Ir a contenido
Crea una cuenta
 o
Inicia sesión
Logotipo de Stripe Docs
/
Crear una cuenta
Iniciar sesión

Protégete de las pruebas de tarjetas

Obtén más información sobre esta actividad fraudulenta y cómo protegerte de ella.

Copiar página

La prueba de tarjetas es un tipo de actividad fraudulenta que consiste en intentar determinar si se pueden utilizar los datos de una tarjeta robada para hacer compras. Para ello, un estafador puede comprar datos de tarjetas de crédito robadas y luego intentar validarlas o hacer compras con esas tarjetas para determinar cuáles siguen siendo válidas. Otros términos comunes para la prueba de tarjetas son «carding», «prueba de cuentas», «enumeración» y «comprobación de tarjetas».

Las actividades fraudulentas, como la prueba de tarjetas, son parte inevitable del comercio en línea. Sin embargo, las consecuencias de la prueba de tarjetas repercuten en todo el ecosistema de pago, así que los comerciantes, las redes de tarjetas y Stripe comparten la responsabilidad a la hora de prevenir esta actividad. En Stripe, tratamos constantemente de mejorar nuestras herramientas y sistemas para detectar y disminuir el fraude, pero debes estar siempre atento.

Cómo funciona la prueba de tarjetas

Quienes prueban tarjetas usan tanto la configuración de la tarjeta como los pagos para determinar si los datos de la tarjeta robada o enumerada que tienen son válidos o no. Para validar rápidamente muchos números de tarjetas, los estafadores utilizan scripts para probar una gran cantidad de información de tarjetas a la vez y recopilan las respuestas de 3DS o del emisor para validar qué información de la tarjeta es válida. Una vez que identificaron las tarjetas válidas, pueden cobrarlas con los comerciantes o revender las tarjetas confirmadas en la dark web.

  • Configuración de la tarjeta: los estafadores prefieren este método, ya que la validación y las autorizaciones durante la configuración de la tarjeta no suelen aparecer en el extracto de cuenta del titular de tarjeta. Esto reduce la probabilidad de que los titulares de tarjetas se den cuenta y denuncien la actividad fraudulenta.
  • Pagos: los estafadores crean pagos de importes pequeños que los titulares de tarjetas tienen menos probabilidades de notar y denunciar como fraudulentos.

Consecuencias de la prueba de tarjetas

La prueba de tarjetas tiene muchos resultados negativos y algunos se agravan con el tiempo si las pruebas continúan:

  • Disputas: muchos tipos de pruebas de tarjetas implican pagos, algunos de los cuales se efectúan correctamente. Los clientes detectan los pagos realizados correctamente y los denuncian por fraude, lo cual se traduce en alertas preventivas de fraude o incluso a disputas por fraude que te cuestan tiempo y dinero.
  • Tasas de rechazo más altas: la prueba de tarjetas asocia una gran cantidad de rechazos con tu empresa. Una tasa elevada de rechazos puede perjudicar la reputación de tu empresa ante los emisores y las redes de tarjetas y, por ende, todas tus transacciones parecerán más riesgosas. Esto puede provocar un aumento en la tasa de rechazos de pagos legítimos, aun después de que cesen las pruebas de tarjetas.
  • Comisiones adicionales: las pruebas de tarjetas pueden generar comisiones adicionales, como las comisiones por autorización para los planes de tarifas personalizadas y las comisiones por disputas.
  • Saturación de la infraestructura: las pruebas de tarjetas suelen generar muchas solicitudes y operaciones en la red. Este tráfico adicional puede sobrecargar tu infraestructura e interferir en la actividad legítima.
  • Deterioro del ecosistema: la prueba de tarjetas afecta negativamente a todo el sistema financiero, de manera que tanto Stripe como nuestros socios financieros queremos ayudarte a detenerlas. Una gran cantidad de pruebas de tarjetas que dan como resultado alertas preventivas de fraude o disputas pueden, por ejemplo, reclutarte en programas de monitoreo de tarjetas.
  • Reducción de la calidad de los datos para que tu empresa funcione: los ingresos por pruebas de tarjetas pueden parecer buenos clientes nuevos en tus datos, por lo que te resultará difícil tener una visión clara del crecimiento real de tu negocio.

Lista de verificación de pruebas de tarjetas activa

Si estos estafadores han tenido acceso a tu integración, te recomendamos que tomes las siguientes medidas de inmediato:

Identificar las pruebas de tarjetas

Puedes identificar la mayor parte de la actividad de prueba de tarjetas por un aumento significativo en las autorizaciones y los pagos fallidos. La mayoría de los ataques son obvios en tu Dashboard de Stripe. Los síntomas más comunes a los que hay que prestar atención son los siguientes:

  • Aumento repentino en los pagos rechazados o bloqueados. Puedes ver las tendencias en la página de inicio del Dashboard, en la vista de lista de transacciones y puedes examinar los motivos de bloqueo en la página de datos de pago.
  • Aumento repentino en las solicitudes con errores 402. Puedes ver el aumento de volumen en la página de Desarrolladores, examinar los errores 402 en la página de registros fallidos o recibir notificaciones de webhooks y respuestas de la API, en particular con un resultado de «generic_decline».
  • Aumento repentino en los pagos sospechosos con importes bajos de transacciones, a menudo con nombres de clientes y correos electrónicos sin sentido. Para evitar disputas, recomendamos reembolsar estas transacciones sospechosas si superan las defensas existentes.
Identificar las pruebas de tarjetas

Pago bloqueado por sospecha de prueba de tarjeta

Prevenir la prueba de tarjetas

Quienes prueban tarjetas emplean una amplia variedad de técnicas para dificultar el bloqueo de su actividad. En consecuencia, las simples reglas o filtros de cortafuegos basados en una sola heurística, como las direcciones IP, no suelen alcanzar como única medida para evitar la prueba de tarjetas por sí solos.

Los estafadores pueden usar tu clave publicable y usarla para reintentar una gran cantidad de pagos en tu sitio web. Dispones de dos estrategias de mitigación principales para este tipo de ataques:

  • Usa una integración de Stripe recomendada: elige una integración recomendada por Stripe para sacar provecho de la protección contra pruebas de tarjetas que sabemos que funciona.
  • Implementación del control: invierte en un conjunto de controles que impida que los estafadores ataquen los puntos de conexión vulnerables.

Además de implementar estrategias de mitigación, debes asegurarte de mantener tus claves seguras y de no publicar tu clave secreta. Cuando tus credenciales se filtran o sufren un robo, los estafadores pueden crear pagos y configurar tarjetas usando tu clave secreta.

Precaución

¿No eres desarrollador? ¿Usas un plugin o una plataforma? La prevención y la mitigación de la prueba de tarjetas suelen requerir cambios de código, de manera que tendrás que mostrarle esta documentación al desarrollador o al proveedor que creó el código, y trabajar en conjunto para prevenir la prueba de tarjetas.

Usar una integración recomendada por Stripe

Si usas el último Payment Element o Checkout de Stripe, contamos con numerosos controles manuales y automáticos para mitigar la prueba de tarjetas, entre los que se incluyen limitadores de frecuencia, modelos de IA, activadores de CAPTCHA, revisiones continuas, etc. Cuando detectamos que estás sufriendo un ataque de prueba de tarjetas, elegimos intervenciones dinámicamente para suprimir el ataque tanto como sea posible, y al mismo tiempo permitir que los usuarios legítimos realicen transacciones en tu cuenta con un impacto mínimo. Ves estos pagos marcados como Blocked by Stripe.

Sin embargo, el éxito de los controles de Stripe depende de tu integración y de las señales que nos envíes. Usamos muchas señales para distinguir entre las pruebas de tarjetas y los pagos legítimos. Si bien algunas de estas señales se computan automáticamente, muchas otras dependen de la información que suministra tu integración. Por lo general, cuanto más datos proporciona tu integración, más exitosa resulta la prevención de las pruebas de tarjetas.

Te recomendamos usar una de las integraciones recomendadas de Stripe para aprovechar la protección automatizada basada en CAPTCHA. Las soluciones modernas de CAPTCHA aplican múltiples señales para aumentar la fricción en los comportamientos de alto riesgo, mientras que la mayoría de las veces parecen invisibles para los usuarios legítimos de tu servicio. Para desactivar la integración de CAPTCHA, comunícate con el soporte de Stripe.

Si usas una de nuestras integraciones de pago recomendadas, podrás aprovechar al máximo la prevención de prueba de tarjetas de Stripe. Si no puedes usar una integración recomendada, incluye la mayor cantidad de datos posible o implementa tus propios controles. Si bien los controles de prueba de tarjetas son independientes de la protección contra disputas fraudulentas de Radar, se benefician de las mismas señales que usa Radar.

Incluir la siguiente información en tus pagos puede afectar de manera significativa el rendimiento de los modelos de prueba de tarjetas de Stripe. Nuestras integraciones recomendadas te permiten recopilar esta información, mientras que las integraciones directas pueden requerir que estos datos se incluyan de forma explícita.

Implementación del control

Agregar restricciones a los puntos de conexión específicos te ayudará a suprimir y prevenir la prueba de tarjetas. Las restricciones que implementes pueden hacer que la prueba de tarjetas sea inviable y tener poco o ningún efecto en el tráfico legítimo.

Normalmente, estos estafadores apuntan a puntos de conexión que les permitan hacer alguna de las siguientes operaciones:

  • Guardar tarjetas.
  • Efectúa un pago.

Las medidas de seguridad específicas que agregues a tu integración varían según tu situación y las necesidades de tu empresa. A continuación, describimos varios enfoques comunes.

Implementa CAPTCHA

Estos estafadores suelen usar secuencias de comandos automáticas que CAPTCHA puede bloquear. Las secuencias de comandos son especialmente eficaces si no utilizas una de las integraciones recomendadas que admiten CAPTCHA. Las soluciones modernas de CAPTCHA ofrecen opciones de CAPTCHA visibles e invisibles, en función de tus necesidades. Si sumaste un CAPTCHA a tu integración, pero no se detuvo la prueba de tarjetas, verifica lo siguiente:

  • Asegúrate de que el CAPTCHA exija validación en todas las solicitudes que habiliten validaciones de tarjetas o pagos con Stripe.
  • Revisa la documentación de CAPTCHA para asegurarte de que la hayas implementado correctamente del lado del servidor.
  • Si usas una solución de CAPTCHA que da puntuación, ajusta el límite de bloqueo de solicitudes.
  • Prueba otra solución de CAPTCHA, por ejemplo, pasa de un CAPTCHA invisible a uno visible o usa una solución de CAPTCHA totalmente diferente.

Limita el acceso a tu formulario de pago

Cuanto más fácil sea para los actores fraudulentos acceder a tu formulario de pago (por ejemplo, mediante un proceso de compra como invitado), más fácil será para ellos ejecutar ataques de prueba de tarjetas. Puedes reducir tu exposición a los estafadores exigiéndoles que inicien sesión o validen la sesión antes de que puedan realizar un pago. Algunas de las protecciones contra los ataques de falsificación de peticiones en sitios cruzados (CSRF) también sirven para determinados tipos de pruebas de tarjetas, como los tókenes CSRF.

Agregar límites de intentos de solicitud

En algunos casos, puedes reducir la prueba de tarjetas agregando límites de frecuencia de creación de redes (por ejemplo, en el front-end de tu tienda web). Adapta estos límites de frecuencia para detener el tipo específico de prueba de tarjetas que sufre tu empresa. Por ejemplo, si los estafadores usan tu integración para validar tarjetas asociándolas a nuevos clientes, un impedimento eficaz podría ser limitar la cantidad de clientes nuevos que se puedan crear desde una sola dirección IP en un día.

Además de los límites de velocidad de la red, puedes agregar límites de velocidad a tus pagos y al flujo de compra del carrito para detectar y prevenir comportamientos inusuales, incluso después del inicio de sesión o registro.

Detectar y prevenir comportamientos inusuales

Usa el Dashboard, los webhooks o la supervisión continua con Stripe Sigma o Data Pipelines para hacer un seguimiento de las anomalías en el tráfico. Puedes comparar la actividad de la prueba de tarjetas con el tráfico normal de las transacciones legítimas y, luego, crear filtros que limiten o impidan solo esa actividad. Por ejemplo, podrías introducir cambios en tu sistema con los siguientes objetivos:

  • Limitar la cantidad de tarjetas que se pueden agregar a una cuenta
  • Limitar la cantidad de clientes que se pueden crear con una misma dirección IP
  • Limitar la cantidad de compras que se pueden realizar con el mismo producto
  • Limitar la cantidad de clientes del mismo tipo que se pueden crear
  • Filtrar las solicitudes de determinados agentes de usuario u otros parámetros

Para hacerlo, puedes aprovechar las reglas personalizadas en Radar para Equipos de Fraude. Abordaremos este tema en la siguiente sección.

Usar medidas de mitigación combinadas

A veces, conviene combinar diversos enfoques para reducir la prueba de tarjetas con el fin de maximizar el impacto en la actividad fraudulenta sin afectar el tráfico legítimo. Por ejemplo, puedes combinar un CAPTCHA y límites de intentos de solicitud. De esta manera, el primer intento de pago desde una dirección IP se realizará correctamente y sin restricciones, pero a las siguientes solicitudes que lleguen de la misma dirección IP en las próximas horas se les exigirá una verificación CAPTCHA para su aprobación.

Reintentar con cuidado

El exceso de reintentos (reclamación de pagos) puede parecerse a una prueba de tarjetas si se producen en picos extremos con una baja tasa de éxito. Los ataques de reclamación de pagos y de prueba de tarjetas reales pueden tener efectos similares en tu empresa, incluido el endurecimiento de la postura de riesgo por parte de los emisores. Asegúrate de no volver a intentar configurar tarjetas en clientes fraudulentos después de un ataque de prueba de tarjetas, porque esto repite el ataque original. Smart Retries de Stripe ya tienen esto en cuenta.

Personaliza la protección en función de tu aceptación del riesgo

Además de implementar medidas de mitigación, quizá te convenga afinar aún más tu protección con Radar. Incluye reglas integradas de bloqueo en función de cheques bancarios, como los cheques de CVC.

Si entiendes el comportamiento de tus clientes y quieres personalizar la velocidad de los pagos en detalle, puedes crear reglas personalizadas en Radar para Equipos de Fraude.

Puedes encontrar ejemplos en la Guía de aspectos básicos de Radar.

Consulta también

¿Te fue útil esta página?
No
¿Necesitas ayuda? Ponte en contacto con soporte.
Únete a nuestro programa de acceso anticipado.
Echa un vistazo a nuestro registro de cambios.
¿Tienes alguna pregunta? Contacto.
¿LLM? Lee llms.txt.
Con tecnología de Markdoc