# Protégete de las pruebas de tarjetas

Obtén más información sobre esta actividad fraudulenta y cómo protegerte de ella.

La prueba de tarjetas es un tipo de actividad fraudulenta que consiste en intentar determinar si se pueden utilizar los datos de una tarjeta robada para hacer compras. Para ello, un estafador puede comprar datos de tarjetas de crédito robadas y luego intentar validarlas o hacer compras con esas tarjetas para determinar cuáles siguen siendo válidas. Otros términos comunes para la prueba de tarjetas son «carding», «prueba de cuentas», «enumeración» y «comprobación de tarjetas».

Las actividades fraudulentas, como la prueba de tarjetas, son parte inevitable del comercio en línea. Sin embargo, las consecuencias de la prueba de tarjetas repercuten en todo el ecosistema de pago, así que los comerciantes, las redes de tarjetas y Stripe comparten la responsabilidad a la hora de prevenir esta actividad. En Stripe, tratamos constantemente de mejorar nuestras herramientas y sistemas para detectar y disminuir el fraude, pero debes estar siempre atento.

## Cómo funciona la prueba de tarjetas

Quienes prueban tarjetas usan tanto la configuración de la tarjeta como los pagos para determinar si los datos de la tarjeta robada o enumerada que tienen son válidos o no. Para validar rápidamente muchos números de tarjetas, los estafadores utilizan scripts para probar una gran cantidad de información de tarjetas a la vez y recopilan las respuestas de 3DS o del emisor para validar qué información de la tarjeta es válida. Una vez que identificaron las tarjetas válidas, pueden cobrarlas con los comerciantes o revender las tarjetas confirmadas en la dark web.

- **Configuración de la tarjeta**: los estafadores prefieren este método, ya que la validación y las autorizaciones durante la configuración de la tarjeta no suelen aparecer en el extracto de cuenta del titular de tarjeta. Esto reduce la probabilidad de que los titulares de tarjetas se den cuenta y denuncien la actividad fraudulenta.
- **Pagos**: las personas que prueban tarjetas crean pagos por montos pequeños, que es menos probable que los titulares de las tarjetas detecten y denuncien como fraudulentos.

## Consecuencias de la prueba de tarjetas

La prueba de tarjetas tiene muchos resultados negativos y algunos se agravan con el tiempo si las pruebas continúan:

- **Disputas**: muchos tipos de pruebas de tarjetas implican pagos, algunos de los cuales se efectúan correctamente. Los clientes detectan los pagos realizados correctamente y los denuncian por fraude, lo cual se traduce en [alertas preventivas de fraude](https://docs.stripe.com/disputes/measuring.md#early-fraud-warnings) o incluso a [disputas por fraude](https://docs.stripe.com/disputes.md) que te cuestan tiempo y dinero.
- **Tasas de rechazo más altas**: la prueba de tarjetas asocia una gran cantidad de rechazos con tu empresa. Una tasa elevada de rechazos puede perjudicar la reputación de tu empresa ante los emisores y las redes de tarjetas y, por ende, todas tus transacciones parecerán más riesgosas. Esto puede provocar un aumento en la tasa de rechazos de pagos legítimos, aun después de que cesen las pruebas de tarjetas.
- **Comisiones adicionales**: las pruebas de tarjetas pueden generar comisiones adicionales, como las comisiones por autorización para los planes de tarifas personalizadas y las comisiones por disputas.
- **Saturación de la infraestructura**: las pruebas de tarjetas suelen generar muchas solicitudes y operaciones en la red. Este tráfico adicional puede sobrecargar tu infraestructura e interferir en la actividad legítima.
- **Deterioro del ecosistema**: la prueba de tarjetas afecta negativamente a todo el sistema financiero, de manera que tanto Stripe como nuestros socios financieros queremos ayudarte a detenerlas. Una gran cantidad de pruebas de tarjetas que dan como resultado alertas preventivas de fraude o disputas pueden, por ejemplo, reclutarte en [programas de monitoreo de tarjetas](https://docs.stripe.com/disputes/monitoring-programs.md).
- **Reducción de la calidad de los datos para que tu empresa funcione**: los ingresos por pruebas de tarjetas pueden parecer buenos clientes nuevos en tus datos, por lo que te resultará difícil tener una visión clara del crecimiento real de tu negocio.

## Lista de verificación de pruebas de tarjetas activa

Si estos estafadores han tenido acceso a tu integración, te recomendamos que tomes las siguientes medidas de inmediato:

- [Identificar](https://docs.stripe.com/disputes/prevention/card-testing.md#identify-card-testing) la actividad de prueba de tarjetas.
- [Reembolsar](https://docs.stripe.com/refunds.md) pagos fraudulentos para evitar disputas.
- [Usa una integración recomendada por Stripe](https://docs.stripe.com/disputes/prevention/card-testing.md#optimize-integration) o agrega [medidas de mitigación](https://docs.stripe.com/disputes/prevention/card-testing.md#control-implementation) para suprimir la prueba de tarjetas.
- Controla tu integración para asegurarte de que las medidas de mitigación sean eficaces.

## Identificar las pruebas de tarjetas

Puedes identificar la mayor parte de la actividad de prueba de tarjetas por un aumento significativo en las autorizaciones y los pagos fallidos. La mayoría de los ataques son obvios en tu Dashboard de Stripe. Los síntomas más comunes a los que hay que prestar atención son los siguientes:

- **Aumento repentino en los pagos rechazados o bloqueados.** Puedes ver las tendencias en [la página de inicio del Dashboard](https://dashboard.stripe.com/dashboard), en la vista de lista de [transacciones](https://dashboard.stripe.com/payments) y puedes examinar los motivos de bloqueo en la página de datos de pago.
- **Aumento repentino en las solicitudes con errores&nbsp;402**. Puedes ver el aumento de volumen en la página de [Desarrolladores](https://dashboard.stripe.com/developers), examinar los errores&nbsp;402 en la página de [registros fallidos](https://dashboard.stripe.com/logs?error_type=card_error) o recibir notificaciones de webhooks y respuestas de la API, en particular con un [resultado de «generic_decline»](https://docs.stripe.com/declines/codes.md).
- **Aumento repentino en los pagos sospechosos** con importes bajos de transacciones, a menudo con nombres de clientes y correos electrónicos sin sentido. Para evitar disputas, recomendamos reembolsar estas transacciones sospechosas si superan las defensas existentes.

## Prevenir la prueba de tarjetas

Quienes prueban tarjetas emplean una amplia variedad de técnicas para dificultar el bloqueo de su actividad. En consecuencia, las simples reglas o filtros de cortafuegos basados en una sola heurística, como las direcciones IP, no suelen alcanzar como única medida para evitar la prueba de tarjetas por sí solos.

Los estafadores pueden usar tu clave publicable y usarla para reintentar una gran cantidad de pagos en tu sitio web. Dispones de dos estrategias de mitigación principales para este tipo de ataques:

- **Usa una integración de Stripe recomendada:** elige una integración recomendada por Stripe para sacar provecho de la protección contra pruebas de tarjetas que sabemos que funciona.
- **Implementación del control:** invierte en un conjunto de controles que impida que los estafadores ataquen los puntos de conexión vulnerables.

Además de implementar estrategias de mitigación, debes asegurarte de mantener tus claves seguras y de no publicar tu clave secreta. Cuando tus credenciales se filtran o sufren un robo, los estafadores pueden crear pagos y configurar tarjetas usando tu clave secreta.

> ¿No eres desarrollador? ¿Usas un plugin o una plataforma? La prevención y la mitigación de la prueba de tarjetas suelen requerir cambios de código, de manera que tendrás que mostrarle esta documentación al desarrollador o al proveedor que creó el código, y trabajar en conjunto para prevenir la prueba de tarjetas.

### Usar una integración recomendada por Stripe

Si usas el último Payment Element o Checkout de Stripe, contamos con numerosos controles manuales y automáticos para mitigar la prueba de tarjetas, entre los que se incluyen limitadores de frecuencia, modelos de IA, activadores de CAPTCHA, revisiones continuas, etc. Cuando detectamos que estás sufriendo un ataque de prueba de tarjetas, elegimos intervenciones dinámicamente para suprimir el ataque tanto como sea posible, y al mismo tiempo permitir que los usuarios legítimos realicen transacciones en tu cuenta con un impacto mínimo. Ves estos pagos marcados como `Blocked by Stripe`.

*Sin embargo, el funcionamiento correcto de los controles de Stripe depende de tu integración y de los factores de riesgo que nos envías*. Stripe usa muchos factores de riesgo para distinguir entre prueba de tarjetas y pagos legítimos. Si bien algunos de estos factores de riesgo se computan automáticamente, muchos otras dependen de la información provista por tu integración. Por lo general, cuanto más datos proporciona tu integración, mejor es la prevención de la prueba de tarjetas.

Recomendamos usar una de las [integraciones recomendadas](https://docs.stripe.com/payments/online-payments.md#compare-features-and-availability) de Stripe para aprovechar la protección automatizada basada en [CAPTCHA](https://www.hcaptcha.com/). Las soluciones modernas de CAPTCHA aplican múltiples factores de riesgo para aumentar la fricción por comportamientos de alto riesgo, a la vez que parecen invisibles para los usuarios legítimos de tu servicio. Para deshabilitar nuestra integración de CAPTCHA, ponte en contacto con [soporte de Stripe](https://support.stripe.com/contact/login).

El uso de una de nuestras integraciones de pago recomendadas te permite aprovechar al máximo la prevención de pruebas de tarjetas de Stripe. Si no puedes usar una integración recomendada, incluye la mayor cantidad de datos posible o implementa tus propios controles. Aunque los controles de pruebas de tarjetas están separados de la protección de Radar contra disputas por fraude, se benefician [de los mismos factores de riesgo que utiliza Radar](https://docs.stripe.com/radar/optimize-risk-factors.md).

Incluir la siguiente información en tus pagos puede afectar de manera significativa el rendimiento de los modelos de prueba de tarjetas de Stripe. Nuestras integraciones recomendadas te permiten recopilar esta información, mientras que las integraciones directas pueden requerir que estos datos se incluyan de forma explícita.

- [Detección avanzada de fraudes](https://docs.stripe.com/disputes/prevention/advanced-fraud-detection.md) (Highest impact)
- Dirección IP
- Correo electrónico del cliente
- Nombre del cliente
- Dirección de facturación

### Implementación del control

Agregar restricciones a los puntos de conexión específicos te ayudará a suprimir y prevenir la prueba de tarjetas. Las restricciones que implementes pueden hacer que la prueba de tarjetas sea inviable y tener poco o ningún efecto en el tráfico legítimo.

Normalmente, estos estafadores apuntan a puntos de conexión que les permitan hacer alguna de las siguientes operaciones:

- Guardar tarjetas.
- Efectúa un pago.

Las medidas de seguridad específicas que agregues a tu integración varían según tu situación y las necesidades de tu empresa. A continuación, describimos varios enfoques comunes.

### Implementa CAPTCHA

Estos estafadores suelen usar secuencias de comandos automáticas que CAPTCHA puede bloquear. Las secuencias de comandos son especialmente eficaces si no utilizas una de las integraciones recomendadas que admiten CAPTCHA. Las soluciones modernas de CAPTCHA ofrecen opciones de CAPTCHA visibles e invisibles, en función de tus necesidades. Si sumaste un CAPTCHA a tu integración, pero no se detuvo la prueba de tarjetas, verifica lo siguiente:

- Asegúrate de que el CAPTCHA exija validación en todas las solicitudes que habiliten validaciones de tarjetas o pagos con Stripe.
- Revisa la documentación de CAPTCHA para asegurarte de que la hayas implementado correctamente del lado del servidor.
- Si usas una solución de CAPTCHA que da puntuación, ajusta el límite de bloqueo de solicitudes.
- Prueba otra solución de CAPTCHA, por ejemplo, pasa de un CAPTCHA invisible a uno visible o usa una solución de CAPTCHA totalmente diferente.

### Limita el acceso a tu formulario de pago

Cuanto más fácil sea para los estafadores llegar a tu formulario de pago (por ejemplo, usando el proceso de compra como invitado), más fácil será que ejecuten ataques de prueba de tarjetas. Puedes reducir tu exposición a los probadores de tarjetas exigiendo el inicio de sesión o la validación de la sesión antes de que puedan realizar un pago. Algunas de [las protecciones contra los ataques de falsificación de solicitudes entre sitios (CSRF)](https://owasp.org/www-project-cheat-sheets/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet.html) también son eficaces contra algunos tipos de pruebas de tarjetas, como los tokens CSRF.

### Agregar límites de intentos de solicitud

En algunos casos, puedes reducir la prueba de tarjetas agregando límites de frecuencia de creación de redes (por ejemplo, en el front-end de tu tienda web). Adapta estos límites de frecuencia para detener el tipo específico de prueba de tarjetas que sufre tu empresa. Por ejemplo, si los estafadores usan tu integración para validar tarjetas asociándolas a nuevos clientes, un impedimento eficaz podría ser limitar la cantidad de clientes nuevos que se puedan crear desde una sola dirección IP en un día.

Además de los límites de velocidad de la red, puedes agregar límites de velocidad a tus pagos y al flujo de compra del carrito para [detectar y prevenir comportamientos inusuales](https://docs.stripe.com/disputes/prevention/card-testing.md#prevent-unusual-behavior), incluso después del inicio de sesión o registro.

### Detectar y prevenir comportamientos inusuales

Usa el Dashboard, los [webhooks](https://docs.stripe.com/webhooks.md) o la supervisión continua con [Stripe Sigma o Data Pipelines](https://stripe.com/guides/improve-fraud-management-with-radar-for-fraud-teams-and-stripe-data) para hacer un seguimiento de las anomalías en el tráfico. Puedes comparar la actividad de la prueba de tarjetas con el tráfico normal de las transacciones legítimas y, luego, crear filtros que limiten o impidan solo esa actividad. Por ejemplo, podrías introducir cambios en tu sistema con los siguientes objetivos:

- Limitar la cantidad de tarjetas que se pueden agregar a una cuenta
- Limitar la cantidad de clientes que se pueden crear con una misma dirección IP
- Limitar la cantidad de compras que se pueden realizar con el mismo producto
- Limitar la cantidad de clientes del mismo tipo que se pueden crear
- Filtrar las solicitudes de determinados agentes de usuario u otros parámetros

Para hacerlo, puedes usar [reglas personalizadas](https://docs.stripe.com/radar/rules/reference.md#velocity-rules) en Radar para Equipos de Fraude. Abordamos esto en la siguiente sección.

### Usar medidas de mitigación combinadas

A veces, conviene combinar diversos enfoques para reducir la prueba de tarjetas con el fin de maximizar el impacto en la actividad fraudulenta sin afectar el tráfico legítimo. Por ejemplo, puedes combinar un CAPTCHA y límites de intentos de solicitud. De esta manera, el primer intento de pago desde una dirección IP se realizará correctamente y sin restricciones, pero a las siguientes solicitudes que lleguen de la misma dirección IP en las próximas horas se les exigirá una verificación CAPTCHA para su aprobación.

### Reintentar con cuidado

El exceso de reintentos (reclamación de pagos) puede parecerse a una prueba de tarjetas si se producen en picos extremos con una baja tasa de éxito. Los ataques de reclamación de pagos y de prueba de tarjetas reales pueden tener efectos similares en tu empresa, incluido el endurecimiento de la postura de riesgo por parte de los emisores. Asegúrate de no volver a intentar configurar tarjetas en clientes fraudulentos después de un ataque de prueba de tarjetas, porque esto repite el ataque original. [Smart Retries](https://docs.stripe.com/billing/revenue-recovery/smart-retries.md#non-retryable-decline-codes) de Stripe ya tienen esto en cuenta.

### Personaliza la protección en función de tu aceptación del riesgo

Además de implementar medidas de mitigación, quizá te convenga afinar aún más tu protección con Radar. Incluye reglas integradas de bloqueo en función de [cheques bancarios](https://docs.stripe.com/radar/rules.md#traditional-bank-checks), como los cheques de *CVC* (The card verification code (CVC) or card verification value (CVV) is a three- or four-digit number printed directly on a card used to verify the entered card number).

Si entiendes el comportamiento de tus clientes y quieres personalizar en detalle la velocidad de los pagos, puedes crear [reglas personalizadas](https://docs.stripe.com/radar/rules/reference.md#velocity-rules) en Radar para Equipos de Fraude.

Puedes encontrar ejemplos en la [Guía de aspectos básicos de Radar](https://stripe.com/guides/radar-rules-101#rules-that-help-prevent-card-testing-or-card-cashing).

## See also

- [Detección avanzada de fraudes](https://docs.stripe.com/disputes/prevention/advanced-fraud-detection.md)
- [Optimiza tu integración de Radar](https://docs.stripe.com/radar/optimize-risk-factors.md)
- [Cómo proteger tus claves](https://docs.stripe.com/keys-best-practices.md)
- [Guía de aspectos básicos de Radar](https://stripe.com/guides/radar-rules-101)