MAISON CODE .
/ Security · Fraud · Risk · Payments

Análisis de fraude: aprendizaje automático versus el cartel

Cómo detectar tarjetas de crédito robadas, IP proxy y redes de delincuencia minorista organizada utilizando Shopify Shield y modelos de aprendizaje automático personalizados.

AB
Alex B.
Análisis de fraude: aprendizaje automático versus el cartel

Llega un pedido de \€5,000. Dirección de envío: Miami (Transitario). Dirección de facturación: Nigeria. Dirección IP: Kansas (VPN). ¿Es fraude? Probablemente. ¿Pero qué pasa si se trata de un diplomático nigeriano legítimo que figura en la lista de un reexpedidor de Miami? Si lo cancelas, pierdes \€5k. Si lo envía, recibirá una devolución de cargo y pagará una tarifa de \€5k + \€15. Análisis de fraude es el arte de la probabilidad.

Por qué Maison Code habla de esto

En Maison Code Paris, actuamos como la conciencia arquitectónica de nuestros clientes. A menudo heredamos stacks “modernos” construidos sin una comprensión fundamental de la escala.

Discutimos este tema porque representa un punto de inflexión crítico en la madurez de la ingeniería. Implementarlo correctamente diferencia un MVP frágil de una plataforma resistente de nivel empresarial.

Las señales

Shopify proporciona “análisis de fraude” en cada pedido.

  • avs_code: Sistema de verificación de direcciones (¿Zip coincide con el banco?).
  • cvv_code: Valor de Verificación de la Tarjeta.
  • ip_distance: Distancia entre IP y Dirección de Facturación.

Flujos de trabajo automatizados (Shopify Flow)

No revisamos manualmente cada pedido. Configuramos reglas de Shopify Flow.

  • Bandera roja: Si nivel de riesgo = Alto -> Cancelación automática.
  • Bandera amarilla: Si nivel de riesgo = Medio Y Valor > \€500 -> Esperar para revisión. Enviar alerta de Slack.
  • Bandera verde: Pago de captura automática.

3D seguro (3DS)

El diseño. Si habilita 3D Secure (Verificado por Visa), la responsabilidad pasa al Banco. Incluso si te roban la tarjeta, te quedas con el dinero. El Banco se come la pérdida. Sin embargo, 3DS reduce la conversión en aproximadamente un 5%. Estrategia: Activa 3DS solo para pedidos de alto riesgo. (Consulte Pagos móviles para Apple Pay, que es efectivamente 3DS).

Huellas digitales del dispositivo

Los estafadores profesionales borran las cookies. Usamos Huellas digitales del dispositivo (por ejemplo, Sardine, Sift). Se mira:

  • Nivel de batería.
  • Resolución de pantalla.
  • Fuentes instaladas. Si vemos 50 pedidos de diferentes nombres pero exactamente el mismo hash de dispositivo, es un anillo de bot. (Consulte Mitigación de bots).

Fraude amistoso

“Yo no ordené esto”. (Cliente mentiroso). Esto es difícil de superar. Defensa: *Firma en la Entrega (FedEx).

  • Foto Comprobante de Entrega.
  • Generador de evidencia de disputas: automatice la exportación en PDF de los registros de acceso que muestran la IP del usuario y el inicio de sesión de correo electrónico en el momento de la compra.

6. Controles de velocidad (la trampa de velocidad)

Los humanos compran lentamente. Los robots compran rápido. Un usuario no puede realizar 10 pedidos en 1 minuto. Verificaciones de velocidad bloque basado en el tiempo.

  • “Máximo 1 pedido cada 5 minutos por IP”.
  • “Máximo 3 tarjetas de crédito diferentes por hora por Sesión”. Esto evita ataques de “Prueba de tarjetas”, en los que un ladrón compra artículos por valor de 1 dólar para comprobar si las tarjetas robadas funcionan. (Consulte Limitación de velocidad).

7. Fraude de reembolso (El asesino silencioso)

“Devolví la caja”. (Estaba vacío). “Nunca recibí el reembolso”. (Lo consiguieron dos veces). Esto es más difícil de detectar porque ocurre después de la compra. Defensa:

  1. Verificación de peso: Verifique que el peso del paquete de devolución coincida con el peso de salida.
  2. Adjudicación de reembolso: No reembolse automáticamente artículos de alto valor. Requiere inspección humana.
  3. Lista negra: si un usuario reembolsa > 50 % de los pedidos, despida al cliente.

9. El panel de revisión humana

No se puede automatizar todo. A veces, el modelo dice “50% de fraude”. Necesitas un humano para verlo. Creamos Paneles de Retool personalizados para equipos de riesgo. Ellos ven:

  • Mapa de IP vs Dirección de Facturación.
  • Búsqueda de redes sociales (automatizada a través de Clearbit).
  • Historial de pedidos anteriores a nivel mundial. Un clic: “Aprobar” (Captures Stripe) o “Rechazar” (Voids Auth). Esto permite a su equipo de CS tomar decisiones basadas en datos.

10. Aprendizaje automático: contracargo frente a venta

Las reglas estándar se comportan como: “Si > €500, entonces bloquea”. ML se comporta como: “Si > €500 Y el correo electrónico contiene números Y la IP es VPN, entonces la probabilidad es del 92%”. Entrenamos modelos personalizados sobre sus datos históricos. Proporcionamos “Devoluciones de cargo” como etiquetas positivas y “Pedidos exitosos” como etiquetas negativas. El modelo aprende patrones que no sabías que existían. “Los pedidos de zapatos talla 11 de Brooklyn a las 2 a.m. son un 80% de fraude”.

11. El triángulo de contracargo

Cuando ocurre una devolución de cargo, tres partes pelean.

  1. El Banco: Quiere proteger al titular de la tarjeta (su cliente).
  2. El Comerciante (Usted): Quiere quedarse con el dinero.
  3. El Esquema de Tarjeta (Visa): Determina las reglas. Para ganar, debe proporcionar “Evidencia convincente” (Visa Compelling Evidence 3.0). Esto implica vincular el historial de transacciones anteriores. “Sí, el usuario X reclamó fraude, pero aquí hay 10 pedidos anteriores de la misma IP e ID de dispositivo”. La automatización del envío de esta evidencia a través de Stripe API aumenta las tasas de ganancia del 20 % al 60 %.

12. Adjudicación de reembolso 2.0

No todos los reembolsos son iguales. Un VIP que devuelve una talla M para comprar una talla L es “Good Churn”. Un nuevo usuario que devuelve una PS5 es “Bad Churn”. Utilizamos Lógica de reembolso basada en el riesgo.

  • VIP: “Reembolso instantáneo” (Dinero en el banco en 5 minutos).
  • Nuevo Usuario: “Reembolso al Inspección” (Dinero en banco en 7 días). Esta fricción desalienta el “Wardrobing” (comprar para un evento y regresar).

13. Fraude de identidad sintética

Esta es la nueva frontera. Los estafadores combinan datos reales (SSN de un niño) con datos falsos (dirección, teléfono). Crea una “identidad Frankenstein”. Los controles tradicionales pasan porque el SSN es válido. Defensa: Biometría del Comportamiento. ¿Cómo escribe el usuario? ¿Copian y pegan el número de teléfono? (La gente real lo escribe). ¿Dudan en el campo “Apellido”? (La gente real no lo hace). Integramos herramientas como Forter o Sardine que analizan los datos de movimiento del mouse/pantalla táctil para detectar estos perfiles sintéticos.

12. ¿Por qué Código Maison?

En Maison Code hemos defendido caídas multimillonarias. Conocemos el pánico de un ataque de “Prueba de tarjetas” a las 3 de la madrugada. No confiamos en la configuración predeterminada de Shopify (que es demasiado vaga). Construimos Motores de riesgo personalizados. Colocamos capas de Cloudflare (red), Shopify Flow (reglas) y ML de terceros (sardina) para crear una “cúpula de hierro” para sus pagos. Nos aseguramos de que mantenga sus ingresos y que su tasa de contracargo se mantenga por debajo del 0,5 %.

14. La anatomía de un probador de tarjetas

La “Prueba de tarjetas” ocurre cuando un robot prueba 10,000 tarjetas de crédito para ver cuáles funcionan. No compran tu chaqueta de 500 dólares. Intentan comprar una pegatina de \€1. Si funciona, venden la tarjeta en la web oscura como “Live”. Impacto en usted:

  1. Tarifas de Stripe: Pagas \€0,30 por cada autenticación fallida. 10.000 intentos = tarifa de \€3.000.
  2. Reputación: Visa marca su cuenta de comerciante como “Alto Riesgo”. Defensa: Captcha al finalizar la compra. Si IP realiza > 3 pedidos fallidos, requiere hCaptcha. Esto acaba con la eficiencia del bot (ROI <0).

15. El protocolo de revisión manual

A veces, la IA no es suficiente. Necesitas un protocolo humano. La lista de verificación para un pedido sospechoso:

  1. Llame al cliente: “Hola, solo estoy verificando el tamaño”. (Si el número está muerto -> Fraude).
  2. Dominio de correo electrónico: john.doe@gmail.com (Normal) frente a af3289@tempmail.com (Fraude).
  3. Prueba social: ¿Existe “John Doe” en LinkedIn en “Miami”?
  4. Street View: ¿La dirección de envío es una casa o una bodega en un parque industrial? Una investigación de dos minutos ahorra €2000.

16. La lista de verificación antifraude (antes del vuelo)

Antes de escalar a €10 millones de GMV, asegúrese de tener estos 20 controles:

  1. CVV Match Enforced: Rechazar si el CVV no coincide.
  2. AVS Match Enforced: Rechazar si el Zip no coincide (Soft Relax para internacional).
  3. Velocity Check 1: Máximo 3 tarjetas por sesión.
  4. Velocity Check 2: máximo 5 pedidos por IP por día.
  5. Velocity Check 3: Máximo de €2000 por pago de invitado.
  6. Antigüedad del correo electrónico: el dominio debe tener más de 30 días (a través de API).
  7. Proxy IP: bloquea las IP de Tor/VPN al finalizar la compra.
  8. Distancia: Alerta si la IP está a > 500 millas de la facturación.
  9. Alto Valor: Revisión manual para pedidos > €1000.
  10. Velocidad de SKU: alerta si se venden 50 unidades de un artículo de alta reventa en 10 minutos.
  11. 3D Secure: habilítelo en alto riesgo.
  12. Validación telefónica: envíe SMS OTP para pedidos sospechosos.
  13. Normalización de direcciones: utilice la API de Google Places para verificar que la dirección existe.
  14. Lista negra: base de datos compartida de estafadores conocidos.
  15. Límite de reembolso: usuario de bloqueo automático después de una tasa de devolución del 30 %.
  16. Alerta de contracargo: utilice Ethoca/Verifi para recibir alertas antes de que se produzca el contracargo.
  17. Capacitación de empleados: el equipo de CS sabe cómo es la “Prueba de tarjetas”.
  18. [] Monitoreo de Webhook: Monitorea order.created para detectar anomalías.
  19. Ghosting: CAPTCHA silencioso para un comportamiento similar al de un bot.
  20. Legal: Borrar los “Términos de servicio” relacionados con la investigación de fraude.

17. Conclusión

El fraude es un costo de hacer negocios. Si su tasa de fraude es del 0%, sus filtros de fraude son demasiado estrictos (está rechazando a buenos clientes). Apunta al 0,5%. Pero nunca dejes que gane el “Cártel”. Automatiza la defensa. Duerme profundamente.

**[Contrate a nuestros arquitectos](/contact)**.