Protección de los programas de puntos de fidelidad contra el fraude: 5 consejos clave

Muchos de nosotros finalmente estamos comenzando a planificar nuestros tan esperados viajes y vacaciones, tal vez la primera oportunidad para una verdadera escapada desde que comenzó la pandemia. Quizás planee canjear esas millas aéreas o puntos de hotel que no ha utilizado durante mucho tiempo y que han acumulado polvo en sus programas de fidelización. Imagínese su sorpresa si descubre que los puntos de fidelidad han sido desviados por ciberdelincuentes que han defraudado o comprometido sus cuentas de fidelidad.

Los programas de puntos de fidelidad existen desde hace tiempo y son una gran herramienta para atraer y retener clientes, pero en este momento estamos viendo un aumento en la cantidad de delincuentes que apuntan a estos programas para comprometer cuentas. ¿La razón? Hay MUCHOS puntos de fidelidad sin usar: Según la Loyalty Security Association, solo en EE. UU. el 45% de las cuentas se consideran inactivas, lo que significa que hay alrededor de 48 billones de dólares en puntos sin gastar en las cuentas de los miembros, en su mayoría sin monitorear y tal vez olvidados. Esto es un imán para los cibercriminales, quienes encuentran que estos puntos descuidados son fáciles de comprometer y monetizar para obtener beneficios personales.

¿Por qué los delincuentes atacan los programas de fidelización?

Para los ciberdelincuentes, comprometer cuentas de puntos de fidelidad es algo muy fácil de lograr. Aunque estas cuentas pueden contener miles de dólares de valor, la mayoría de los consumidores no las monitorean tan de cerca como las cuentas financieras de un banco o institución financiera. Muchas cuentas están protegidas con un simple par de nombre de usuario y contraseña, y dado que muchos consumidores reutilizan contraseñas, a los delincuentes que usan credenciales robadas les resulta relativamente sencillo usar ataques de bots automatizados para realizar credential stuffing en cuentas de fidelidad. Una vez que controlan los puntos, los delincuentes pueden retirarlos, canjearlos por artículos imposibles de rastrear, como tarjetas de regalo, o vender los puntos por valor monetario en la red oscura, todo ello con bajo riesgo para los estafadores. Además, los delincuentes saben que comprometer cuentas de fidelidad puede traer no solo ganancias financieras a corto plazo sino también acceso a datos e inteligencia para otras actividades fraudulentas, incluido el robo de identidad utilizando información personal identificable, datos de viajes y estadías, patrones de compra y más.

De hecho, no son sólo los ciberdelincuentes los que debemos tener en cuenta. A continuación se presentan tres tipos de fraude de fidelidad que debe tener en cuenta:

• La doble caída: Esto ocurre cuando los miembros legítimos defraudan al programa mediante una “doble inmersión”, es decir, canjeando puntos simultáneamente por teléfono y en línea. O bien, los miembros pueden asociar su número de cuenta de fidelidad a una compra que no realizan y acumular puntos de forma fraudulenta. Los miembros también pueden realizar compras para generar grandes cantidades de puntos de recompensa y luego cancelar la transacción, pero no antes de canjear los puntos por premios en efectivo. Además, los consumidores legítimos y los miembros leales también pueden abusar de las políticas o la lógica empresarial manipulando lagunas en los programas. Los ejemplos incluyen compartir cupones o códigos promocionales, violar las políticas del comerciante o registrarse en numerosas tarjetas de crédito vinculadas al mismo programa de recompensas para obtener recompensas ilegítimamente.
• El trabajo interno: Esto ocurre cuando el fraude involucra a personas internas o empleados de su organización. Pueden manipular el programa de fidelización haciendo cosas como asignar puntos no utilizados o no reclamados a una cuenta de miembro diferente o transfiriendo puntos fraudulentamente entre cuentas.
• El cibercriminal: Con diferencia, la mayor fuente de fraude en programas de fidelización es el ciberdelito, y la explotación más común implica la apropiación de cuentas (ATO) a través de herramientas automatizadas como el credential stuffing, el secuestro de formularios o el phishing simple para obtener acceso a puntos acumulados e información de tarjetas de crédito almacenada. El credential stuffing implica que un actor malicioso pruebe una gran cantidad de credenciales comprometidas (como nombres de usuario y contraseñas obtenidas de otro sitio) contra el inicio de sesión de otro sitio. Y como las personas reutilizan contraseñas en múltiples cuentas, estas tácticas pueden ser notablemente exitosas para desbloquear cuentas de fidelidad, lo que permite a los atacantes tomar control de la cuenta cambiando nombres de usuario y contraseñas. El formjacking abre otras vías para que los piratas informáticos se apoderen de las cuentas e implica secuestrar formularios web de programas de fidelización para recopilar y transmitir datos a medida que los consumidores completan su información personal. Esto le entrega al atacante las llaves de la cuenta, quien puede saquear los puntos a su antojo o usar la cuenta para otros propósitos nefastos.

Defensa y protección de los programas de puntos de fidelidad

Proteger a sus clientes y su programa de fidelización de actividades fraudulentas es fundamental, ya que, si no se abordan adecuadamente, pueden dañar gravemente la confianza del consumidor y la reputación de la marca.

Sin embargo, las defensas cibernéticas tradicionales ya no son lo suficientemente poderosas para disuadir ataques sofisticados a los programas de fidelización. Las protecciones obsoletas y las políticas innecesariamente restrictivas vinculadas a tiempos de espera de sesión cortos, bloqueo geográfico, autenticación multifactor y obligar a los miembros a resolver CAPTCHAs pueden frustrar a los usuarios y se eluden fácilmente.

Con solo gastar unos pocos dólares, los atacantes pueden incorporar servicios de resolución de CAPTCHA de bajo costo para eludir las defensas básicas de los bots y pueden comprar listas de credenciales de mayor fidelidad para objetivos geográficos específicos. Las organizaciones criminales pueden cambiar rápidamente de tácticas y metodologías cuando los defensores intentan prevenir sus actividades, y mantenerse a la vanguardia de los atacantes se convierte en un problema casi insuperable sin herramientas especializadas y equipos de seguridad dedicados.

5 mejores prácticas para proteger su programa de fidelización contra el fraude

Los programas de fidelización recompensan a los clientes más valiosos de su empresa y lo ayudan a construir relaciones más sólidas con sus clientes. Ante los crecientes ataques, proteger estos programas y las recompensas para los clientes que mantienen es más importante que nunca. Las siguientes cinco prácticas recomendadas pueden ayudarlo a concentrarse en abordar los escenarios de ataque más comunes, sin sobrecargar indebidamente a los miembros legítimos al tener que monitorear o canjear puntos.

1. Prevenir fraudes en cuentas nuevas. El fraude de cuentas nuevas implica que un estafador crea cuentas de fidelidad, a menudo a gran escala, utilizando identidades robadas, sintéticas o falsas. Aprovechando estas cuentas fraudulentas, los delincuentes pueden acumular y revender puntos y abusar de los programas de canje. Asegúrese de que su solución de ciberdefensa pueda detectar si los atacantes intentan crear múltiples cuentas falsas utilizando herramientas automatizadas o técnicas manuales sofisticadas.
2. Mitigar los esfuerzos de apropiación de cuentas. Asegúrese de que sus defensas puedan detectar intentos de apropiación de cuentas por parte de delincuentes que intentan robar puntos o explotar datos personales guardados de los clientes. Sus defensas deben poder adaptarse a los cambios en los patrones de ataque y reestructurarse en tiempo real. Supervise el tráfico del programa de fidelización para comprender los patrones de entrada utilizando señales de telemetría para detectar comportamientos anómalos y así poder determinar si el tráfico proviene de bots maliciosos o humanos.
3. Proteger las transacciones de retiro de premios. Asegúrese de que los canjes de recompensas de fidelidad y los pagos de tarjetas de crédito vinculadas a la cuenta sean legítimos determinando con precisión la confiabilidad de cada transacción y la identidad del cliente asociada a ella. Defienda su programa con herramientas que utilizan inteligencia artificial y aprendizaje automático para monitorear el comportamiento de las transacciones y emplean autenticación adaptativa, que selecciona el proceso de autenticación apropiado en función del riesgo que presenta el intento de inicio de sesión. Por ejemplo, pueden requerirse mayores desafíos de seguridad para actividades de alto riesgo, como cambiar contraseñas o retirar grandes cantidades de puntos.
4. Monitorizar el abuso de políticas. Asegúrese de tener prevenciones establecidas para limitar las pérdidas financieras debido a la explotación o manipulación de cupones y promociones, descuentos o bonificaciones por referencias evaluando la confianza en cada punto de interacción.
5. Comprender las amenazas internas . Los programas de fidelización también son susceptibles a amenazas internas. Asegúrese de realizar un seguimiento y medir las actividades del personal del sitio para monitorear anomalías y limitar el acceso de los empleados a los datos del programa de fidelización.

Ayude a sus clientes a evitar el fraude de puntos de fidelidad

Además de proteger su programa de fidelización y sus activos, ayude a los miembros de su programa a defender sus puntos y recompensas del fraude compartiendo los siguientes consejos:

• Los miembros deben supervisar sus programas de fidelización al igual que otras cuentas financieras. Los programas de fidelización pueden contener miles de dólares de valor, por lo que sus clientes deben revisar sus cuentas periódicamente para asegurarse de que no hayan sido manipuladas.
• Aproveche las opciones de seguridad mejoradas. Si está disponible, anime a los miembros a utilizar funciones de seguridad adicionales como la autenticación multifactor. Cada capa adicional de seguridad hace que sea más difícil para los estafadores comprometer una cuenta.
• Tenga cuidado con los correos electrónicos de promoción de viajes y las publicaciones en las redes sociales . Eduque a sus clientes sobre cómo y dónde comunicar promociones. Asegúrese de que comprendan que las ofertas de viajes que parecen demasiado buenas para ser verdad probablemente lo sean. Es probable que las ofertas y promociones por correo electrónico no solicitadas que aparecen en su feed sean intentos de phishing diseñados para robar datos personales, incluidas credenciales de inició de sesión y números de tarjetas de crédito. Antes de responder y proporcionar cualquier información, los miembros deben confirmar que la dirección de correo electrónico del remitente sea legítima o comunicarse directamente con el programa de fidelización (no a través del correo electrónico o la publicación en las redes sociales que recibieron) para asegurarse de que la oferta o solicitud sea auténtica.  

F5 se enorgullece de ayudar a las organizaciones a defenderse contra el fraude en sus programas de fidelización.

Descubra cómo F5 continúa protegiendo a muchas organizaciones de ataques automatizados y actividades fraudulentas que pueden dañar las marcas al apuntar a las cuentas de los miembros para obtener valiosos puntos de recompensa y millas. Lea esta historia de un cliente para conocer cómo Distributed Cloud Bot Defense ayudó a una importante aerolínea mundial a detener ataques automatizados a sitios web que habían comprometido sus cuentas de viajeros frecuentes.

Explore las formas en que podemos ayudarlo a garantizar que los puntos de fidelidad, los valores de las tarjetas de regalo y otros valores almacenados permanezcan en manos de sus clientes, y no de los delincuentes, visitando: https://www.f5.com/solutions/ecommerce