¿Qué es el Fraude por Pruebas de Tarjeta?

¿Qué es el fraude por pruebas de tarjeta?

El fraude por pruebas de tarjeta —a veces llamado card checking o carding— es una técnica que usan los criminales para verificar si los números de tarjeta de crédito o débito robados son válidos y están activos. El defraudador hace una serie de transacciones pequeñas, de bajo valor, para ver cuáles pasan. Una vez confirmado que una tarjeta funciona, sigue con compras mayores o vende los datos verificados a otros criminales con un sobreprecio.

Es una de las formas más habituales de fraude con pagos, y afecta a empresas de todos los tamaños. Si alguna vez has visto un grupo de transacciones pequeñas y aparentemente aleatorias en tu cuenta de comercio, es muy probable que alguien usara tu sistema de pago como campo de pruebas.

Cómo funcionan las pruebas de tarjeta en la práctica

Las pruebas de tarjeta suelen seguir un patrón predecible. Los criminales consiguen grandes lotes de números de tarjeta robados —a menudo de brechas de datos, ataques de phishing o mercados de la dark web—. Estos lotes pueden contener miles o incluso millones de números, pero el defraudador no tiene manera de saber cuáles siguen activos, cuáles se han cancelado y cuáles tienen fondos suficientes.

Para averiguarlo, tienen que probarlos. El método más habitual consiste en usar scripts automatizados o bots que envían rápidamente transacciones pequeñas —a menudo de menos de una libra— contra un formulario de pago online o una página de checkout. Los importes se mantienen deliberadamente bajos para no disparar los sistemas de detección de fraude y para reducir la probabilidad de que el titular note el cargo en su extracto.

Si una transacción se aprueba, el defraudador sabe que la tarjeta está viva. Si se rechaza, descarta ese número y pasa al siguiente. Un atacante sofisticado puede procesar cientos de números de tarjeta por minuto con herramientas automatizadas, motivo por el cual el ataque aparece a menudo como un repentino estallido de actividad en el sistema de pago del comercio.

¿Por qué importes pequeños?

Los importes pequeños son deliberados. Muchos sistemas de detección de fraude usan umbrales: vigilan más de cerca las compras grandes pero pueden dejar pasar las muy pequeñas sin escrutinio. Del mismo modo, es mucho menos probable que un titular note o denuncie un cargo de 50 peniques que uno de 50 libras. Para cuando se descubre el pequeño cargo de prueba, el criminal ya ha usado la tarjeta validada para compras mayores en otra parte.

¿A quién atacan?

Los atacantes buscan negocios con formularios de pago fáciles de explotar. Las características que convierten a un negocio en objetivo incluyen:

• Sin límites de velocidad: si permites intentos de transacción ilimitados desde la misma dirección IP o dispositivo, eres un objetivo fácil
• Flujos de pago simples: pasos de autenticación mínimos hacen más rápidas las pruebas automatizadas
• Bienes digitales o donaciones: las transacciones que no requieren dirección de envío son más difíciles de rastrear y más fáciles de automatizar
• CAPTCHA débil o sin protección anti-bots: sin medidas para detectar envíos automatizados, los bots pueden probar tarjetas a escala

Las organizaciones benéficas y las ONG suelen ser objetivo porque sus páginas de donación a menudo aceptan cualquier importe y tienen comprobaciones de fraude mínimas. Las pequeñas tiendas online sin herramientas sofisticadas de fraude también son objetivos habituales.

El coste real para tu negocio

El fraude por pruebas de tarjeta te cuesta dinero de varias maneras, aunque los importes individuales sean ínfimos. Primero, cada transacción aprobada genera tasas de procesamiento de tu pasarela y banco adquirente. Si un atacante prueba 500 tarjetas en tu sistema, pagas tasas de procesamiento por cada una de esas transacciones de prueba.

Segundo, muchos de esos cargos de prueba acabarán en contracargos cuando los titulares legítimos noten las transacciones no autorizadas y las disputen. Cada contracargo lleva una comisión —típicamente entre 15 y 25 libras— además del importe reembolsado. Si tienes un volumen alto de contracargos, tu procesador de pagos puede subirte las tasas, imponer reservas de rolling o incluso cancelar tu cuenta de comercio.

Tercero, el estallido de tráfico automatizado puede sobrecargar tu infraestructura de pagos y ralentizar o interrumpir las transacciones legítimas. Y cuarto, está el coste en tiempo y administración de investigar las transacciones fraudulentas, procesar reembolsos y gestionar las consecuencias.

Cómo se relacionan las pruebas de tarjeta con los pagos telefónicos

Aunque las pruebas de tarjeta se asocian más a los formularios de pago online, también pueden afectar a negocios que aceptan pagos por teléfono. Un atacante organizado puede llamar varias veces a un negocio, dando distintos números de tarjeta para pedidos pequeños, para probar cuáles se aceptan. Es más lento y manual que las pruebas online automatizadas, pero ocurre, sobre todo con negocios que procesan grandes volúmenes de pedidos telefónicos.

El entorno telefónico presenta ventajas y desventajas en este escenario. Por un lado, el factor humano implica que un agente atento pueda notar patrones sospechosos: la misma voz llamando varias veces, peticiones de pequeños importes inusuales o duda al pedir los datos de la tarjeta. Por otro lado, si los agentes no están formados para detectar estas señales, pueden procesar sin querer transacciones de prueba sin levantar la alerta.

Para los negocios que aceptan pagos por teléfono, integrar el sistema de pago telefónico con herramientas de detección de fraude que marquen patrones inusuales es esencial. Esto incluye vigilar varias transacciones pequeñas desde el mismo llamante, llamadas repetidas rápidas y tarjetas que se están usando por primera vez con tu negocio.

Cómo proteger tu negocio

Hay varias medidas prácticas que puedes poner en marcha para reducir el fraude por pruebas de tarjeta:

• Aplica comprobaciones de velocidad: limita el número de transacciones que pueden intentarse desde la misma dirección IP, dispositivo o número de tarjeta en un periodo dado
• Usa verificación AVS y CVV: pedir la dirección de facturación y el código de seguridad de la tarjeta añade una fricción que a las herramientas automatizadas les cuesta superar
• Despliega CAPTCHA o detección de bots: estas herramientas pueden identificar y bloquear scripts de envío automatizados en formularios de pago online
• Establece importes mínimos de transacción: si tu modelo de negocio lo permite, fijar un valor de compra mínimo por encima del importe típico de prueba puede disuadir a los probadores
• Vigila patrones: busca grupos de transacciones pequeñas, tasas de rechazo altas y picos de actividad inusuales, y configura alertas para marcarlos en tiempo real
• Usa 3D Secure: añadir un paso de autenticación a los pagos online hace mucho más difíciles las pruebas de tarjeta porque cada prueba requeriría que el titular aprobara la transacción

Qué hacer si te están atacando

Si detectas señales de pruebas de tarjeta en tu sistema —un pico repentino de transacciones pequeñas, un número alto de rechazos o varios contracargos por importes pequeños—, actúa rápido. Contacta con tu procesador de pagos de inmediato. Pueden ayudarte a aplicar límites de velocidad de emergencia y a bloquear el tráfico sospechoso. Revisa los logs de transacciones para identificar patrones y bloquea las direcciones IP o los BIN de tarjeta (los primeros seis dígitos del número, que identifican al banco emisor) implicados.

Documéntalo todo. Si el ataque es significativo, puede que te convenga reportarlo a Action Fraud (en el Reino Unido) o a su equivalente local. Y una vez contenida la amenaza inmediata, dedica tiempo a revisar y reforzar tus medidas de prevención de fraude para estar mejor preparado la próxima vez.