Técnicas de suplantación

Cuando un estafador intenta robar a tu empresa, hay tres escenarios probables. En el primer escenario, puede hacerse pasar por otra persona, utilizando una identidad legítima para encubrir su fraude y hacer que su método de pago parezca plausible. En el segundo, pueden intentar parecer completamente nuevos, utilizando una identidad falsa o sintética, en cuyo caso la ofuscación es importante. En el tercer escenario, puede tratarse de un defraudador amigo que utiliza su propia identidad y planea presentar una devolución de cargo fraudulenta.

Las técnicas de suplantación de identidad son el pan de cada día de los defraudadores que participan en el primer escenario. En general, la suplantación se construye en torno al método de pago. La razón por la que quieren elaborar el resto de su identidad aparente para parecerse a otra persona es convencerte a ti o a tu sistema de que ellos son los verdaderos propietarios de la tarjeta, monedero electrónico u otro método de pago. La información de pago robada suele comprarse, junto con detalles sobre el nombre y la dirección de la víctima y, a menudo, con su dirección de correo electrónico y quizás su número de teléfono, para que el estafador tenga una buena base sobre la que construir su suplantación de forma convincente. La dirección proporciona datos de facturación y envío, y también ayuda con la IP.

En lo que respecta a los correos electrónicos, los estafadores se apoderarán de la cuenta de la víctima si le han robado la contraseña y otros datos, o crearán una nueva dirección de correo electrónico que parezca coincidir con la real de la víctima, su nombre o datos conocidos sobre ella. Algunos estafadores se arriesgan a utilizar el número de teléfono real de la víctima, si lo conocen, porque aunque esto deja abierto el riesgo de que el sitio llame al número y descubra el truco, en la práctica eso rara vez ocurre. Otros utilizan simplemente tarjetas SIM desechables que coinciden con el lugar donde vive la víctima, mientras que otros recurren a números de teléfono basados en voz sobre IP (VoIP) (aunque estos números, que a veces pueden identificarse, pueden resultar un punto débil para el defraudador y, por tanto, una oportunidad para un equipo de prevención del fraude).

Para los pedidos físicos, la dirección de envío suele ser la parte más difícil de la suplantación. El estafador puede arriesgarse a utilizar la dirección real si confía en que él o un cómplice podrán llevar a cabo un poco de piratería de pórtico, pero esto deja abierta la posibilidad de que la víctima reciba de hecho el paquete, dejando al estafador sin nada después de todo su duro trabajo delictivo. Lo más habitual es que los estafadores que utilizan la dirección real de la víctima para eludir la detección intenten llamar al servicio de atención al cliente después de que el pedido se haya tramitado para cambiar la dirección. (Para más información sobre la manipulación de la dirección de envío, véase el Capítulo 7.) La opción de "clicar y recoger", en la que los clientes pueden comprar en línea y luego recoger la mercancía en la tienda o en un punto de recogida designado, que se ha hecho popular a raíz de la pandemia del COVID-19, es otra forma de eludir el reto de la dirección (y se trata en el Capítulo 8).

También hay alternativas más complicadas, sobre todo falsificación del servicio de verificación de direcciones (AVS), que es un buen ejemplo de por qué los equipos de fraude no pueden confiar demasiado ni siquiera en las herramientas más utilizadas. El propósito del AVS es comprobar que la dirección que se indica como parte de la transacción coincide con la dirección que el banco tiene registrada para esa tarjeta. No comprueba si esa dirección existe realmente y no ofrece protección al comerciante en caso de devolución de cargo. También es limitado: La suplantación del AVS se basa en el hecho de que el AVS, que utilizan muchos equipos de fraude para verificar las direcciones en los países en los que trabaja, sólo comprueba los números de la dirección, no las letras. Así, un defraudador podría engañar a un sistema haciéndole creer que 10 Main Street, código postal 12345, coincidía con 10 Elm Avenue, código postal 12345. En Main Street, el defraudador tendría que tener presencia propia -una oficina, un apartado de correos o una residencia- o podría utilizar una mula (un socio que le ayuda en sus actividades, en este caso proporcionándole una dirección de entrega segura y, a menudo, servicios de reenvío) con una dirección adecuada.

He aquí un ejemplo para ilustrar este punto:

Dirección registrada:

10 Elm Avenue, Emeryville, código postal 12345

Posibles direcciones para engañar a los sistemas AVS:

10 Main Street, Oakland, código postal 12345 → EMPAREJAMIENTO COMPLETO

Calle I-AM-A-FRAUDSTER 10, MOONVILLE, código postal 12345 → FULL MATCH

1 Elm Avenue, Emeryville, código postal 12345 → ZIP MATCH (una coincidencia parcial, como ésta, suele bastar para satisfacer a un sistema de prevención del fraude)

En casos más sutiles, los estafadores a veces juegan con el hecho de que algunas ciudades comparten el mismo código postal, pero cada una puede tener una calle principal (por ejemplo). Incluso la revisión manual puede no detectar esto a primera vista.

Otra opción para la evasión es el muling. Las mulas han sido un elemento básico de los defraudadores durante años y su popularidad ha crecido como consecuencia de la incertidumbre económica que rodeó a la pandemia del COVID-19, que requería un trabajo que pudiera realizarse desde casa. Algunas mulas saben de qué forman parte, mientras que otras son ellas mismas víctimas de la estafa, siendo a veces estafadas de sus salarios y de cualquier desembolso que hayan asumido ellas mismas cuando el estafador prescinde de sus servicios. También hay otros peligros, como se indica en el capítulo 20.

Las mulas se utilizan a menudo fuera del caso de uso de la suplantación de AVS, ya que son valiosas de muchas maneras. Por ejemplo, aunque la dirección no coincida perfectamente, si la mula vive en la zona adecuada, un equipo de prevención del fraude podría considerar que la dirección es legítima. Además, las mulas amplían drásticamente el alcance de un defraudador a través del sistema de clic y recogida. Se puede confiar en ellas para el reenvío de mercancías, lo que significa que los defraudadores de un país de Europa del Este pueden recibir fácilmente paquetes a través de una dirección de aspecto respetable en Estados Unidos. Incluso pueden crear cuentas o hacer pedidos, para que la IP coincida con la identidad suplantada. En el Capítulo 7 se trata con más detalle la manipulación de envíos y las mulas.

Como luchadores contra el fraude, nuestro trabajo consiste en analizar y sacar el máximo partido de todos los datos que tengamos y podamos recopilar o fuente para reconstruir la historia, ya sea fraudulenta o legítima. En última instancia, debemos tener en cuenta que lo que se juzga no son los puntos de datos en sí, sino lo que significan en el contexto de toda la información que tenemos en este caso, y cómo encaja.

Técnicas de Engaño

Las técnicas de engaño pueden formar parte del éxito de una suplantación de identidad en , sobre todo en el caso de los estafadores que utilizan malware sofisticado para rastrear las apariencias online de los clientes, pero también son vitales cuando se lleva a cabo un ataque de pizarra en blanco utilizando una identidad falsa. El objetivo de estos trucos de ofuscación es ocultar la ubicación real, el dispositivo, etc. del estafador; son distintos de las técnicas de suplantación, que pretenden imitar los detalles de una persona real y concreta.

Con suficiente determinación y conocimientos tecnológicos, se puede manipular cualquier cosa y a cualquier persona. Los luchadores experimentados contra el fraude que han visto trabajar a agentes maliciosos dirigidos o financiados por el Estado pueden dar fe de que, cuando los atacantes están realmente motivados, pueden parecer indistinguibles de los buenos clientes. No entraremos aquí en las formas más profundas y oscuras de manipulación porque, como se menciona en el Prefacio, sospechamos que más de un defraudador leerá este libro en algún momento. En cualquier caso, los estafadores noveles suelen conocer los matices de las técnicas de engaño al principio de su carrera.

Sin embargo, seleccionaremos algunos de los más comunes, en gran medida para dejar claro (¡no por última vez!) que la mayoría de los elementos sospechosos que aparecen aquí también pueden tener explicaciones inocentes. Los analistas de fraude suelen ser mejores desenmascarando la ofuscación que acordándose de considerar posibles escenarios legítimos junto con el comportamiento de enmascaramiento. Ese camino conduce a falsos positivos innecesarios y a clientes frustrados.

Considera la posibilidad de enmascarar la IP (más sobre esto en el Capítulo 6). Las redes privadas virtuales (VPN) y los proxies anónimos (sobre todo Socks o HTTP) son los métodos más comunes, aunque de vez en cuando verás que se utiliza Tor. Incluso hay servicios que permiten a los defraudadores barajar IPs nuevas para cada nuevo ataque, y algunos permiten al defraudador hacer coincidir la IP con la dirección del titular de la tarjeta. Dicho esto, también hay muchas razones para que un buen cliente utilice VPN o proxies: en particular, la privacidad y evitar las restricciones de contenido (que, aunque tal vez sea una forma de abuso, no es fraudulento en el sentido en que utilizaremos el término en este libro). Ahora que trabajar desde casa es habitual, las VPN son populares entre muchas empresas que buscan hacer más seguro el trabajo a distancia de sus empleados. Incluso los navegadores Tor son utilizados por personas especialmente preocupadas por su privacidad, pero totalmente legítimas (de hecho, los estafadores rara vez utilizan Tor porque saben que parece sospechoso, hasta el punto de que ver un navegador Tor en uso puede ser casi una señal positiva).

Incluso el tipo más sencillo de ofuscación, como una dirección de correo electrónico desechable, puede tener buenas explicaciones, aunque se trata de una cuestión de contexto. Es poco probable que un cliente real utilice una dirección de correo electrónico mickeymouse101@gmail.com-style para su banco, pero sí para un sitio que visita raramente para protegerse del spam. Esto es aún más cierto tras la introducción por Apple de Ocultar mi correo electrónico. Así que, dependiendo de si trabajas en un banco o en un sitio de opiniones online, esto puede ser o no una señal relevante. Los estafadores también saben que los clientes utilizan buenas direcciones de correo electrónico para sus bancos, por lo que si están creando una nueva es probable que sea muy plausible, quizás simplemente sustituyendo un 0 por una o o mezclando el patrón nombre/apellido de forma diferente. Estos trucos hacen que un correo electrónico sea más sospechoso... excepto, claro está, que los clientes reales a veces también hacen esto.

Además, es vital ser sensible a los diferentes tipos de correos electrónicos que se ven en las distintas culturas; dependiendo del perfil del usuario, una dirección de correo electrónico con ciertos números en ella puede ser una buena o una mala señal. Por ejemplo, los números que se consideran de la suerte se utilizan a menudo en las direcciones de correo electrónico chinas, y si el resto de la historia de compra también sugiere un comprador chino, es una señal positiva de una historia legítima coherente. Pero el mismo número no tiene el mismo significado en los países europeos y es mucho menos probable que forme parte de una historia legítima allí.

Lo mismo puede decirse de los cambios realizados en el agente de usuario de un dispositivo (la cadena de caracteres que contiene información sobre un dispositivo). Se trata de una mina de información valiosa para un analista de fraudes, ya que proporciona información sobre el sistema operativo, qué tipo de dispositivo es, qué navegador emplea el usuario, qué idiomas tiene el navegador, etc. A veces habrá indicios de que el usuario está jugando con su agente de usuario. Podrías ver un perfil de agente de usuario aparentemente diferente procedente exactamente de la misma IP varias veces a lo largo de una hora. Por un lado, esto es sospechoso. Por otro, estas configuraciones son fáciles de manipular, y a veces los buenos usuarios también lo hacen -en particular, desarrolladores, diseñadores web y profesionales del marketing que prueban distintas configuraciones para ver cómo se ve su producto en distintos dispositivos, navegadores, etc.-.

Ingeniería social

Como técnica de engaño, la ingeniería social enmascara perfectamente la identidad del defraudador. Cuando se consigue con éxito, el defraudador se convierte en titiritero (es decir, titiritero, no el nodo cromo sin cabeza, aunque algunos defraudadores lo favorecen). La víctima -que es la marioneta- recorre el proceso de pago con su propio correo electrónico, IP, dispositivo, etc. Un ataque de este tipo sólo se puede mitigar por completo mediante un sólido análisis del comportamiento y/o un rico conocimiento previo de los hábitos de la víctima.

En los Capítulos 9 y 14 tratamos ampliamente el impacto de la ingeniería social. Por ahora, nos conformaremos con aumentar tu motivación para hacer frente a la ingeniería social llamando la atención sobre el último Informe sobre Delitos en Internet del FBI, que nombra a los rasgos de ingeniería social como la trama número uno en Estados Unidos en 2020(Figura 1-1).

Figura 1-1. Visualización del volumen total de ataques en 2020, según el FBI en su informe IC3²

Consejo

Es importante analizar (y hacer que tu sistema analice) todos los aspectos de la persona online de un usuario. Cuanta más información tengas, más rica será la imagen que puedas construir de ese usuario. Sin embargo, lo que un analista de fraudes debe recordar es que cada uno de estos detalles contribuye a la imagen: ninguno de ellos por sí solo es "bueno" o "malo". Un buen analista del fraude puede desarrollar en su mente tanto las historias legítimas como las fraudulentas a medida que examina todos los detalles, pensando en razones buenas y malas para que los detalles sean como son. Sólo una vez que se ha completado el cuadro se puede decidir si la identidad que hay detrás de la transacción es legítima o no.

La Web Oscura

Puesto que ya hemos mencionado los datos robados que pueden utilizarse en la suplantación de identidad y estamos a punto de mencionar los bots, éste parece un punto sensato para hablar sobre la web oscura. A diferencia de la web profunda, que es simplemente la Internet no indexada (es decir, sitios y páginas que no puedes encontrar con un motor de búsqueda) y que incluye montones de páginas obsoletas, sitios web antiguos, páginas e imágenes huérfanas, etc., la web oscura representa foros en línea, mercados y sitios que se ocultan activamente a los motores de búsqueda, para mantener el anonimato. Normalmente, el acceso sólo es posible a través de algo como un navegador Tor, y muchos sitios de la web oscura tienen restricciones adicionales para dificultar el acceso a menos que estés al tanto.

Gran parte del ecosistema delictivo online funciona a través de la web oscura, sobre todo en foros, donde se discuten y planifican distintos ataques y se mezclan consejos y fanfarronadas, y mercados, donde se intercambian las herramientas del oficio. Algunos mercados están especializados, mientras que otros son más amplios. Por ejemplo, puede que un mercado sólo venda datos de consumidores robados, quizá con especial énfasis en la información de pago, como tarjetas de crédito y cuentas de PayPal. Otro podría tener una gran cantidad de aplicaciones diseñadas para facilitar y agilizar el fraude, como aplicaciones que cambian rápidamente los detalles de tu persona en Internet (IP, idioma del ordenador, zona horaria, etc.). Otra podría centrarse en productos ilegales de diversos tipos. Algunas cubren todo lo anterior, y más.

Mencionaremos la web oscura de vez en cuando, generalmente en el contexto de cómo posibilita determinados ataques o técnicas de los defraudadores, y sin duda es un factor importante para comprender el mundo delictivo online. Algunas empresas, y algunos vendedores, tienen luchadores contra el fraude dedicados a pasar tiempo en la web oscura para conocer de antemano nuevas técnicas o herramientas e intentar recibir avisos anticipados de un ataque que se esté planeando contra su propio negocio.

Dicho esto, también es importante reconocer que gran parte de las conversaciones, planes, estafas e incluso ventas delictivas tienen lugar en sitios mucho más familiares para el ciudadano medio, como las redes sociales y las aplicaciones de mensajería. Telegram se ha hecho especialmente popular entre muchos estafadores debido a sus niveles de privacidad superiores a la media, y Signal también se utiliza a veces por la misma razón. El fraude de reembolsos, del que hablamos en el Capítulo 10, es un buen ejemplo de cómo Telegram permite a los delincuentes y a la gente corriente interactuar en beneficio de ambos (aunque en detrimento de los comerciantes a los que atacan). Discord también se ha convertido en un foro popular para que los estafadores centrados en los juegos se reúnan y lleven a cabo sus tramas. Reddit es popular entre los estafadores de todo tipo, que comparten consejos, trucos y fanfarronadas.

Volatilidad

Es una verdad universalmente reconocida que los analistas de fraude no deben ir a trabajar esperando que cada día sea como el anterior. Los ataques de fraude tienen modas como cualquier otra cosa, y son sensibles a las distintas épocas del año -reflejando los comportamientos de los compradores legítimos- y a los cambios y acontecimientos de tu propio negocio.

Además, los que luchan contra el fraude nunca saben dónde atacará a continuación un defraudador o una banda de defraudadores; puedes tener un nivel tranquilizadoramente constante de ataques de fraude durante un mes, y luego, de la nada, ser golpeado por un tsunami de ataques de fuerza bruta, ya sean humanos o generados por bots. Y el problema es que el rasgo de los defraudadores asociado a la volatilidad es una mentalidad de "enjuagar y repetir"; en el momento en que encuentren una debilidad en tu capacidad para manejar la volatilidad, la duplicarán y sacarán provecho de ella mientras la vulnerabilidad esté ahí. Puede que incluso se lo cuenten a sus amigos, ganando crédito callejero por el chivatazo y aumentando su reputación, y abriendo la opción de un ataque masivo en el que eso pueda ser efectivo.

Si tu sistema no está configurado adecuadamente, puedes tardar mucho tiempo en darte cuenta del problema mientras te enfrentas a una avalancha de clientes durante un periodo de mucho trabajo. Eso puede provocar pérdidas importantes.

Tu tienda puede experimentar fluctuaciones cada año por el tráfico del Día de San Valentín, el Día de la Madre y el Día del Padre, el tráfico de la vuelta al cole y el tráfico de las fiestas de fin de año, que a su vez pueden empezar o terminar antes o después, según el año. Esta volatilidad natural conlleva sus propios retos para tus modelos, pero desgraciadamente, además, los defraudadores intentarán explotarla al máximo.

Los estafadores saben qué artículos son populares en las distintas épocas del año y se centrarán en ellos, mezclándose con el ajetreo de los buenos clientes. Del mismo modo, si eres una empresa que realiza ventas flash, los defraudadores serán tan conscientes de ello como lo son todos tus usuarios legítimos, y utilizarán ese conocimiento en su beneficio. También pueden imitar un patrón real de pedidos de última hora, o de pedidos en el primer milisegundo (como cuando los clientes intentan pulsar el botón Comprar en el segundo en que las entradas o productos deseados salen a la venta limitada), una táctica especialmente popular entre los estafadores que actúan como revendedores de entradas. Los estafadores también exploran las posibilidades de atacar a distintas horas del día; algunos se jactan de seguir las tendencias de comportamiento de los clientes según aparecen en las noticias y en los informes de empresas que estudian estas cosas, de modo que pueden aprovechar este conocimiento para ayudarles a pasar desapercibidos.

Lo que es crucial desde la perspectiva de la lucha contra el fraude es que tu sistema sea capaz de hacer frente a toda la variedad que los defraudadores puedan lanzarle. Las reglas deben ajustarse a las distintas épocas del año, los sistemas de aprendizaje automático deben ser capaces de escalar rápidamente según sea necesario, y los equipos de revisión manual deben estar preparados y preparados para las épocas del año de mayor actividad.

La sensibilidad a las fluctuaciones es importante tanto desde el punto de vista de la lucha contra el fraude (quieres impedir que los defraudadores ataquen tu sitio) como de la experiencia del cliente (no quieres ser tan reacio al riesgo que añadas fricciones, retrasos o falsos positivos innecesarios para los buenos clientes).

Tomemos como ejemplo la sencilla velocidad: cuandoun único usuario intenta realizar varias compras en un breve periodo de tiempo. Podría tratarse de un estafador, aprovechando su éxito o probando diferentes puntos de ataque o negándose a creer que le han pillado y bloqueado (dependiendo de la situación). O podría ser un buen cliente, que vuelve a por más artículos después de haberlo comentado con un amigo o familiar y decide que necesita algo más, o un cliente que hace pedidos en lotes cuidadosos para evitar los impuestos de importación, o un cliente que fue bloqueado una vez, por error, y está decidido a intentarlo de nuevo. Una vez más, se trata de todo el contexto -la identidad, la historia- y no de los puntos de datos específicos.

En relación con esto, los ataques de bots, que se producen cuando un defraudador de utiliza un programa automatizado para atacar tu sitio repetidamente, probando datos diferentes cada vez, pueden aumentar drásticamente el número de transacciones (y normalmente el número de ataques) que tu sistema tiene que gestionar en un corto periodo de tiempo. Lo mismo puede ocurrir con los ataques de fuerza bruta, en los que es probable que un humano esté detrás de un efecto de embestida similar. Puede que seas una empresa que ve un caso de uso no fraudulento, para los bots si no para los ataques de fuerza bruta (es difícil pensar en una buena razón para intentar varias veces hackear diferentes cuentas con información robada). Si estás en un sector en el que los revendedores forman parte del ecosistema y sabes que a veces se esfuerzan mucho por conseguir los últimos artículos, entonces los bots no están fuera de lugar cuando un nuevo artículo de moda está a punto de llegar. Cómo reacciones a ello depende de la política de tu empresa hacia los revendedores, pero desde la perspectiva del análisis del fraude, lo que importa es que sepas qué está pasando, y cuándo son las mismas personas las que lo intentan de nuevo.

Tu equipo necesitará conjuntos de entrenamiento separados para los distintos modelos, tanto si utilizas reglas como aprendizaje automático o ambos. Por ejemplo, necesitarás un conjunto de entrenamiento que sea sensible a la volatilidad media, para poder detectar una red de fraude cuando aparezca de la nada un buen día cualquiera. Pero también necesitarás un modelo que sea más agnóstico a la volatilidad, lo que sería adecuado para el Viernes Negro-Lunes Cibernético. Éste tendría que ser más indulgente con la volatilidad, y tu equipo tendría que estar más presente para analizar y orientar según sea necesario. Del mismo modo, querrías trabajar con el equipo de devoluciones de cargo para desarrollar un modelo que funcione para enero y quizá febrero, cuando llegan las devoluciones de cargo después de las fiestas.

La prevención del fraude no es un tipo de negocio de talla única. Tú -y tus modelos- tenéis que ser capaces de adaptaros a las distintas épocas del año y a las distintas situaciones. Gran parte de esto puede prepararse, pero también es importante realizar evaluaciones continuas en épocas volátiles para hacer los cambios necesarios sobre la marcha. Esto es cierto incluso si tu equipo de revisión manual se ve desbordado por una avalancha de pedidos. Dedicar tiempo al análisis global, incluso durante los periodos de mayor actividad, aliviará parte del peso de los revisores manuales y garantizará que tu sistema sea mucho más robusto frente a las amenazas a las que se enfrenta.

Pruebas de tarjetas y cuentas

No todos los usos de una tarjeta robada o una cuenta pirateada son para el beneficio inmediato de los defraudadores. Es habitual que los estafadores prueben si podrán aprovechar una tarjeta o cuenta realizando una pequeña compra o dando un pequeño paso en la cuenta, como añadir una nueva dirección. Si se les bloquea de inmediato (tal vez ya se haya denunciado el robo de la tarjeta), se darán por vencidos y pasarán a la siguiente, habiendo invertido sólo uno o dos minutos en la quemada. Si todo va bien, estarán dispuestos a invertir esfuerzos en crear un perfil más rico para aprovechar la tarjeta o la cuenta para obtener importes mayores.

La naturaleza de las pruebas de tarjetas y cuentas significa que los defraudadores suelen gravitar hacia sitios o aplicaciones que tendrán menos defensas contra sus ataques de bajo valor, ya sea porque pertenecen a un sector que tradicionalmente no ha invertido en la prevención del fraude (como las organizaciones sin ánimo de lucro) o porque sus productos son de bajo valor pero deben entregarse bajo presión de tiempo (como la entrega de comida o las tarjetas regalo de bajo valor y otros productos digitales), lo que significa que el equipo de fraude no podrá invertir mucho esfuerzo en las compras de poco valor. Sin embargo, otros tipos de sitios también experimentan pruebas, a veces como parte de la investigación de un defraudador para trazar el proceso de compra típico y a veces para construir un perfil que parezca legítimo en el sitio antes de intentar un fraude a mayor escala.

Abuso frente a fraude

La distinción entre abuso y fraude es delicada, y no existe un consenso generalizado entre los equipos de prevención del fraude y las empresas a las que protegen sobre dónde trazar el límite.

En general, el fraude es un asunto más profesional, llevado a cabo principalmente por actores especializados en esta forma de delito. Es probable que incluya las técnicas de suplantación o engaño de las que hemos hablado, y los intentos fraudulentos reflejarán a menudo un conocimiento -a veces bastante profundo- de los productos, procesos y vulnerabilidades del sitio.

Cuando el beneficio es directamente económico, el abuso suele ser más propio de clientes normales que quieren conseguir un poco más de lo que les corresponde haciendo trampas. A veces este engaño llega a ser realmente fraudulento, llevándolo al terreno del fraude amistoso, tratado en los Capítulos 2 y 3, y más profundamente en el Capítulo 10. Considera los programas creados para atraer a nuevos clientes, ya sea directamente o a través de referencias; a veces se ofrece crédito con la tienda como parte del incentivo. Los abusadores realmente motivados pueden abrir varias cuentas, aprovechando la oferta para obtener lo que en realidad es dinero en efectivo. Cuando aprovechan este crédito para comprar artículos gratis (al menos en lo que a ellos respecta), el negocio sale perdiendo, a veces sustancialmente.

En éste y otros casos similares, que estas actividades cuenten o no como fraude y caigan en tus manos como un problema depende de cómo las vea tu empresa y, en muchos casos, de dónde se sitúen en el espectro entre un enfoque centrado en detener el fraude y un enfoque centrado en la satisfacción del cliente. Si la empresa prefiere optimizar la experiencia del cliente, pueden ser necesarios muchos casos repetidos de fraude amistoso grave antes de que esté dispuesta a bloquear a un cliente real. Si es reacia al riesgo, puede encargarse de evitar el fraude amistoso, algo casi imposible en el primer intento del usuario, a menos que colabore directamente con otros comerciantes, preferiblemente de su espacio, que pueden haber visto sus trucos antes. Sin embargo, las infracciones repetidas pueden acumularse rápidamente, y es importante tener clara la política de tu empresa sobre cuándo y cómo tratar a estos abusadores.

Hay otro tipo de abuso que no es tan grave y que, por desgracia, a veces pueden cometer tus clientes más entusiastas. Suele denominarse abuso de promociones. Si tu sitio ofrece cupones, un descuento en la primera compra o una oferta similar, los clientes a los que les gusta tu sitio o los productos que ofreces pueden plantearse crear una nueva cuenta (o cuentas) para aprovechar la oferta varias veces. O si tienes una política de devoluciones generosa, los clientes pueden utilizar un artículo y luego devolverlo. Estas actividades no son exactamente fraude, son... engaño. En general, el sector lo denomina abuso.

Que tu equipo de prevención del fraude se encargue o no de detectar este tipo de actividad suele ser un reflejo de lo fraudulentas que tu empresa considere estas conductas. Marketing o ventas pueden solicitar tu ayuda para proteger su oferta de cupones, por lo que es bueno estar preparado para la necesidad, pero es poco probable que sea una parte estándar de tus responsabilidades, a menos que se convierta en una verdadera sangría para el negocio. En ese caso, una fricción juiciosa puede bastar a veces para disuadir a estos abusadores. Cuando van más allá y empiezan a utilizar el tipo de tácticas que podríamos esperar de un defraudador más profesional -ofuscación de IP, monederos, correos electrónicos y teléfonos desechables, etc.- puedes recurrir a las tácticas defensivas que sueles adoptar contra los defraudadores profesionales. Que te permitan utilizar tus habilidades en estos casos depende de si puedes convencer a tu empresa de que está justificado. Necesitas relaciones sólidas con los departamentos de crecimiento para poder darles el contexto que necesitan para comprender la pérdida, apreciar que no sirve a sus verdaderos objetivos y cubrirte las espaldas cuando intentes detenerla.

Sin embargo, hay otras formas de abuso que no conducen a un beneficio económico directo para el abusador y pueden formar parte de ataques de fraude más amplios. Aunque tu equipo no tenga la responsabilidad formal de detenerlos, probablemente querrás hacer un seguimiento de este tipo de comportamiento, porque a menudo puede ayudarte a prevenir el fraude más adelante. También puede ayudarte a proteger la empresa en términos más amplios, algo que debes asegurarte de que la alta dirección conoce y valora.

La creación de cuentas es un buen ejemplo de este tipo de abuso. Una cuenta falsa puede formar parte de un abuso directo de cupones, pero también puede ser el primer paso para crear una cuenta que, tras un cierto tiempo, se utilizará con fines fraudulentos.

Detectar este tipo de abuso es similar a identificar el fraude; querrás buscar patrones entre la identidad que está creando las nuevas cuentas, o publicando las reseñas, etc., para demostrarte que, en última instancia, es la misma persona la que está detrás de todo ello. Si consigues un perfil útil de este actor, podrás utilizarlo para asegurarte de que no comete fraudes más directos más adelante. Más allá de eso, identificar estas cuentas es valioso porque significa que los responsables de tu empresa no tendrán una visión equivocada de sus usuarios o del número de cuentas, lo que podría llevarles a tomar decisiones problemáticas basadas en datos erróneos.

El abuso de contenido, o abuso de reseñas, sigue un patrón similar. Las opiniones falsas pueden ser de clientes reales que intentan mejorar su perfil o el producto o servicio de un amigo, o pueden formar parte de un plan de fraude más amplio. Las opiniones falsas pueden hacer que determinadas empresas, que tal vez no sean más que fachadas, parezcan legítimas. También pueden ayudar a que una cuenta falsa parezca más importante. Contaminan tu ecosistema, minando la confianza de los clientes en tu sitio y en sus productos o servicios.

Blanqueo de capitales e infracciones de cumplimiento

El blanqueo de dinero es una preocupación natural para los bancos, fintechs y otras instituciones financieras, y en esos contextos suele haber equipos dedicados a detenerlo, por no mencionar, claro está, las normativas y herramientas dedicadas a su prevención.

El trabajo contra el blanqueo de capitales (AML) ha sido una preocupación de los bancos y las instituciones financieras durante muchos años, ciertamente, y a medida que las fintechs y las criptomonedas se han ido incorporando al ecosistema financiero, la lucha contra el blanqueo de capitales se ha convertido también en una parte importante de la prevención del fraude en esas organizaciones. De hecho, el auge del mercado de las criptomonedas ha impulsado los esfuerzos de blanqueo de capitales -y la labor de prevención- en todas partes, especialmente ahora que varios bancos permiten a los clientes convertir las criptomonedas en otras formas de moneda. La creación de nuevas cuentas con este fin se ha convertido en algo bastante habitual, lo que ha añadido urgencia a la necesidad de prevenir el blanqueo de capitales en los casos en que el dinero no es legítimo. Dado que es tan difícil saber de dónde procede la criptomoneda, hay que hacer hincapié en la persona que crea la cuenta. ¿Se trata de una identidad real? ¿Es la persona que crea la cuenta la persona a la que pertenece esa identidad?

Afortunadamente, los bancos tienen una experiencia considerable en autenticar las identidades de los clientes que quieren abrir nuevas cuentas, y la mayoría han puesto en marcha procesos racionalizados para verificar los documentos de identidad y asegurarse de que son auténticos y pertenecen a la persona que intenta abrir la cuenta. En los últimos años, a la validación exhaustiva de documentos, a menudo asistida por IA, se han sumado las comprobaciones de vitalidad y la autenticación por selfie para garantizar que la persona en cuestión está realmente presente y no es una foto o una deepfake (véase el Capítulo 11 para un análisis de las deepfakes en este contexto), incluso si el proceso de incorporación se realiza totalmente en línea. Por supuesto, también hay procesos manuales que ayudan a garantizar que no se ha intentado manipular ni el documento ni la foto, para apoyar el trabajo de prevención de la suplantación de identidad con éxito.

Más difíciles de identificar son las tramas que implican el uso de clientes reales, con identidades y cuentas reales, que permiten que esas cuentas sean utilizadas por agentes de blanqueo de dinero. En algunos países, es ilegal impedir que un ciudadano abra una cuenta si su identificación está en regla y es legítima, aunque tu equipo sospeche de la motivación del individuo en cuestión. En estos casos, los equipos de fraude sólo pueden seguir estas cuentas y sus actividades con especial atención una vez que se han abierto. Esta restricción ejerce una presión considerable sobre el equipo de fraude y da a los delincuentes una ventaja añadida.

Merece la pena señalar en este contexto que los delincuentes implicados en este tipo de esquema de mulas financieras suelen participar en la delincuencia organizada a gran escala, y no son actores de poca monta. Por un lado, esto significa que están bien financiados, organizados y son difíciles de atrapar, pero por otro, a menudo significa que encontrar una vulnerabilidad abrirá todo un esquema a un equipo de fraude. Colaborar con otras instituciones financieras también puede dar sus frutos con bastante eficacia, ya que la delincuencia organizada suele atacar objetivos múltiples.

El blanqueo de dinero, y el trabajo de AML, se entienden comúnmente en el contexto de los bancos y las instituciones financieras, y lo tratamos en mayor profundidad en la Parte V del libro. Lo que se reconoce con menos frecuencia es que el blanqueo de capitales también es posible en los mercados en línea y, en cierto modo, es mucho más fácil hacerlo allí porque las defensas contra ello son menos sólidas y los mercados no tienen las mismas responsabilidades de cumplimiento que las instituciones financieras. El principio es sencillo. En un mercado, compradores y vendedores interactúan. (Utilizamos los términos comprador y vendedor para referirnos por igual a los actores implicados en el transporte compartido, el alquiler de apartamentos, el alquiler de coches o cualquier otra cosa para la que pueda existir un mercado en línea). Un comprador enviará dinero a un vendedor. El vendedor recibe el dinero, que puede blanquearse limpiamente de esta forma.

Por ejemplo, supongamos que un defraudador quiere limpiar sus ganancias mal habidas y utiliza un mercado online para hacerlo. Si un defraudador (o una red de defraudadores) actúa como comprador y vendedor, puede hacer pedidos de productos o servicios perfectamente legítimos, y pagar por ellos. El pago, por supuesto, vuelve a su propio bolsillo, como vendedor. En su calidad de vendedor, han adquirido el dinero de forma totalmente legítima... salvo por el pequeño detalle, claro está, de que el producto o servicio nunca se envió ni se recibió. En general, el producto o servicio es inexistente, y la cuenta del vendedor existe únicamente para blanquear dinero.

Del mismo modo, tal vez un delincuente quiera una forma fácil y segura de cobrar en Internet artículos ilegales. Pueden crear una cuenta como vendedor en un mercado online y utilizarla para recibir el pago. Los distintos artículos de la tienda pueden corresponder a los distintos artículos ilegales que venden. Por ejemplo, si estuvieran vendiendo drogas pero fingieran vender ropa, la heroína podría corresponder a un bolso de diseño, mientras que la cocaína podría ser un jersey de cachemira, etc.

Sin duda, el mercado cobra una pequeña comisión, pero en realidad es una cantidad muy pequeña si se tiene en cuenta el beneficio que obtiene el defraudador: dinero recién blanqueado, una forma fácil e insospechada de que los clientes paguen por artículos ilegales, y todo tan sencillo. Ni siquiera necesitan hacerse pasar por nadie ni utilizar técnicas de engaño.

Traemos esto a colación para mostrar la relevancia del blanqueo de dinero en el ecosistema online más amplio como motivo de preocupación, ya que los analistas del fraude no siempre son conscientes de este factor. Más que eso, sin embargo, queremos señalar un punto que es fundamental para el éxito de la prevención del fraude y que intentaremos exponer más de una vez a lo largo del libro.

Nosotros -los que luchamos contra el fraude, los buenos, los del lado de la luz- tendemos a pensar en los distintos aspectos tanto del fraude como de la prevención del fraude en términos de categorías útiles que nos dan claridad y un marco. Distinguimos la apropiación de cuentas (ATO) del fraude con tarjetas de crédito robadas, y ambos de la AML. Distinguimos entre las tendencias en el comercio electrónico, en los mercados y en los bancos. Consideramos distintos tipos de defraudadores. Este libro también lo hace -un vistazo a la página de contenidos te lo demostrará-. Es una forma útil de comprender el alcance y los niveles de los retos a los que nos enfrentamos, apreciar los distintos aspectos de los diferentes tipos de fraude y defraudadores, y ver cómo encajan entre sí. Pero los defraudadores no piensan así. Su objetivo es defraudar a tu empresa y a cualquier otra empresa. No les importan nuestras categorías, y si nos aferramos demasiado a ellas, las explotarán como vulnerabilidades.

Los defraudadores se mueven con soltura entre tarjetas robadas, ATO, ingeniería social, mulas de dinero, manipulación de envíos e incluso blanqueo de dinero, recurriendo a cualquier truco que pueda funcionar en las circunstancias en que se encuentren. Tanto los profesionales de la lucha contra el blanqueo de dinero como los que combaten el fraude se beneficiarían de conocer las categorías y preocupaciones de los demás. (Ésta es, de hecho, la razón principal por la que combinamos ambos aspectos en este libro).

Resumen

En este capítulo se han esbozado definiciones y distinciones relativas a los rasgos de los defraudadores y los tipos de ataques, que son algunos de los elementos fundamentales para comprender a los defraudadores a efectos de la prevención del fraude. También hemos destacado la importancia de la identidad que hay detrás de una transacción, algo que un analista del fraude debe tener en cuenta incluso cuando se centra en los detalles, como el análisis de la IP o del correo electrónico. El siguiente capítulo explora la otra mitad del cuadro: los distintos tipos de defraudadores, sus habilidades y sus motivaciones.