Ha cambiado mucho desde el lanzamiento del primer servicio de pedidos online y entregas a domicilio en 1994. Ahora el sector de la entrega de comida a domicilio global tiene un valor de más de 150 000 millones de dólares. Y se espera que esa cifra supere los 200 000 millones para 2027. El confinamiento, la exigencia de comodidad, la tecnología y la convergencia de las economías bajo demanda y compartidas han impulsado el ecosistema de la entrega de comida a domicilio. Pero este auge en el tráfico lo ha convertido en un objetivo apetecible para los estafadores online.

Casi el 60 % de los negocios de entrega de comida a domicilio afirman que la apropiación de cuentas es uno de sus principales riesgos de fraude. Y alrededor del 70 % ha experimentado un incremento de los ataques el último año. Por desgracia, esta tendencia no es demasiado sorprendente. Al inicio de la pandemia, las menciones en la web oscura de las principales aplicaciones de entrega de comida a domicilio aumentaron un 230 %. Y parece que los estafadores quieren más.

¿Por qué atacan los estafadores las cuentas de entrega de comida a domicilio?

Parece poco probable que los negocios de entrega de comida frenen su ascenso. De hecho, muchos estiman que el problema irá a peor, antes de mejorar. Pero, ¿por qué son las cuentas de los clientes tan susceptibles de ser apropiadas?

La demanda de un recorrido del cliente con menos fricciones hace que los usuarios de las aplicaciones de entrega de comida a domicilio se enfrenten a menos trabas de seguridad. Lo que preocupa es que el exceso de pasos podría disuadir de hacer pedidos a los clientes legítimo. Esto, combinado con la rápida naturaleza de la industria, hace que las cuentas de entrega de comida a domicilio sean una tentación para los estafadores. Una vez dentro, tienen acceso a los datos de las tarjetas de pago, direcciones y los puntos de fidelización que el cliente pueda tener, por lo que a menudo merece la pena.

Los estafadores avariciosos también saben que pueden explotar una seguridad laxa para cometer abusos de los reembolsos. Una de las formas más sencillas de cometer un fraude en los reembolsos es apropiándose de la cuenta de un cliente fidelizado con una gran reputación. Esto es así porque las empresas desean proporcionar a los clientes fiables la mejor experiencia posible. Los estafadores pueden solicitar reembolsos de artículos enviados con el mínimo esfuerzo y utilizar el dinero que se devuelve a la cuenta.

¿Cómo podría la normativa PSD2 alimentar el auge de la apropiación de cuentas?

Como parte de la PSD2, los comercios europeos deben introducir la autenticación reforzada de clientes (SCA, por sus siglas en inglés) o la autenticación de múltiples factores. Esto ha hecho que algunos tipos de fraude sean más difíciles de ejecutar, pero los estafadores siempre están al acecho de nuevas oportunidades.

Explotar las exenciones de la SCA

Existen exenciones a la SCA que puedes usar para ayudar a que haya menos fricción en la experiencia del cliente. Estas exenciones reducen el número de veces que hay que autenticar a un cliente. En el caso de los negocios bajo demanda, en los que la velocidad es una parte crítica del modelo, estas exenciones tienen un gran valor. Pero los estafadores conocen las normativas tan bien como los comercios, o incluso mejor.

Los estafadores son conscientes de qué transacciones son menos propensas a que se les aplique la SCA. Tendría sentido que los comercios de entrega de comida a domicilio intentaran aprovechar al máximo el Análisis de riesgo de transacciones (TRA), los Pagos de bajo valor o las excepciones de beneficiarios fiables. Pero, ¿cuáles son estas exenciones y cómo podrían explotarlas los estafadores?

La exención por TRA se aplica a todas las transacciones que se consideran de bajo riesgo, según una evaluación de TRA. Si esto no es posible, se puede aplicar una exención de valor bajo por debajo de los 30 €. Con los beneficiarios fiables, los clientes pueden hacer una "lista segura" de algunos comercios.

Al apropiarse de la cuenta de un cliente legítimo y fiable, los estafadores podrían beneficiarse del expediente limpio del cliente, siempre que la transacción no parezca claramente algo fuera de lo normal. Si eso no funciona, las transacciones de entrega de comida a domicilio suelen tener un valor bajo. Por ello, los estafadores podrían salir airosos en hasta cinco transacciones antes de que les pidieran autenticarse. O pueden aprovechar la oportunidad que les proporcionen unos clientes hambrientos creando una "lista blanca" de sus apps de entrega de comida a domicilio favoritas.

Las cuentas con un pase libre de autenticación son muy atractivas para los estafadores. A medida que los comercios desarrollan estrategias para librarse de la SCA, podríamos ver un aumento en los ataques de apropiación de cuentas.

Ingeniería social en centros de atención telefónica a clientes

Los estudios han confirmado que los centros de atención telefónica a clientes son un punto débil que se suele elegir para los ataques de apropiación de cuentas y la normativa PSD2 los harán aún más atractivos. Al tener más dificultades de acceso, es probable que los estafadores pongan en práctica tácticas de toda la vida, es decir, explotar el error humano. En el caso de los vendedores de comida a domicilio, posiblemente se trate de los servicios de atención al cliente.

La atención al cliente suele usar una autenticación basada en el conocimiento para dar acceso a las cuentas de los clientes. Mediante técnicas de ingeniería social dirigidas a los agentes de los centros de atención al cliente, los estafadores podrían evitar completamente las soluciones tecnológicas para acceder a las cuentas de los clientes.

Como hemos visto, hay muchos actores sombríos dispuestos a vender información. A partir de ahí, no cuesta nada que un estafador emprendedor manipule a un agente para que le ayude a cambiar la contraseña o dirección de correo de una cuenta de entrega de comida a domicilio.

¿Cómo supervisan los vendedores la apropiación de cuentas?

Nuestro estudio muestra que los vendedores de comida a domicilio son más proclives a rastrear los cambios de correo electrónico y contraseña. Aunque estas actividades pueden activar las alarmas, constatamos que es más probable que los atacantes cambien el número de teléfono que la dirección de correo electrónico. Aproximadamente el 10 % de los atacantes cambiaron la dirección de correo, mientras que el 48 % cambió el número de teléfono. En aproximadamente el 15 % de los ataques, el número de teléfono se cambió dos veces o más, pero solo el 52 % de los vendedores confirmó que rastreaba los cambios de números de teléfono.

En general, el porcentaje de vendedores de comida a domicilio que afirma hacer un seguimiento de cualquier actividad de los usuarios es preocupantemente bajo. Los cambios de contraseña fueron la actividad más monitorizada y solo llegaron al 60 %. Con el auge de la apropiación de cuentas, realizar un esfuerzo coordinado para hacer un seguimiento de estos cambios podría suponer una gran diferencia. Dicho esto, el 80 % de los vendedores de comida a domicilio afirman contar con una herramienta de apropiación de cuentas específica. ¿Pero basta solo con esto?

Por qué la apropiación de cuentas podría ser mortal para el sector si no se controla

Puede que la pandemia haya aumentado exponencialmente la industria de comida a domicilio, pero muchos de los negocios de este sector siguen sin ser rentables. Para los vendedores de comida a domicilio, los principales factores de riesgo relacionados con la apropiación de cuentas son la pérdida de ingresos y las multas asociadas con el robo de datos. Las multas del GDPR y la legislación de protección de datos del Reino Unido y la UE pueden alcanzar los 17,5 millones de libras esterlinas y los 20 millones de euros respectivamente, o el 4 % de los ingresos anuales globales. Por ello, hay que insistir en la amenaza financiera que supone la apropiación de cuentas para los negocios de entrega de comida a domicilio.

Además, la apropiación de cuentas puede estropear rápidamente la relación con sus clientes. Un ataque puede destruir la reputación de tu negocio, sobre todo si las víctimas se quejan públicamente. Debido a la presencia de múltiples actores de gran calibre compitiendo en el mercado de la entrega de comida a domicilio, los titulares sobre el hackeo de cuentas de entrega de comida a domicilio son muy negativos para el sector.

Los estafadores son inteligentes y se adaptan rápidamente, por lo que debe mantenerse al día. La normativa PSD2 protegerá su negocio de distintos tipos de fraude, pero también podría hacer que fuera vulnerable a nuevos y creativos tipos de fraude si se duerme en los laureles. Pequeños cambios, como implementar una base de datos de credenciales hackeadas, ampliar el seguimiento de la actividad de sus usuarios y formar al personal de atención al cliente podrían marcar una gran diferencia. Descubra más información sobre cómo puede proteger las cuentas de sus clientes.