Es la tercera vez que nos pasa en un año y dudo mucho que a nadie más le esté sucediendo. Tenemos varias tiendas en internet y si nos ha pasado en todas puedo arriesgarme a afirmar que le pasa a todos los vendedores online. Lo que me pregunto es ¿por qué casi nadie habla de ello? ¿Miedo? ¿Pudor? ¿Desconocimiento? Por suerte nunca nos ha afectado económicamente porque desde el principio lo hemos detectado y hemos actuado conforme a un método que os explicaré a continuación.
¿Cómo se detecta un pedido fraudulento en la tienda online?
Realmente es muy fácil. Casi todos siguen el mismo patrón.
* La tarjeta es de EEUU o de Canadá.
* El pedido suele ser de un importe alto y de varios artículos.
* Los artículos que se piden no suelen ser los que habitualmente más se venden.
* El nombre del comprador tiene pinta de americano.
* El correo electrónico del comprador suele ser de yahoo, hotmail o similar y no tiene relación alguna con el supuesto nombre del comprador.
* Si miras en google maps la dirección de entrega verás que suelen ser calles poco transitadas, pasajes o casas bajas y generalmente de poblaciones poco concurridas. (Luego entenderás por qué).
* Si tienes la opción de envío urgente, aunque este tenga un coste elevado, siempre te harán el pedido con dicha opción. Así, si tu banco detecta el fraude al día siguiente tu ya has enviado el producto.
* Si recibes más de un pedido el mismo día podrás comprobar que suelen ser todos desde la misma ip, aunque la dirección de entrega de cada pedido sea diferente e incluso en diferentes ciudades.
* Y la más chocante de todas, si les llamas por teléfono para confirmar los datos comprobarás que tienen acento como de un idioma o dialecto sudafricano aunque el nombre parezca americano.
Y te preguntarás, “si yo tengo activado el 3DSecure, ¿me pueden colar un fraude?”. Pues si, porque dicho sistema no le pide el pin securizado a las tarjetas de EEUU ni a las de Canadá (no he podido comprobar si a otras tampoco se lo pide).
¿Y cómo actúan estos amigos de las tarjetas de crédito ajenas?
Pues voy a contar lo que deduzco por las veces que me ha pasado y por lo que he investigado por mi cuenta, ya que nadie, ni siquiera la policía, me lo ha sabido/podido/querido explicar.
El comprador debe tener varias tarjetas porque de repente te llegan varios pedidos que el sistema del banco deniega. Y si no compruebas el “modus operandi” que te he contado arriba puedes pensar “joder, otro comprador que no se aclara con el puñetero 3DSecure“.
La cuestión es que, de repente, uno de esos pedidos entra con operación aceptada. Si no te fijas en los datos que te he dado antes y entregas la mercancía el ladrón sabrá que tu tienda es vulnerable y que tu eres confiado. Automáticamente en los días posteriores recibirás una buena cantidad de pedidos similares ya que se habrá corrido la voz entre la “supuesta red” de mafiosos (porque estoy seguro que es una red y no un hecho aislado).
Y un buen día el banco te llamará y te dirá que le han dado el toque “los de arriba” porque te están comprando con tarjetas robadas. Muy probablemente hasta te pidan que devuelvas el dinero a pesar de estar cubierto por el seguro del 3DSecure. En el mejor de los casos te desactivaran la posibilidad de aceptar pagos de tarjetas de EEUU o Canadá y te restringirán a 3 accesos al TPV por ip. Lo cual, en lugar que ayudarte, aún limita más tus probabilidades de venta.
Y te preguntarás “¿voy a la Policía?”. Puedes intentarlo pero no vas a conseguir gran cosa por muchas razones que la Policía te va a explicar:
* Te preguntarán “¿Por qué dice usted que la tarjeta era robada?” Y cuando le digas que es porque te lo ha dicho el banco te preguntarán si tienes pruebas de ello, con lo que se te quedará cara de gilipollas.
* Te dirán que aunque ellos vayan a la casa del “susodicho”, no tendrán la posibilidad de entrar a hacer un registro, además te explicarán que al ser calles poco concurridas o casas bajas puede que el receptor del paquete esté esperando en la puerta de la calle a que venga la agencia para decirle al transportista “¿busca usted al señor”? para decirle que es él. De esta manera el que vive en esa dirección es ajeno a toda esta movida. Además la agencia no va a comprobar el DNI del receptor.
* Te argumentarán, tal vez con razón, que tu falta de pruebas hará que prevalezca siempre la presunción de inocencia.
* Además, si el importe es bajo te van a decir que cuando tengas un importe mayor que vuelvas porque no pueden hacer nada.
Bueno ¿y qué hacer en estos casos?. Seguir estos pasos:
1) Imprimir el pedido en el que aparezca la ip de la conexión.
2) Hacer una llamada al supuesto comprador, con la excusa de agradecerle la compra, para comprobar su acento.
3) Mandarle un mail diciendo que por favor te confirme que la dirección de entrega es válida. A este correo te responderá y podrás imprimir el que tu le envías y el que él te responde. Siempre imprímelo con las cabeceras del correo en el que aparecen los datos técnicos de la conexión e ip desde la que te responde.
4) Luego le mandas otro mail pidiéndole fotocopia del DNI de la persona que ha PAGADO, explicándole que al tratarse de una tarjeta de fuera de la Comunidad Europea, necesitas comprobar la identidad del comprador (Ley que te sacas de la manga del Mar Menor porque tu lo vales). A este correo ya no te va a responder, porque no tendrá el DNI (y si lo tiene es falso). Por tanto imprime el mail que le has mandado y si te responde con DNI falso lo imprimes también. Es importante que en estos mails que mandes siempre hagas referencia al número de pedido, nombre del comprador, importe, etc.
5) Ahora manda un mail al banco (siempre por escrito), y diles que has recibido un pedido (también con todos los datos posibles) y que quieres comprobar si es válido a pesar de que ha pasado las política de seguridad del 3DSecure. Es importante que recalques esto porque, como podrás imaginar, tanto tu correo como la respuesta del banco la vas a imprimir. Asombrosamente el banco te va a decir que no hay problema, que como su sistema de seguridad es tan “chaci piruli y no se lo salta un torero” que el pago es bueno y que envíes la mercancía. Perfecto, no insistas.
6) Aunque el pedido no sea de mucho importe NO entregues la mercancía NI DE COÑA, y guarda ese dinero por si el banco te lo reclama en algún momento.
7) Si el comprador no te ha mandado el DNI y te reclama el pedido le pides de nuevo el DNI. Si te lo mandó, para asegurarte de que no es falso pídele más documentos. Al final se cansará. Si fuera un comprador real, cosa que dudo, siempre estás a tiempo de retroceder el cargo desde el propio TPV.
¿Sabes que pasará si haces esto? NADA. el banco no te reclamará el dinero y si te lo reclama se lo devuelves porque lo tenías guardado para ello. El comprador nunca te reclamará porque sabe que es un delito y tu no habrás perdido la mercancía. Eso si, los pedidos de fraude no te lloverán porque el “caco” se habrá dado cuenta de que sabes de qué va la fiesta.
Ahora solo queda esperar a que un día te cuelen un pedido más gordo o varios de estos para ir a la Policía con toda la documentación y un gran importe que les haga moverse.
Si te quieres divertir busca en Google los números de teléfono de los compradores o las direcciones de entrega que te ponen. Yo he llegado a descubrir que una de esas direcciones era un piso que estuvo en alquiler y he conseguido el teléfono del dueño. Le he llamado y me ha confirmado que hacía unos días había entrado a vivir “una persona de Nigeria o de por ahí” (palabras textuales). Con lo que a imprimir Google maps y el anuncio del alquiler con el teléfono del dueño.
Ya sabes, cuantas más pruebas y documentación tengas mejor que mejor.
¿Que hacer cuando te llegan más pedidos a partir de ese o pedidos más gordos?
Pues que a partir de ese momento (1.000 o 2.000 euros) ya es hora de cambiar un poco la estrategia y de dar un paso más.
8) Todo lo demás igual, pero al banco le vas a insistir cuando te diga que el pedido es bueno. Entonces le llamas y le dices que estás seguro de que es un fraude pero que tienes que asegurarte antes de ir a la Policía.
9) El banco, después de varias llamadas a su departamento de fraudes te llamará y te dirá que efectivamente “PARECE que es fraude” y que por motivos de seguridad no entregues el pedido y que te van a restringir la tarjeta como dije más arriba. Pero te lo dirá por teléfono, no por mail.
10) Ahora pídele que te diga esto por mail y recálcale que vas a denunciar el caso a la Policía, que tienes toda la documentación y que solo te falta la “prueba” del banco diciendo que ellos afirman que el pago es fraudulento. Sin ese dato no llegarás a nada en la denuncia porque solo el banco puede asegurar eso y si la Policía no tiene esa información por escrito siempre prevalecerá la presunción de inocencia.
11) Si no te lo dan por escrito no hagas nada, solo esperar a que lo hagan porque tarde o temprano te reclamarán el dinero que tu tienes reservado para ese momento.
12) Cuando lo hagan, ya sea decirte por escrito que es un fraude, o te reclamen el dinero, entonces es cuando empiezas el trámite en la Policía.
13) Solo una cosa más. La Policía te preguntará que a cuanto asciende el “daño” que te han hecho y que entregues documentación de que has hecho la entrega del producto con albaranes firmados de la agencia de transporte. Tendrás que explicar toda la fiesta desde el principio y te recomiendo que la lleves muy bien redactada, cronológicamente y con toda la documentación muy clara, para que no se pueda mal interpretar. Si no lo haces así el Policía puede interpretar que si no hay daño no hay delito y que si tu no has perdido la mercancía y encima tienes el dinero en tu cuenta, a lo mejor el que ha cometido el delito eres tu. Por eso es importante que tengas toda la documentación, que sigas estos pasos y que avises al banco en todo momento de que sospechas que es fraude.
A partir de este momento tienes que hacerle ver a la Policía que el daño que te produce es importante. El banco te está restringiendo cada vez más tu TPV. Todo esto te está ocasionando una carga de trabajo extra. Además afecta al sector en general. Y lo más importante, si no hubieras pasado por esto antes o no hubieras leído este post podrías haber perdido mucho dinero por el fraude.
Es importante que le hagas ver que todo esto es una red de estafadores y que deben investigarlo y frenar el fraude. Si no fuera una red no seguirían los mismos patrones y no se producirían varios pedidos desde la misma ip hacia direcciones diferentes.
Todos estamos obligados a frenar esto y a acabar con el fraude. Bastantes trabas tenemos ya con el comercio electrónico como para que encima estemos expuestos a estas historias.
Al final el único perjudicado es el seguro de VISA, porque el pobre hombre al que le han duplicado la tarjeta, el americano de turno, denunciará a su banco, este verá que es un importe pequeño y se hará cargo el seguro.
De esta manera la red de fraude seguirá creciendo y cuanto más crezca el comercio electrónico más crecerá el fraude porque más comerciantes novatos vivirán esta aventura.
Chicos, mucha suerte con vuestras ventas online y sobre todo con vuestros fraudes. Eso si, deseadme suerte para que no venga la mafia a por mi cuando lean este artículo jejejeje.
Ahhh, y tened cuidado a quién dejáis vuestras tarjetas de crédito y pensad que el que recibe los paquetes comprados con tarjetas robadas, a lo mejor es un destinatario engañado para ser el puente entre el delito y el ladrón.
Eso si, siempre denunciadlo a la Policía, es la única forma de intentar acabar con esto.
¿Conoces nuestro Plan de Mejora Continua para ecommerce desarrollado por Kuombo? Si tienes una tienda online no te lo pierdas y contacta con nosotros.
¡Hola a todos!
Muchas gracias por el post Javier. La verdad es que es muy necesaria la difusión sobre esta temática para ayudar tanto a los futuros emprendedores como a aquellas personas que ya llevan tiempo en el ámbito del comercio online.
Me han parecido muy útiles los tips que das en el inicio para poder detectar de un modo rápido posibles defraudadores ¡Ya que es mejor prevenir que curar!
Para aportar mi granito de arena, pongo a conocimiento de aquellas personas que estuvieran interesadas en minimizar sus riegos en sus tiendas e-commerce un curso online gratuito acreditado: “Fraude online: control y gestión de riesgo en tu ecommerce”
El link para acceder al mismo es: http://open.iebschool.com/cursos/fraude-online-control-gestion-riesgo-ecommerce/
Un saludo.
Elena.
Hola!
Buscando información para un artículo sobre fraude, tipos de fraude y cifras, di con este post. ¡Tremendo repositorio de experiencias!
Estoy totalmente de acuerdo en que el fraude es una lacra para el desarrollo del comercio electrónico y que es necesario denunciar y dar con soluciones que disuadan a los defraudadores, los frenen o los delaten.
Trabajo en una operadora de telecomunicaciones que ofrece servicios de certificación de e-mails y sms, es decir da valor a estas comunicaciones como prueba documental. Este año, se ha incorporado un servicio de validación de documentos de identidad (hay unos cuantos países) y de certificación de envío de la documentación.
No me tomen por oportunista, pero me pareció que podría serles útil conocer este tipo de servicios, ya que los pasos que propone Javier son uno de los posibles circuitos de certificación a seguir, de manera que todo quede unido, atado y bien atado en una cadena de evidencias electrónicas para su denuncia y defensa.
Por otro lado, en el caso del fraude amigo, que alguno mencionó, me consta que hay clientes que están enviando e-mails certificados o sms certificados para confirmar las compras a todos los clientes (incluso a los “buenos”) porque se están encontrando con extrañas devoluciones de clientes habituales.
Les dejo un link por si quieren echarle un ojo a lo que les cuento: https://www.lleida.net/es/stamp-id (además, ahora estamos con una campaña muy chula de Caperucita y un lobo defraudador para explicar estos casos).
Espero haberles sido útil.
Un saludo,
Elena
Hola a todos, muy buen post, les platico mi caso desde un e-commerce en México, donde apenas es una novedad esto del comercio electrónico, el caso es que se nos presentan casos con todos los patrones que vemos aquí, primero una compra que te parece sospechosa pero no tienes manera de comprobar, la surtes y después te llegan montón de ordenes, el caso aquí es que el sitio tiene 3D secure y las tarjetas extranjeras bloqueadas y aun así las transacciones son autenticadas, las transacciones van desde $1000 hasta $3000 euros, ya suman mas de $30,000 euros y van desde febrero a abril, no ha habido reclamos de ningun lado, ni del banco, ni de los clientes, he dejado de surtir alguna que otra para esperar un reclamos pero nada, los patrones son los de un fraude, el banco dice que como estan autenticadas con 3D secure no me preocupe,que mande la mercancía, pero que tan cierto es que estoy protegido?, sera real que toda la responsabilidad cae en el banco emisor y el cliente? estaran lavando dinero? me caira la chaira por $30,000 euros?
Genial post, pues yo hablare de paypal, la cual te deja con el culo al aire en cuanto puede. Siempre le da la razón al “cliente”, ya le puedes presentar la documentación que le presentes, recibos, albaranes de entrega, lo que sea, te quitan el dinero de tu cuenta. Por esto diariamente sacamos el dinero de la cuenta de paypal, Nunca tenemos dinero disponible, para que así no nos puedan quitar nada.
Buenos Días,
Antes de nada agradecer a Javier el fabuloso artículo y a todos los que habeis aportado vuestros comentarios porque me habeis librado de una buena. Leyendo el artículo me he dado cuenta de que han seguido con mi tienda online el mismisimo patrón paso a paso…
Lo mío comenzó hace un par de días. Sábado por la noche: empezaron a llegarme correos electrónicos de mi TPV avisándome de intentos de compra fallidos. Desde el programa de seguimiento de mi web pude ver que se trataba de una IP de Alicante, me resultó raro que al acceder a la web el cliente hubiese buscado poco entre todos los artículos que tenemos y práctimamente hubiese ido a tiro hecho al carrito… pero… “será un cliente con las ideas muy claras” pensé. También llegué a pensar que era un cliente muy torpe, al no ser capaz de realizar una compra con tarjeta, y ya puestos.. pensé también que podría ser problema de mi TPV que estuviera sufriendo algún tipo de problema.
El cliente, que ya estaba registrado de unos días atrás en mi web con un nombre americano, logró comprar a la mañana siguiente…. Domingo por la mañana: hizo dos pedidos (un portátil y un móvil libre), pero fueron independientes, uno tras otro, con lo cual volví a pensar que era muy tonto poque esto le generaría doble gasto de envío (lo que no había caído yo en ese entonces es que el tonto era yo!!).
Domingo por la tarde: siguieron intentando comprar desde la misma IP de Alicante, esta vez se registró una chica de nombre americano y mismo apellido que el anterior. Ella logró comprar el mismo portátil que el que yo pensaba que era su “hermano”.. que le habría contado la ganga que encontró por internet!! esta vez el envío iba para Zaragoza, con lo cual, todo respaldaba la supuesta historia familiar que yo me había montado en la cabeza.
En total habia logrado vender en un domingo 1000 €… genial!! El lunes, super contento, una vez comprobado que no había nada raro y que el dinero estaba en mi cuenta, avisé a los proveedores para hacer el envío. En mi cuenta de TPV pude ver que las tarjetas de pago eran de EEUU, con lo que eso explicaba los problemas al pagar.. según creí. Tuve que llamar a la clienta, porque se había dado de alta tan mal, que el apellido no me sonaba “normal” (si..si… tardé en darme cuenta):
– “Hola buenos días, Marisa??”
– “Ehhh… como??”
– “Es usted Marisa??”
– “Ehhh… si..si…soy yo”
(El acento era extranjero.. yo no diría sudamericano, sino ruso americanizado..”
– “Le llamo en relación a un pedido on line que realizó usted ayer… era para comprobar su nombre y apellidos para hacerle la factura correctamente…”……….. “Hola???” …… hola???
– SE CORTA –
Segunda llamada:
– “Hola Marisa…”
– “Sí… es que es mi movil que tiene problemas…”
– “Vale… mire, que si me puede decir su apellido para la factura..”
– “Si, mi nombre es Pedro, Marisa Pedro”
Entonces… el apellido del registro estaba bien, pensé yo…
Ese mismo lunes, pude ver que seguian entrando desde esa IP de Alicante y de hecho se registró otro señor con nombre americano… El lunes al medio día vendí otro portátil y ya me empecé a mosquear (a buenas horas..verdad??) … Revisé que el precio del artículo y todo estuviese correcto. El portátil nuevo iba para Cartagena con lo cual… IP igual.. qué podría ocurrir?? serían de una misma compañía y de ahi la misma IP?? Una compañía americana en España… pero claro… de repente a todos les hacia falta un portátil??..o sería que la compañía estaba renovando equipos… Empecé a fijarme en detalles:
– Ya tenía la IP coincidente en todos los casos
– Todos eran nombres americanos
– Todos tenían correo electrónico “yahoo”
– Pese a tener nombre americano su correo electrónico era con nombre español o mezcla español-ingles.
– Algunos se habían dado de alta con nombre masculino y su correo era con nombre femenino o viceversa..
En esas mientras, lunes por la tarde, se dio de alta otro usuario y respondía a la misma descripción: nombre americano, correo yahoo… y MISMA IP!!!, Éste señor, “John Kelly”, puso dirección de Parla… Otra vez comenzaron a llegarme correos de TPV erróneos, pero no logró comprar.
El lunes por la noche (anoche) super mosqueado con el tema, comencé a buscar a los presuntos individuos en facebook a ver si encontraba algo relevante, pero nada. También estuve introduciendo en google diferentes combinaciones de sus nombres y sus correos.. y cuando estaba a punto de abandonar, dí con algo que me moosqueó aún más… Encontré en Parla un Locutorio que se llamaba cómo????.. pues sí señores… Locutorio John Kelly.. Buffffff….
Seguí insistiendo en google hasta que la 1:00 de la mañana dí con esta web y este artículo. Y me sentí identificado con todo paso a paso… y me sentí también muy tonto, pero muy afortunado de haberlo encontrado a tiempo.
Hoy Martes después de pasar una mala noche, y después de lograr parar los pedidos (lo primerisimo), me he puesto enseguida a escribiros mi historia por si con ella puedo ayudar a que otros novatos como yo den con este artículo y no caigan en la trampa. Como dije al principio, muchisimas gracias a Javier, y muy especialmente también a Jose de Starfruit Computers, que es el chico que escribió el comentario anterior, y que inluyó en el el correo electrónico de uno de los “listos”, por el que vine a dar con este blog y éste artículo.
Quiero ayudar a que otros den con este enlace como lo hice yo, por eso a continuación pondré todos los nombres y correos de que dispongo… :
IP: 83.39.187.74 Alicante (Comunidad Valenciana)
Samuel Pedro ………. sampedz30@yahoo.com
Marisa Pedro ………. p_xavi@yahoo.com
James Joe …………… james.carlos26@yahoo.com
Daniel Cook ………… carolinac92@yahoo.com
John Kelly …………… jose.carlos27@yahoo.com
Gracias, Jose.