ellas en breves períodos de tiempo. Otras alertas venían dadas por los horarios inusuales de esas operaciones y porque todas provenían del canal e-commerce.

En octubre se conoció la noticia de la vulnerabilidad de la base de datos del Registro Nacional de las Personas (Renaper), filtración causada por accesos indebidos a la misma. Más allá de las desmentidas oficiales, para muchos actores del sistema fintech y de comercio electrónico, era un secreto a voces el aumento de los ataques y fraudes perpetrados, ahora ya no provenientes de tarjetas de crédito físicas robadas, sino por el tráfico en gran volumen de datos de personas.

El agravante es la sospecha de que, a esos datos personales, se estarían agregando datos de tarjetas emitidas y válidas. Lo que implica que, de producirse esos fraudes, los mismos solo sería posible descubrirlos y denunciarlos una vez emitido los resúmenes de tarjeta. Y no en forma inmediata, como sucede cuando se reporta una tarjeta robada o perdida apenas ocurre el suceso.

Como se opera

En las primeras semanas de este año, importantes negocios de Mendoza comenzaron a sufrir sin previo aviso, débitos en sus cuentas por parte de los bancos emisores. Ahí se encontraron con millonarias compras fraudulentas que se hicieron en octubre de 2021 en sus e-commerce, y que recién comenzaron a descubrirse cuando fueron desconocidas por los titulares de las tarjetas cuyos datos e identidades habían sido robadas.

Como los reclamos sobre los cargos incluidos en los resúmenes pueden hacerse una vez que estos se emiten, en la práctica hay un lapso de 60 a 90 días a partir del cual, el comerciante puede llegar a descubrir con sorpresa que fue objeto de un fraude. Y que él será en definitiva quien termine pagándolo cuando el banco le debite el importe para reintegrar al titular.

La modalidad es la compra online y el retiro en el local, obviando la entrega a domicilio, no tanto para ahorrar costos sino para evitar el control de algún operador logístico. En estos casos, alguien que tiene datos de tarjetas, hace una compra online. El comercio cursa el pedido de autorización a la empresa procesadora de pagos, quien valida tres datos: los números de la tarjeta, el código de seguridad y la fecha de vencimiento, pero no el nombre que figura en el plástico. Con ese ok, el comercio continúa con la compra aprobada.

El comprador fraudulento puede asignar esa compra a cualquier DNI del que tenga datos, pero la mercadería se irá a retirar del local, obviando la entrega en el domicilio de ese DNI del que se robó información. Incluso se han detectado casos de compras online donde se han "alquilado" domicilios de entrega de la mercadería en barrios con problemas de seguridad.

Quien compró y quien retiró están autenticados, puede ser la misma persona o distintas. Se tienen sus DNI, que pueden ser robados o adulterados. ¿Pero qué pasa? Por un lado, el comercio confió en la validación de la operación con una tarjeta con datos robados que hizo la procesadora de pagos, Y por otro, hizo la verificación de la persona que compró online y retiró la mercadería. En esa hendija, en esa zona gris entre la tarjeta de crédito autorizada y la identidad se coló el fraude.

Los riesgos

Las características que asumen estas maniobras, hacen presumir que no son grupos de hackers aislados sino bandas con gran nivel de organización y logística, ya que los ataques fraudulentos se van produciendo por zonas geográficas focalizadas, van afectando a rubros en particular (actualmente lo está haciendo con comercios de la construcción) y que tienen como presas objetivas, a tarjetas con alto nivel de crédito disponible. Es decir, hay una información calificada que pareciera posibilitar una cacería con mira telescópica a víctimas seleccionadas de antemano y no al voleo.

Se impone no solo una revisión de los mecanismos de seguridad a través de nuevas instancias de validación y autenticación por parte de las empresas procesadoras de pagos, sino también de las políticas de acceso a bases de datos, con estrictos controles de trazabilidad y uso en instituciones financieras y bancarias.

El efecto inmediato y lógico es la suspensión total de las operaciones online por parte de los comercios damnificados. Justo en momentos donde el e-commerce está experimentando niveles exponenciales de crecimiento. Por lo que se hace imprescindible dotar de seguridad y confianza al ecosistema local.

Posibles soluciones

En México y otros países latinoamericanos, los actores involucrados en las operatorias online como autenticadores, agregadores de medios de pago, billeteras virtuales, etc., deben certificar un proceso llamado Trade Secure. Esto implica para el titular de una tarjeta, que, ante cada compra online, tenga que enviar un PIN autorizando la operación. Esta herramienta ha minimizado los fraudes y el comercio que no la tiene implementada, sufre de inmediato el débito que revierte la compra, cuando hay un reclamo del titular.

Es una mecánica similar a lo que sucede con los tokens para transacciones de home banking, o los procesos de doble verificación. Es decir, de instancias validadoras que obligan a tener a mano documento, tarjeta y teléfono celular, y que se deben completar en períodos muy breves de tiempo. Algo que hace rato exigen servicios gratuitos como Gmail, Facebook, Instagram, Twitter entre otros, pero que en Argentina -salvo las empresas fintech-, no son requeridas para compras online con tarjetas de crédito y cuya ausencia deja indefensos a comerciantes y compradores.

También algunos servicios de cobros y pagos online, exigen el envío de una selfie del titular con la tarjeta o el DNI en mano, o ambos, más un número de teléfono alternativo y una casilla de mail de uso frecuente, como forma autenticar identidad y correspondencia con la tarjeta habilitada.

Alternativamente se podría generar una base única, donde se vuelque la información de todos los titulares de tarjetas del sistema y los datos mínimos para validar identidades y propiedad de las tarjetas, administrada por un tercero independiente de los bancos y emisoras, como hoy ocurre entre los operadores de telefonía celular con sus clientelas, a efectos de la portabilidad numérica.

Son variadas las soluciones que se pueden dar en este sentido, y las fintech a las que se pretende regular y hasta dificultar en su operatoria, son quienes tienen los deberes hechos, con procesos de seguridad y validación consolidados.

Si bien este tipo fraude afecta tanto al titular de la tarjeta cuyos datos fueron robados como al comercio donde se efectúa la compra, el más expuesto es el comerciante, ya que el particular cuando advierte esas operaciones en el resumen de su tarjeta, puede denunciar y desconocer la operación.

El comercio actuando de buena fe, frente a una operación online pide autorización al procesador de pagos de una tarjeta de crédito que no está ni denunciada, ni extraviada. Una vez validada la tarjeta y la operación, para el comercio la venta ya está autorizada, pero cuando aparezca un problema, será quien termine pagando por ese fraude sobreviniente, el que ni siquiera tiene la cobertura de algún tipo de seguro. Ni bancos o procesadores de pago asumen riesgos o pagan costos.

Mientras en el mundo y Argentina el e-commerce crece aceleradamente y el fraude online adquiere modalidades más sofisticadas, es necesario que la legislación y las disposiciones del BCRA para bancos emisores y validadores, se adapte a estos tiempos y prevea mecanismos de resguardo a titulares y comercios frente a este tipo de delitos.

Tags relacionados

Noticias del día

Compartí tus comentarios

Formá parte de El Cronista Member y sumate al debate en nuestros comentarios