Los fraudes con tarjetas de crédito, es decir, el uso no autorizado e ilegal de su tarjeta de crédito para obtener bienes o servicios o para extraer dinero de su cuenta, están en aumento. Según la Comisión Federal de Comercio, más del 32% de los estadounidenses se quejaron sobre el fraude con tarjeta de crédito en 2016, el doble de la tasa de 2015. En general, en 2017, los consumidores denunciaron perder un total de $905 millones de dólares por fraude, un aumento de $63 millones desde 2016, con $429 de mediana de pérdida.
"Los hackers actualmente se están volviendo más inteligentes y más sofisticados en las formas en que pueden estafar a los consumidores", dice JoAnna Guzon, analista senior de operaciones bancarias de East West Bank. "Y resulta imperativo que los consumidores sepan cómo mantenerse seguros y protegerse a sí mismos y a su crédito de diferentes tipos de fraude".
Si bien el fraude con tarjeta de crédito generalmente ocurre cuando alguien roba su cartera o copia su información de la tarjeta de crédito durante una transacción de venta minorista, algunos fraudes con tarjeta de crédito ocurren debido a ataques de piratas informáticos a la seguridad cibernética a gran escala o a brechas de datos. Las brechas de datos son incidentes en los que los nombres de personas, números de seguro social, números de licencias de conducir, registros médicos o financieros (incluidas las tarjetas de crédito y débito) se ponen potencialmente en riesgo debido a un problema de seguridad informática, intencional o no intencional. En muchas ocasiones, los dueños de tarjetas de crédito, e incluso los dueños de los sistemas afectados, no siempre pueden saber inmediatamente cuándo ocurrió la brecha.
En los últimos años, la cantidad de brechas de datos ha aumentado. De acuerdo con el Informe de fin de año sobre brechas de seguridad de 2017 por el Identity Theft Resource Center, el año pasado, la cantidad de brechas de datos en los EE. UU. registró un nuevo récord, al alcanzar 1,579 incidentes de brecha de datos y exponer casi 179 millones de registros, un aumento drástico del 44.7% sobre las cifras informadas el año anterior. Casi el 20% de las brechas incluyeron información de tarjetas de crédito y débito, con 14.2 millones de números de tarjetas de crédito y casi 158 millones de números de seguro social expuestos.
Las brechas de datos de empresas reconocidas como Yahoo, Equifax, Target e eBay, entre otras, han llegado a los titulares de las noticias. Las brechas revelaron información confidencial de millones de estadounidenses y han hecho que los delincuentes cibernéticos la utilicen con más facilidad para su ventaja y cometan robo de identidad. La brecha de Equifax sola comprometió la información personal de 143 millones de consumidores.
“Estamos viendo un enorme aumento en el fraude sin tarjeta presente o de comercio electrónico”.
Cuando se trata del fraude con tarjeta de crédito, toma muchas formas, y los hackers se están perfeccionando en el robo de información de los consumidores, tanto en línea como fuera de línea. Los tipos más comunes de robo de tarjeta de crédito son:
"El fraude con tarjeta presente, que significa que la persona tiene la tarjeta en su poder y la usa en un comercio, es uno de los tipos básicos de fraude con tarjeta de crédito", explica Janet Pickering, vicepresidenta de riesgo y cumplimiento de tarjetas de crédito de East West Bank. "En general, hemos visto que el fraude con tarjeta presente ha disminuido significativamente desde la introducción del chip EMV, la tecnología que llegó hace un par de años para aumentar la seguridad de las tarjetas de crédito".
"El segundo tipo básico de fraude con tarjeta de crédito", continúa Pickering, "es el fraude sin tarjeta presente, en el que la tarjeta no está físicamente en un comercio cuando ocurre una transacción fraudulenta, como en los pedidos por Internet. Estamos viendo un enorme aumento en el fraude sin tarjeta presente o de comercio electrónico. Pickering añade: "Con el fraude sin tarjeta presente, las transacciones fraudulentas a menudo no son detectadas hasta que a la víctima le cobran compras que no hizo".
La lectura de información de las tarjetas de crédito puede ocurrir durante transacciones legítimas. Por ejemplo, cuando está en un restaurante: un empleado deshonesto lleva la tarjeta fuera de la vista inmediata del titular de la tarjeta y toma la información de esta mediante un lector (un dispositivo electrónico pequeño, que luego utiliza para falsificar tarjetas. Los estafadores también pueden colocar dispositivos diminutos de lectura de datos en los cajeros automáticos (ATM, por sus siglas en inglés) para capturar la información de su tarjeta y luego recrear su tarjeta con su nombre en ella. Al igual que con el fraude sin tarjeta presente, las víctimas no se percatan de los cargos fraudulentos de inmediato y recién los detectan cuando reciben los estados de cuenta bancaria o resúmenes de tarjetas de crédito.
Debido a que algunas tarjetas de crédito ahora tienen incrustados chips de identificación de radiofrecuencia (RFID, por sus siglas en inglés) que transmiten ciertos tipos de información de manera inalámbrica y le permiten hacer compras sin pasar la tarjeta físicamente, la lectura de información de RFID se ha convertido en otro tipo de delito de hurto electrónico. Los estafadores, armados con un lector de RFID, pueden robar información personal de su tarjeta de crédito con RFID a varios pies de distancia.
Este tipo de fraude con tarjeta de crédito ocurre cuando un delincuente obtiene su información de manera fraudulenta, de documentos robados o arrojados a la basura, como estados de cuenta bancaria, facturas de servicios o solicitudes preaprobadas de tarjetas de crédito y la utiliza para abrir una nueva tarjeta de crédito en su nombre. Este tipo de fraude ocurre generalmente junto con el robo de identidad. Muchos bancos tienen medidas de protección para impedir que ocurra el fraude de solicitud (p. ej., exigen la presentación únicamente de documentos originales como prueba o llaman a los empleadores para confirmar la identidad de una persona). Pero, lamentablemente, los delincuentes pueden fabricar documentos falsos, brindar números telefónicos falsos y evadir algunas medidas de seguridad. Puede llevar un largo tiempo hasta que una persona se entere de que ha sido víctima de fraude con tarjeta de crédito.
El robo de cuentas es uno de los tipos más comunes de fraude. Sucede cuando un delincuente reúne suficiente información personal y documentos relevantes sobre el titular de la tarjeta, engaña a la empresa de la tarjeta de crédito o al banco haciéndose pasar por el titular de la tarjeta y roba la cuenta de la víctima. Un delincuente puede llamar a la empresa de la tarjeta de crédito para denunciar el robo o pérdida de la tarjeta o pedir que emitan una nueva tarjeta y pedir que se la envíen a su dirección. El estafador recibe una nueva tarjeta y, una vez activada, comienza a usarla, y puede llegar a destruir el crédito del titular de la tarjeta.
El phishing de tarjetas de crédito ocurre cuando los estafadores simulan ser representantes de empresas legítimas, como hacerse pasar por personal del banco y contactar a clientes para intentar extraer su información de la tarjeta de crédito. Esto podría hacerse a través de correos electrónicos falsos que aparentemente provienen de una fuente confiable, en el que les piden a los consumidores que llamen al número o que hagan clic en un enlace para verificar información personal como un tipo de comprobación de seguridad, y luego son redirigidos a un sitio web falso. O bien, podría hacerse por teléfono, como cuando alguien que se hace pasar por alguien de la empresa de su tarjeta de crédito lo llama para investigar un posible robo de identidad e intenta lograr que usted dé su número de seguro social o número de cuenta.
"Los hackers actualmente se están volviendo más inteligentes y más sofisticados en las formas en que pueden estafar a los consumidores".
Si bien nadie puede eliminar por completo el riesgo de robo de información personal, hay pasos que puede tomar para reducir el riesgo de ser víctima de fraude con tarjeta de crédito y robo de identidad:
"Usted debe revisar regularmente sus resúmenes de facturación para detectar cargos desconocidos o transacciones fraudulentas. No espere a que el resumen impreso le llegue por correo, si tiene acceso en línea a su tarjeta de crédito y cuentas bancarias, haga una rutina para iniciar sesión y ver la actividad de la cuenta de manera regular", aconseja Guzon. "Si nota que algo no está bien, no lo postergue, notifíquelo de inmediato al banco o al proveedor de la tarjeta de crédito", añade.
Muchas empresas de tarjetas de crédito tienen políticas de responsabilidad cero, como Responsabilidad cero de Visa, que significa que el consumidor no será responsable de los cargos no autorizados hechos en su cuenta, y que están protegidos en caso de pérdida, robo o uso fraudulento en línea o fuera de línea de su tarjeta de débito o crédito. Sin embargo, existen algunos casos en que la protección de responsabilidad cero no se aplica. Esto sucede cuando los consumidores esperan demasiado tiempo para informar un reclamo. De acuerdo con la Ley de Facturación Justa de Crédito y la Ley de Transferencia Electrónica de Fondos, la legislación federal que establece las responsabilidades y los derechos de los consumidores, si usted informa la pérdida o robo de una tarjeta antes de que sea usada, usted no es responsable de cualquier cargo no autorizado. Si hay un uso no autorizado de su tarjeta de crédito antes de que usted denuncie su pérdida, lo máximo por lo que sería responsable es por $50. Si espera más de 60 días para denunciar fraude en su tarjeta de crédito, podría ser responsable por todo el dinero implicado.
Asegúrese de no usar la misma contraseña para todas las cuentas que tenga y mantenga los detalles personales, especialmente los que permiten acceso a sus cuentas para usted mismo o para un grupo limitado de personas. "Los clientes se exponen al fraude en línea al no tomar los pasos adecuados para proteger las contraseñas de sus cuentas", afirma Guzon. "Si no protege adecuadamente su privacidad o detalles de inicio de sesión, los estafadores tienen la capacidad de extraer datos de sus transacciones y su perfil, y pueden hacer cambios que pueden llevar al robo de identidad".
Para evitar la reutilización de la contraseña y cambiar fácilmente las contraseñas existentes, especialmente si sospecha que están en peligro, se recomienda usar un gestor de contraseñas. Los gestores de contraseñas le ayudan a generar, recuperar y llevar registro de contraseñas complejas y números de cuentas que tenga, a la vez que protegen sus números de PIN, números de tarjetas de crédito códigos CVV de tres dígitos y más. Almacenan su información de inicio de sesión de todos los sitios web que usa y le ayudan a iniciar sesión automáticamente en estos. La única contraseña que debe enviar a la memoria es la contraseña maestra que le permite desbloquear y acceder a cualquier información almacenada en la base de datos.
Hay disponibles algunos gestores de contraseñas excelentes en el mercado, que incluyen 1Password, LastPass, Dashlane y otros. Cada opción es una buena herramienta de seguridad que le permitirá mantener segura su información de inicio de sesión, pero le ofrecerá planes a distintos precios, dependiendo de las características adicionales y de si desea almacenar la información en forma local o en la nube. Elegir el mejor gestor de contraseñas se reduce a una preferencia personal.
Controle regularmente su informe de crédito y mantenga un ojo alerta en las cuentas nuevas no autorizadas que se hayan abierto en su nombre para detectar signos precoces de robo de identidad. Bajo la ley federal, usted tiene derecho a una copia gratuita de su informe de crédito de las tres agencias de informes de crédito de EE. UU., Experian, TransUnion y Equifax, cada 12 meses, que puede solicitar por Internet, a través de annualcreditreport.com, por teléfono o por correo. Si encuentra información en el informe de crédito que no es precisa, puede contactarse con el acreedor o la entidad crediticia. Además, puede presentar una disputa ante el bureau de crédito que le proporcionó el informe que contiene el error enviándoles una carta con su información de contacto, una explicación de por qué usted cree que cometieron un error y cualquier documento de respaldo que usted tenga.
Si bien algunos bancos y empresas de tarjetas de crédito ahora proporcionan un control gratuito del informe de crédito, hay herramientas de control del crédito y servicios de protección de identidad especiales que podría considerar. Algunos pueden ser gratuitos y abarcar informes de solo uno o dos bureaus de crédito, como Credit Karma. Otras empresas, como PrivacyGuard, Identity Guard y LifeLock, entre otras, pueden cobrarle un cargo que está entre $9 y $30 al mes aproximadamente, y abarcan los tres informes.
Además, si ha sido víctima de robo de identidad, también puede considerar congelar su archivo de crédito, que básicamente corta el acceso a su historial crediticio y reduce en gran medida la posibilidad de que se abra nuevo crédito en su nombre. Para hacerlo, debe proporcionar su número de seguro social, fecha de nacimiento y otra información que confirme su identidad, y contactar a los tres bureaus de crédito más importantes individualmente. Una vez que su archivo esté congelado, los bureaus le proporcionarán el número de PIN que necesitará si desea revertir este estado en algún momento. Si pierde o no encuentra su PIN, es posible que no pueda deshacer el congelamiento fácilmente, lo que podría representar inconvenientes y demoras si necesita solicitar un préstamo para un automóvil, alquilar un departamento, dar de alta servicios públicos con factura, obtener una nueva tarjeta de crédito y más. También es importante recordar que congelar su crédito no afectará a sus cuentas actuales. De modo que si los estafadores roban la información de su cuenta existente, su crédito puede ser usado sin su permiso.
Para evitar la lectura de información de RFID, utilice una billetera con bloqueo de RFID para evitar que los estafadores escaneen sus tarjetas al pararse cerca de usted o envuelva sus tarjetas con algunas láminas de papel aluminio grueso. "Siempre esté atento a lo que lo rodea", dice Guzon. "La mayoría de las gasolineras tienen actualmente estos adhesivos en las bombas para indicar que no han sido alteradas. En el caso de que una máquina tenga el adhesivo roto, debe buscar otra bomba, o pagar dentro de la gasolinera para que haya algún tipo de documentación. Si utiliza un cajero automático, utilice uno que se encuentre en una zona concurrida y no en un lugar que esté lejos del edificio o en la oscuridad. Esos cajeros automáticos menos visibles son más propensos a que personas coloquen dispositivos de lectura de información en esas máquinas, que capturarán la información de su tarjeta y permitirán que recreen su tarjeta de crédito en algún lugar con su nombre en ella".
Está de más decir que el fraude con tarjetas de crédito está dañando no solo a los consumidores sino también a los comerciantes que, en muchos casos, soportan el precio de las transacciones fraudulentas con tarjetas de crédito. Los negocios pueden tener dificultades para recuperar la mercadería comprada a través de medios ilegítimos, y las empresas de tarjetas de crédito no están obligadas legalmente a asistir a los comercios a rastrear a los delincuentes. Sin embargo, hay maneras en que los negocios pueden detectar el fraude con tarjetas de crédito y evitar que ocurran las transacciones fraudulentas:
Así de simple, todos los negocios deben pedir una identificación con foto durante el pago de una compra. En el caso del fraude con tarjeta presente, verificar la información de la tarjeta con la información de una licencia de conducir y ver si la foto parece legítima podría ser la manera más efectiva y más fácil de detectar el fraude con tarjetas de crédito. "Si alguien parece sospechoso, confíe en su instinto y solicite más información", dice Pickering. Asimismo los comercios podrían llamar a los emisores de tarjetas de crédito y hacer una solicitud de autorización de Código 10 para verificar la validez de una tarjeta, y a la vez alertar al emisor de la tarjeta acerca de una actividad sospechosa. El operador del otro lado de la línea hará preguntas simples para responder sí o no, recomendará al comerciante cómo proceder con la situación y, si es necesario, llamar a las autoridades.
"Todos los comerciantes deben tener una máquina para chip EMV. En la gran mayoría de los casos, las personas tienen tarjetas con chip, pero es el comercio que no tiene una máquina para chip o tiene una que no funciona adecuadamente", dice Pickering. "Si un cliente tiene una tarjeta con chip, pero no puede completar una transacción debido al mal funcionamiento de una máquina para chip o la ausencia de una, se debe pasar la tarjeta o ingresar los números manualmente. Eso significa que, por consiguiente, la responsabilidad de esa transacción recae en el comerciante". Para proteger los datos del cliente, evitar la responsabilidad y mantener seguro el negocio, los comerciantes deben poder aceptar tarjetas con chip EMV.
En los casos en los que la tarjeta está presente, además de inspeccionar la identificación del cliente, los comerciantes deben examinar cuidadosamente la tarjeta misma para ver si el número de cuenta en el frente coincide con el número de cuenta en el dorso, y verificar si la tarjeta tiene todos los elementos, tales como hologramas y banda magnética sin alterar. Además, los comerciantes deben estar atentos al comportamiento de los clientes y buscar signos de advertencia. Durante transacciones sin tarjeta presente, los comerciantes deben buscar señales de alerta y ser precavidos si la dirección de envío y facturación es diferente, si el pedido viene de países donde este tipo de fraude es común, y si hay pedidos inusualmente grandes con entrega urgente o al día siguiente.