Ir a contenido
Crea una cuenta
 o
inicia sesión
Logotipo de la documentación de Stripe
/
Crear cuenta
Iniciar sesión

Protégete de las pruebas de tarjetas

Obtén más información sobre esta actividad fraudulenta y sobre cómo protegerte contra ella.

Copia la página

La prueba de tarjetas es un tipo de actividad fraudulenta que consiste en tratar de determinar si los datos de una tarjeta robada son válidos para poder utilizarlos para hacer compras. Un estafador puede hacer esto comprando información de tarjetas de crédito robadas y luego intentar validarlas o hacer compras con esas tarjetas para determinar qué tarjetas siguen siendo válidas. Otros términos comunes para referirse a las pruebas de tarjetas son «carding», «verificación de cuentas», «enumeración» y «comprobación de tarjetas».

Las actividades fraudulentas, como la prueba de tarjetas, son parte inevitable del comercio en línea. Sin embargo, las consecuencias de la prueba de tarjetas repercuten en todo el ecosistema de pago, así que los comerciantes, las redes de tarjetas y Stripe comparten la responsabilidad a la hora de prevenir esta actividad. En Stripe, tratamos constantemente de mejorar nuestras herramientas y sistemas para detectar y disminuir el fraude, pero debes estar siempre atento.

Cómo funciona la prueba de tarjetas

Quienes prueban tarjetas usan tanto la configuración de la tarjeta como los pagos para determinar si los datos de la tarjeta robada o enumerada que tienen son válidos o no. Para validar rápidamente muchos números de tarjetas, los estafadores utilizan scripts para probar una gran cantidad de datos de tarjetas a la vez y recopilan respuestas 3DS o del emisor para validar qué datos de la tarjeta son válidos. Una vez que hayan identificado las tarjetas válidas, pueden cobrarlas a los comerciantes o revender tarjetas confirmadas en la dark web.

  • Configuración de la tarjeta: es uno de los métodos preferidos por los estafadores, ya que la validación y las autorizaciones durante la configuración de la tarjeta no suelen aparecer en el extracto de cuenta del titular de la tarjeta. Esto reduce la probabilidad de que los titulares de tarjetas adviertan y denuncien la actividad fraudulenta.
  • Pagos: los estafadores crean pagos de pequeños importes que son menos propensos a que los titulares de tarjetas detecten y denuncien como fraudulentos.

Consecuencias de la prueba de tarjetas

La prueba de tarjetas tiene muchos aspectos negativos, algunos de los cuales se agravan con el tiempo si las pruebas continúan:

  • Disputas: muchos tipos de pruebas de tarjetas implican pagos, algunos de los cuales se efectúan con éxito. Los clientes detectan los pagos realizados correctamente y los denuncian como fraude, lo que da lugar a alertas tempranas de fraude o incluso disputas fraudulentas que te cuestan tiempo y dinero.
  • Tasas de rechazo más altas: las pruebas de tarjetas asocian un gran número de rechazos con tu empresa. Una tasa de rechazos elevada puede dañar la reputación de tu empresa ante los emisores y redes de tarjetas y, por ende, todas tus transacciones parecerán más arriesgadas. Esto puede provocar un aumento en la tasa de rechazos de pagos legítimos, aun después de que hayan cesado las pruebas de tarjetas.
  • Comisiones adicionales: las pruebas de tarjetas pueden generar comisiones adicionales, como las comisiones por autorización para los planes de tarifas personalizadas y las comisiones por disputas.
  • Saturación de la infraestructura: las pruebas de tarjetas suelen implicar numerosas solicitudes y operaciones en la red. Este tráfico adicional puede sobrecargar tu infraestructura e interferir en la actividad legítima.
  • Deterioro del ecosistema: las pruebas de tarjetas afectan negativamente a todo el sistema financiero, por eso, tanto Stripe como nuestros socios financieros queremos ayudarte a detenerlas. Un gran volumen de pruebas de tarjetas que resulte en alertas tempranas de fraude o disputas podría, por ejemplo, hacer que se te incluya en los programas de supervisión de tarjetas.
  • Reduce la calidad de los datos para que tu empresa funcione: los ingresos por prueba de tarjetas pueden aparecer como buenos y nuevos clientes en tus datos, por lo que se hace difícil tener una visión clara del crecimiento real de tu negocio.

Lista de verificación activa de pruebas de tarjetas

Si estos estafadores han tenido acceso a tu integración, te recomendamos que tomes las siguientes medidas de inmediato:

Identificar las pruebas de tarjetas

Puedes identificar la mayor parte de las pruebas de tarjetas porque se produce un aumento significativo de las autorizaciones y los pagos fallidos. La mayoría de los ataques son evidentes en el Dashboard de Stripe. Los síntomas comunes a los que hay que prestar atención son los siguientes:

  • Un pico de pagos fallidos o bloqueados. Puedes ver las tendencias en la página de inicio del Dashboard, en la vista de la lista de transacciones y puedes examinar los motivos de los bloqueos en la página de detalles del pago.
  • Un pico en las solicitudes con errores 402. Puedes ver el pico de volumen en la página de Desarrolladores, examinar los errores 402 en la página de registros fallidos o escuchar las respuestas de los webhooks y API, en particular con un resultado de «generic_decline».
  • Un aumento en los pagos sospechosos con importes de transacción bajos, a menudo con nombres de clientes y correos electrónicos carentes de sentido. Para evitar disputas, recomendamos reembolsar estas transacciones sospechosas si logran superar las defensas existentes.
Identifica las pruebas de tarjetas

Pago bloqueado por posible prueba de tarjetas

Prevenir la prueba de tarjetas

Quienes prueban tarjetas emplean una gran variedad de técnicas para dificultar que impidas su actividad. Como resultado, las reglas de firewall simples o los filtros basados en una única heurística, como las direcciones IP, normalmente no son suficientes por sí solos para prevenir las pruebas de tarjetas.

Quienes prueban tarjetas pueden usar tu clave publicable y usarla para reintentar una gran cantidad de pagos en tu sitio web. Tienes dos estrategias principales de mitigación para estos ataques:

  • Utiliza una integración recomendada de Stripe: elige una integración recomendada por Stripe para aprovechar la protección contra pruebas de tarjetas que sabemos que funciona.
  • Implementación de controles: invierte en un conjunto de controles que impida que quienes prueban las tarjetas ataquen los puntos finales vulnerables.

Además de implementar estrategias de mitigación, debes asegurarte de que mantienes tus claves seguras y de no publicar tu clave secreta. Cuando tus credenciales se filtran o son robadas, las personas que prueban las tarjetas pueden crear pagos y configurar tarjetas utilizando tu clave secreta.

Precaución

¿No eres desarrollador? ¿Usas un plugin o una plataforma?: la prevención y la mitigación de la prueba de tarjetas suelen requerir cambios de código, por lo que tendrás que mostrarle esta documentación al desarrollador o al proveedor que creó el código y trabajar juntos para prevenir la prueba de tarjetas.

Usa una integración recomendada por Stripe

Si usas el último Payment Element o Checkout de Stripe, contamos con numerosos controles manuales y automáticos para mitigar la prueba de tarjetas, entre los que se incluyen limitadores de velocidad, modelos de IA, activadores de CAPTCHA, revisiones continuas, etc. Cuando detectamos que estás sufriendo un ataque de prueba de tarjetas, elegimos intervenciones de forma dinámica para suprimir el ataque en la medida de lo posible y, al mismo tiempo, permitir que los usuarios legítimos realicen transacciones en tu cuenta con un impacto mínimo. Verás estos pagos marcados como Blocked by Stripe.

Sin embargo, el éxito de los controles de Stripe depende de tu integración y de las señales que nos envíes. Utilizamos numerosas señales para distinguir entre la prueba de tarjetas y los pagos legítimos. Aunque algunas de estas señales se procesan automáticamente, muchas de ellas dependen de la información que proporciona tu integración. Por lo general, cuantos más datos proporcione tu integración, más satisfactoria será la prevención de la prueba de tarjetas.

Te recomendamos que uses una de las integraciones recomendadas de Stripe para aprovechar la protección automatizada basada en CAPTCHA. Las soluciones de CAPTCHA modernas aplican múltiples señales para aumentar la fricción en los comportamientos de alto riesgo, al tiempo que resultan prácticamente invisibles para los usuarios legítimos de tus servicios. Para cancelar nuestra integración de CAPTCHA, contacta con el soporte de Stripe.

El uso de una de nuestras integraciones de pago recomendadas te permite aprovechar al máximo la prevención de prueba de tarjetas de Stripe. Si no puedes usar una integración recomendada, incluye tantos datos como sea posible o implementa tus propios controles. Si bien los controles de prueba de tarjetas son independientes de la protección de Radar frente a disputas fraudulentas, se benefician de los mismos indicadores utilizados por Radar.

Incluir la siguiente información con tus pagos puede afectar de manera significativa al funcionamiento de los modelos de prueba de tarjetas de Stripe. Nuestras integraciones recomendadas te permiten recopilar esta información, mientras que las integraciones directas pueden requerir que estos datos se incluyan de forma explícita.

Implementación del control

Añadir restricciones a los puntos de conexión específicos te ayuda a suprimir y prevenir la prueba de tarjetas. Las restricciones que implementes pueden hacer que la prueba de tarjetas sea inviable, y, al mismo tiempo, tener un impacto mínimo o nulo en el tráfico legítimo.

Normalmente, estos estafadores tienen como objetivo puntos de conexión que les permitan hacer alguna de las siguientes operaciones:

  • Guarda la tarjeta.
  • Realizar un pago.

Las medidas de seguridad específicas que añadas a tu integración varían según tu situación y las necesidades de tu empresa. A continuación describimos algunos enfoques comunes.

Implementa el CAPTCHA

Estos estafadores suelen utilizar secuencias de comandos automáticas que el CAPTCHA puede bloquear. Los scripts son especialmente eficaces si no utilizas una de las integraciones recomendadas que admita CAPTCHA. Las soluciones modernas de CAPTCHA ofrecen opciones de CAPTCHA visibles e invisibles, en función de tus necesidades. Si has añadido un CAPTCHA a tu integración, pero la prueba de tarjetas ha continuado, comprueba lo siguiente:

  • Asegúrate de que el CAPTCHA exija una validación en todas las solicitudes que habiliten verificaciones de tarjetas o pagos con Stripe.
  • Revisa la documentación de CAPTCHA para asegurarte de que lo has implementado del lado del servidor.
  • Si utilizas una solución de CAPTCHA que da una puntuación, ajusta el umbral a partir del cual impides que las solicitudes se realicen correctamente.
  • Prueba otra solución de CAPTCHA, por ejemplo, pasa de un CAPTCHA invisible a uno visible o usa una solución de CAPTCHA totalmente diferente.

Limita el acceso a tu formulario de pago

Cuanto más fácil sea para los estafadores acceder a tu formulario de pago (por ejemplo, utilizando el proceso de compra como invitado), más fácil les resultará ejecutar ataques de prueba de tarjetas. Puedes reducir tu exposición a quienes prueban tarjetas solicitando que se inicie sesión o valide la sesión antes de que puedan realizar un pago. Algunas de las protecciones contra los ataques de falsificación de solicitud en sitios cruzados (CSRF) también sirven para determinados tipos de pruebas de tarjetas, como los tokens CSRF.

Añade límites de velocidad

En algunos casos, puedes reducir la prueba de tarjetas añadiendo límites de velocidad de redes (por ejemplo, en la interfaz de tu tienda web). Ajusta estos límites de velocidad para detener el tipo específico de prueba de tarjetas que estés experimentando. Por ejemplo, si usan tu integración para validar tarjetas asociándolas a nuevos clientes, un impedimento eficaz podría ser limitar la cantidad de clientes nuevos que se puedan crear desde una sola dirección IP en 1 día.

Además de los límites de velocidad de la red, puedes añadir límites de velocidad a tus pagos y al flujo del proceso de compra del carrito para detectar y prevenir comportamientos inusuales incluso después de iniciar sesión o registrarte.

Detecta y prevén comportamientos inusuales

Utiliza el Dashboard, los webhooks o la monitorización continua con Stripe Sigma o Data Pipelines para rastrear anomalías en tu tráfico. Puedes comparar la actividad de prueba de tarjetas con el tráfico normal de transacciones legítimas y después crear filtros que limiten o impidan solo esa actividad. Por ejemplo, podrías introducir cambios en tu sistema con los siguientes objetivos:

  • Limita la cantidad de tarjetas que se pueden añadir a una cuenta
  • Limitar la cantidad de clientes que se pueden crear con una misma dirección IP
  • Limita la cantidad de compras que se pueden hacer con el mismo producto
  • Limitar la cantidad de clientes del mismo tipo que se pueden crear
  • Filtrar las solicitudes de determinados agentes de usuario u otros parámetros

Para ello, puedes aprovechar las reglas personalizadas en Radar for Fraud Teams. Hablaremos sobre ello en la siguiente sección.

Usa una combinación de las medidas de mitigación

A veces, conviene combinar diversos enfoques para reducir la prueba de tarjetas y maximizar el impacto en la actividad fraudulenta sin afectar al tráfico legítimo. Por ejemplo, puedes combinar un CAPTCHA y límites de velocidad. De esta manera, el primer intento de pago desde una dirección IP se realizará correctamente y sin restricciones, pero las siguientes solicitudes que lleguen de la misma dirección IP en las horas siguientes tendrán que pasar una verificación CAPTCHA para ser aprobadas.

Vuelve a intentarlo con cuidado

El exceso de reintentos (reclamación de pagos) puede parecerse a una prueba de tarjetas si se produce en picos extremos con una tasa de éxito baja. Los ataques de reclamación y de prueba de tarjetas reales pueden tener efectos similares en tu empresa, incluyendo el endurecimiento de la postura de riesgo de los emisores. Asegúrate de no volver a intentar usar tarjetas creadas con clientes fraudulentos después de un ataque de prueba de tarjetas, porque esto repite el ataque original. Smart Retries de Stripe ya tiene esto en cuenta.

Personaliza la protección en función de tu tolerancia al riesgo

Más allá de las medidas de mitigación que se implementan, es conveniente ajustar aún más la protección con Radar. Viene con reglas integradas para bloquear en función de las comprobaciones bancarias, como las comprobaciones de CVC.

Si entiendes el comportamiento de tus clientes y quieres personalizar en detalle la velocidad de los pagos, puedes crear reglas personalizadas en Radar for Fraud Teams.

Puedes encontrar ejemplos en la guía de aspectos básicos de Radar.

Véase también

¿Te ha sido útil la página?
No
¿Necesitas ayuda? Ponte en contacto con el equipo de soporte.
Únete a nuestro programa de acceso anticipado.
Echa un vistazo a nuestro registro de cambios.
¿Tienes alguna pregunta? Ponte en contacto con el equipo de ventas.
¿LLM? Lee llms.txt.
Con tecnología de Markdoc