De reacción a prevención: Repensando el fraude en pagos

Con la llegada de pagos más rápidos, muchas organizaciones financieras han priorizado la velocidad sobre la detección de fraudes. Los consumidores esperan transacciones instantáneas, pero los bancos aún deben protegerse a sí mismos y a sus clientes contra el fraude. Ejecutar la detección de fraudes en segundo plano—analizando señales contextuales y datos históricos—ayuda a encontrar el equilibrio adecuado entre velocidad y seguridad.

En un podcast de PaymentsJournal, Diarmuid Thoma, Jefe de Estrategia de Fraudes y Datos en AtData, y Jennifer Pitt, Analista Senior de Gestión de Fraudes en Javelin Strategy & Research, discutieron cómo los métodos tradicionales de detección de fraudes han quedado cortos en la era de pagos en tiempo real. La clave hoy es detener el fraude antes de que ocurra.

Moviendo las protecciones hacia etapas previas

Para los clientes, la velocidad es fundamental—pero esa velocidad solo se requiere en la fase de transacción o decisión. Los bancos pueden realizar gran parte de la preautorización y evaluación de riesgos antes de que ocurra una transacción, sin la presión de la ejecución en tiempo real. Cuando un cliente llega a la etapa de transacción, el banco no debería estar luchando por completar todas las verificaciones de fraude al instante.

Muchas instituciones se enfocan en dónde ocurre la pérdida financiera. Cuando una transacción resulta en un contracargo, buscan arreglar la transacción en sí. Sin embargo, en la mayoría de los casos, esa no fue la primera interacción con el cliente. El primer contacto suele ocurrir mucho antes, mucho más arriba en el proceso, antes del contracargo.

“Con la toma de control de cuentas, puedes detectar muchas señales de comportamiento antes de que ocurran los pagos,” dijo Pitt. “Si la información se cambia en algo como un perfil de cuenta, eso es una pista. Inicios de sesión desde diferentes lugares en distintos momentos también pueden ser una pista. Si eso se detecta primero, entonces esencialmente el pago sospechoso no sucede, y no hay pérdida ni para el consumidor ni para la institución financiera.”

Construyendo una identidad

En el mundo tradicional de tiendas físicas, los bancos podrían haber pedido una licencia de conducir o pasaporte para abrir una cuenta, quizás junto con una factura de servicios públicos para verificar una dirección. Aunque esos documentos podrían ser falsificados, tales casos eran relativamente raros.

Hoy, la verificación se basa en la identidad digital. Dispositivos, direcciones IP y cuentas de correo electrónico forman la base de un perfil de identidad. Ese perfil se extiende a través de redes de consorcio que contienen datos de transacciones previas, creando una imagen más clara de cómo se comporta un consumidor. Por ejemplo, ¿es probable que esta persona compre zapatillas de $1,000?

“Es construir una identidad,” dijo Thoma. “Incluso en el mundo físico, quién somos se define por gustos, como un bar favorito o una tienda donde compramos. Todo eso, en conjunto, eres tú. Lo que estamos haciendo ahora es tomar eso y traducirlo a un concepto digital. Desde la perspectiva del fraude, eso genera coherencia. Lo bueno de las personas honestas, desde el punto de vista del perfilado de fraude, es que son muy coherentes.”

Los profesionales modernos en fraude construyen perfiles dinámicos en lugar de depender de identificadores estáticos. Pueden crear líneas de tiempo que abarcan cinco o diez años—según los datos disponibles—lo cual representa un gran avance respecto a los métodos tradicionales.

“Cuando trabajaba en el sector bancario, parte de mi función era evaluar investigaciones para ver si estaban bien hechas,” dijo Pitt. “Frecuentemente escuchaba llamadas de representantes de atención al cliente y centros de llamadas. Varias veces escuché llamadas donde el propio estafador intentaba hacer una transferencia bancaria.

“El representante del centro de llamadas solo pedía información básica como nombre, fecha de nacimiento, preguntas de conocimiento general. Información que se puede obtener en casi cualquier lugar, desde filtraciones de datos hasta sitios web de verificaciones de antecedentes,” explicó. “Esa transferencia pudo realizarse. Y cuando los clientes llamaban para decir que había fraude, el representante decía, bueno, no, tú verificaste la información.”

Integrando la información

Muchas instituciones financieras aún realizan revisiones manuales una transacción a la vez. Este método solo proporciona información sobre esas transacciones específicas y no revela patrones de fraude más amplios ni tácticas emergentes.

“Todavía veo pequeñas instituciones financieras operando como si no existiera internet,” dijo Pitt. “Están verificando documentos físicos, especialmente en sucursales con detección humana únicamente. Eso ya no es suficiente con las herramientas de IA disponibles para los estafadores. Es muy fácil falsificar o engañar algunos de estos documentos. No se puede confiar solo en la detección humana para eso.”

Además, los criminales comprenden los límites de reporte. Deliberadamente se mantienen por debajo de esos límites, distribuyendo su actividad en varias cuentas e instituciones. Por eso, compartir datos en consorcios es esencial para identificar patrones coordinados que de otra forma pasarían desapercibidos.

Los mejores datos de calidad

En los primeros días de las redes sociales, las empresas podían buscar un perfil para confirmar la existencia de una persona. Hoy, la IA puede generar perfiles sociales convincentes en múltiples contextos y geografías. Fabricar huellas digitales no solo es sencillo, sino que también es escalable. El desafío para los bancos ya no es encontrar datos, sino encontrar datos que no puedan ser manipulados fácilmente.

“De manera ideal, los datos de mejor calidad son inmunes a la generación automatizada,” dijo Thoma. “Fuentes que no están conectadas entre sí son independientes. Un correo electrónico no está relacionado con un dispositivo desde la perspectiva de los datos. Cuando tomas todos estos datos de fuentes no conectadas—si todos coinciden en que algo es correcto—generalmente tienes una mejor calidad en la decisión.”

Invertir en herramientas avanzadas de prevención de fraudes puede parecer costoso inicialmente, pero el gasto es inevitable. Las instituciones pagarán ya sea en la parte frontal, fortaleciendo sus defensas, o en la parte trasera, a través de multas, órdenes de consentimiento, daño reputacional y pérdida de clientes.

“Debemos dejar de ver el fraude en pagos solo desde el punto de la transacción,” dijo Pitt. “Ese es el último momento posible para prevenir el fraude. Hablamos de una defensa en profundidad y un enfoque en capas donde si una medida de seguridad no detecta el fraude, otra lo hará. Aún necesitamos analizar el pago en sí, pero también todo lo que sucede antes, para poder detectar el fraude más temprano.”