El fraude con tarjetas de crédito también es un negocio: ellos también tienen su propia cadena de suministro y organización de control de calidad

• Una historia interesante en la que un empleado de Stripe conecta y desarrolla tres temas

→ donaciones benéficas

→ cadena de suministro para el fraude con tarjetas de crédito

→ infraestructura financiera global

• Los estafadores de tarjetas de crédito cuentan con un ecosistema muy sofisticado y especializado

→ incluso tienen departamentos de control de calidad que compiten por infraestructura dedicada y velocidad de respuesta

• La mayoría de las tarjetas robadas no las usan directamente los ladrones/hackers, sino que se venden en este mercado

→ esto permite la especialización del trabajo

→ en este mercado también existen estándares de calidad gestionados con reseñas por estrellas y similares para garantizar la calidad del producto

• Esa "calidad" significa "¿el comprador realmente puede sacar dinero de esta tarjeta?"

→ esto se garantiza antes de la venta (o después) mediante lo que llaman "card testing"

• La utilidad de estas tarjetas disminuye con el tiempo (porque la tarjeta se cancela o se bloquea)

→ los ladrones ejecutan una "transacción de prueba" justo antes de venderlas para demostrar que estas tarjetas deben venderse a un precio alto

→ esta prueba es importante porque, si un intento de "fraude con tarjeta" usando una tarjeta comprada ilegalmente falla, los compradores pueden perder otros recursos escasos que usaron para adquirirla

• Empresas legítimas y organizaciones benéficas se usan para hacer "card testing a gran escala" (cientos de miles o millones de personas a la vez)

→ los estafadores no obtienen algo directamente de ahí

→ solo con comprobar que la tarjeta procesa bien el pago pueden cobrar más dinero en el mercado

• Las organizaciones benéficas representan el 11% de todos los intentos de prueba de tarjetas

→ en otras industrias la proporción es mucho menor (más de 3 veces menos que en religión/educación/seguros, etc.)

• ¿Por qué los estafadores apuntan primero a las organizaciones benéficas?

→ una de las razones es que (salvo grandes organizaciones con equipos de pagos dedicados),

muchas organizaciones benéficas no imaginan que alguien pueda aprovecharse de ellas de forma ilícita mientras les da dinero

• Para el ecommerce, el anti-fraud es esencial, pero las organizaciones benéficas no tienen capacidad para hacerlo

• Sin embargo, este card testing es realmente malo para las organizaciones benéficas

• Esos pagos se revierten cuando el titular de la tarjeta los reclama, y además reciben perjuicios por parte de la industria financiera por haber permitido que ocurra

• En el peor de los casos, si no logran impedir este card testing repetido, incluso podrían perder la posibilidad de aceptar donaciones con tarjeta

• Para una organización benéfica pequeña que depende por completo de las donaciones online con tarjeta, esto es casi catastrófico

• Durante la pandemia, los ataques de card testing aumentaron rápidamente

• En mi parte de Asia, se dispararon un 56% por encima de lo esperado en toda la red de Stripe

• Entonces, ¿qué pueden hacer las organizaciones benéficas pequeñas al respecto?

• Stripe tiene la responsabilidad de protegerlas y ha hecho varias cosas para frenarlo

→ siguen trabajando en el backend para detectar ataques de card testing

→ es posible intervenir con más fuerza en el frontend, pero las organizaciones pequeñas no tienen los recursos para implementarlo

(la mayoría de las organizaciones benéficas no tienen desarrolladores en su staff)

• Por eso implementaron un modelo de mitigación en Stripe Checkout

→ bloquear por completo los pagos con tarjeta por culpa de un ataque perjudica a las organizaciones benéficas

→ por eso insertan algo como un Captcha cuando ocurre un ataque. Ha sido muy efectivo.

→ normalmente, cuando hay un ataque, solo el 1.6% supera el Captcha

→ no se muestra a todo el mundo, sino solo a los usuarios identificados como atacantes, así que casi ningún usuario legítimo llega a verlo