Sin seguridad en los pagos en línea, podrías estar contribuyendo a un programa de armas nucleares.
¿Te parece una locura? Piénsalo de nuevo. Si alguna vez has sido víctima de una estafa cibernética, hay muchas posibilidades de que el dinero robado haya terminado en Corea del Norte.
Mientras los medios publican historias jugosas sobre super hackers y ciberespionaje, los riesgos cotidianos para las empresas en crecimiento son mucho más aburridos: los ciberdelincuentes buscan dinero.
A veces, roban secretos que pueden convertir en dinero: propiedad intelectual, puntuaciones de crédito o datos de tarjetas de crédito.
A veces, secuestran empresas y piden un rescate.
La mayoría de los delitos cibernéticos comienza engañando a las personas y extrayendo efectivo; por eso necesitas una seguridad sólida en los pagos en línea, hoy más que nunca.
La AFP, el FBI y Verizon ofrecen interesantes informes anuales desde hace años, en los que muestran el aumento de la amenaza para las empresas. Todos pintan el mismo escenario: los delitos más comunes son estafas y robos, muchos de los cuales causan daños considerables a las empresas afectadas, y el riesgo crece cada año.
El CFO moderno asume cada vez más responsabilidades: KPIs organizacionales, planificación estratégica e incluso la gestión de riesgos de toda la empresa. ¿Cómo equilibras todo esto y aseguras tu negocio con la misma plantilla y presupuesto de antes?
Describiré las formas más rápidas, fáciles y eficaces de abordar el mayor riesgo cibernético en los negocios: hacer pagos en línea. Comienzo con estrategias tecnológicas y luego paso a los pagos.
¿Vale la pena la tecnología de seguridad?
Si buscas en Google “seguridad de pagos en línea”, normalmente te encontrarás con listas de los 10 mejores consejos que se parecen mucho a los consejos de seguridad de los últimos 20 años: contraseñas difíciles, autenticación multifactor (MFA), cifrado, antivirus (AV), cortafuegos y similares.
Estas listas provienen de una filosofía de defenderse y evitar culpas. ¿Quién puede recordar contraseñas largas, complicadas y completamente únicas para cada sistema que utiliza? Técnicamente te protegería, pero sobre todo permite al asesor de seguridad decir “¡Te lo advertí!” con la seguridad de que su consejo no se siguió.
Además, los cortafuegos, la autenticación multifactor y el AV ya no son lo que eran hace 15 años. Hoy, los entendidos dicen que una defensa tecnológica sólida está impulsada por XDR y federada en la nube con WebAuthN y un SIEM con IA. O algo así; cambiará para 2026, lo prometo.
¿Qué falla con un checklist tecnológico?
Envejecen demasiado rápido. Hoy en día todo viene cifrado, el antivirus gratuito y predeterminado es igual o mejor que las alternativas comerciales, la autenticación multi-factor tradicional es fácilmente esquivable, y la identidad de confianza cero en gran medida ha reemplazado la necesidad de cortafuegos.
Tres principios de seguridad que seguirán funcionando
Hay tres principios que han resistido el paso del tiempo y siguen siendo efectivos cuando se trata de proteger la tecnología: Delegación, Proceso y Medición.
1. Delegación
Las empresas de todo el mundo se han dado cuenta de que la estrategia de TI más segura, resistente y económica es hacer menos TI. Migrar a plataformas de Software como Servicio (SaaS) es la opción más popular: elimina casi toda la tecnología. Utiliza un proveedor externo de servicios de TI para gestionar las medidas de seguridad en todo lo que no puedas eliminar.
2. Proceso
Tu mayor fortaleza y debilidad son las personas. Identificar, optimizar y proteger las actividades riesgosas suele ser la forma más sencilla y efectiva de mejorar la seguridad general. También ayuda a que los técnicos prioricen: proteger tu ERP es mucho más importante que la aplicación de diseño gráfico.
3. Medición
¿Cómo te aseguras de que quienes delegas realmente te están protegiendo? ¡Delega esto también! Hay formas gratuitas y sencillas de medir la seguridad en los pagos en línea de una plataforma, y siempre estarán actualizadas. Esto generalmente toma 20 minutos de búsqueda en Google: definitivamente vale la pena para productos importantes.
- Busca antecedentes de violaciones de seguridad y filtraciones de datos en la empresa del proveedor.
- Búscalos en una plataforma de calificación de seguridad. SecurityScorecard y RiskRecon tienen una versión gratuita.
- Verifica si tienen un programa de recompensa por errores; esto es una buena señal. Bugcrowd, Synack y Hackerone son plataformas comunes.
Si necesitas mayor precisión, muchos asesores de seguridad tecnológica pueden realizar una evaluación más profunda por una tarifa razonable. Ten en cuenta: la medición no es una actividad de una sola vez. A medida que las empresas cambian, su seguridad también puede hacerlo.
Pagos
Pagar a los proveedores es una negociación: algunos métodos te favorecen a ti o a ellos. La mayoría de estas consideraciones no están relacionadas con la seguridad: pagar con cheque y exigir condiciones NET30 te ofrece mejor control del flujo de caja. La comodidad de las tarjetas de crédito impone un costo importante a tu proveedor. Son factores relevantes y ampliamente discutidos.
Hoy explico cómo esas opciones de seguridad en pagos en línea impactan tu riesgo de fraude. Clasifico los principales métodos de pago en línea según el riesgo para ti, explico por qué y propongo las mejores formas de reducir ese riesgo.
Tarjetas de crédito
Riesgo: Mínimo
Los pagos con tarjeta de crédito son consistentemente la forma más segura de pagar cosas. Casi todos los emisores cubren completamente el fraude, incluso hasta un año más tarde, sin hacer preguntas. Aún mejor, como esas empresas tienen ese incentivo, invierten mucho en la detección de fraudes en nombre de sus clientes. Esto puede variar en calidad según la institución, pero a menudo es mejor que cualquier cosa que puedas comprar.
Los datos de las tarjetas suelen ser robados, ya sea mediante la alteración de un sistema de punto de venta (llamado skimmers) o robando todo de un sistema de procesamiento de pagos centralizado. Este robo está disminuyendo cada año a medida que el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago endurece sus exigencias a cualquier empresa que procese tarjetas de crédito.
La desventaja es el costo para tus proveedores: la mayoría de los procesadores de tarjetas cobran una comisión del 2,7% en cada transacción, aunque el procesamiento en volumen permite descuentos de hasta el 1,5%. Esta comisión financia principalmente la cobertura contra el fraude y los beneficios de las tarjetas.
Protección
Usa tarjetas empresariales
Asegúrate de que los pagos empresariales se realicen con tarjetas de crédito legalmente vinculadas a la empresa, no a los propietarios ni empleados. Separar las finanzas personales y empresariales no sólo hace la contabilidad más fácil, sino que protege la salud financiera de propietarios y empleados si le ocurre algo negativo a la empresa.
Extra: usar tarjetas también ayuda a construir el crédito de la empresa, mejorando sustancialmente los términos y tasas disponibles para préstamos. Mientras que el crédito personal está vinculado al número de seguro social, el crédito empresarial se indexa al EIN. Las principales agencias de crédito en Estados Unidos son Dun & Bradstreet, Creditsafe, Experian Business y Equifax Business.
Tarjetas virtuales
¿Y si pudieras crear tantas tarjetas de crédito como quieras simplemente haciendo clic en un botón? Eso te daría un control increíblemente granular sobre el fraude: cada proveedor podría tener su propia tarjeta y podrías limitar el importe en cada una según lo esperado. Cuando dejes de usar sus servicios, podrías dejar de pagarles sin depender de que ellos no te cobren más.
Un número creciente de fintechs y bancos permite exactamente esto. Desde un portal web, puedes crear, gestionar y eliminar una cantidad (virtualmente) ilimitada de tarjetas. Todas cargan contra una cuenta común, permitiéndote tener una visión centralizada de los gastos. El líder en este campo es Ramp, que ha invertido en un motor de reglas personalizado que permite un control muy amplio.
La mayor fuente de fraude con tarjetas de crédito es el robo de información de la tarjeta. Hay toda una cadena que involucra defraudadores que roban los datos, otros que los compran y fabrican tarjetas duplicadas, y "mulas" que usan esas copias para hacer cargos fraudulentos. La mayoría hemos experimentado esto y es un dolor de cabeza: la tarjeta debe cancelarse, recibir una nueva por correo y actualizar el pago en todos los servicios que la utilizaban.
Con las tarjetas virtuales, esto se vuelve trivial. Los pagos inesperados se identifican más fácilmente y solo necesitas cambiar los datos de pago con el proveedor afectado. Sabes exactamente qué proveedor ha facilitado el fraude: los cargos no autorizados se realizan contra la tarjeta dedicada a ese proveedor.
Redes de pago
Riesgo: Bajo
Una red de pagos es un registro de empresas con información de pago verificada. En lugar de intercambiar manualmente los datos de pago, seleccionas a tu proveedor de la lista, estableces el importe y el pago se transfiere automáticamente. A menudo, dichas redes son gestionadas por grandes bancos e integradas como parte de un servicio de Cuentas por Pagar (AP) administrado. Existen algunas redes públicas disponibles como Bottomline Paymode-X en EE.UU. y EFTsure en Australia. Si utilizas un servicio de AP proporcionado por un banco, asegúrate de que incluya la verificación de proveedores. Algunos bancos simplemente envían cheques a cualquier dirección que indiques, por lo que, innecesario decirlo, no protegen contra el fraude.
Las fintech dirigidas a pequeñas empresas también están desarrollando rápidamente estas redes, y los expertos en mi red esperan ver un crecimiento sustancial en este ámbito durante los próximos años.
El uso constante de una red de pagos reduce sustancialmente el fraude (esto también es una ventaja clave de las aplicaciones de pago móvil). Una de las mayores fuentes de fraude entre empresas suele ser la interceptación de pagos entre negocios legítimos, generalmente engañándolos para que utilicen información de pago incorrecta. Las redes de pagos eliminan esta fuente de error: garantizan que los datos de pago sean correctos y trabajan para evitar que impostores ingresen a la plataforma.
Rara vez todos tus proveedores estarán en una red, por lo que esta técnica no puede aplicarse de manera aislada.
ACH
Riesgo: Bajo-Medio
Las transacciones de la Cámara de Compensación Automatizada (comúnmente ACH, también llamadas depósitos directos) tienen la tasa más baja de fraude en comparación con otros métodos comerciales de pago en línea. Sin embargo, la mayoría de estas transacciones son transferencias automatizadas entre grandes empresas con controles de fraude independientes y sofisticados. El riesgo para ellas no es el mismo que el riesgo para una compañía pequeña. Pagar mediante ACH sigue siendo bastante seguro, especialmente si tu proveedor utiliza una plataforma dedicada de pagos con un portal de autoservicio.
El sistema ACH funciona a través de cuentas corrientes y se liquida en 3-5 días según indicadores de fraude como el importe del pago y la actividad previa. Al igual que en el sistema de tarjetas de crédito, no existe un mecanismo de autorización: conocer el número de cuenta permite realizar cargos en esa cuenta. Mientras que la industria de tarjetas de crédito intenta mantener sus números en secreto, no hay esperanza de ello para los números de cuenta bancaria: está disponible para cualquiera que vea uno de tus cheques o verifique los datos de tu pago ACH.
Además, existe poca cobertura de fraude para las empresas. Los bancos sólo están obligados a recuperar el dinero dentro de las 24 horas posteriores a la transacción.
La mayor protección contra el fraude ACH es que una institución financiera en buen estado debe iniciarlo. En EE. UU., las regulaciones Know Your Customer (KYC), Anti-Money Laundering (AML) y otras normativas bancarias de la FFIEC imponen requisitos estrictos a los bancos para verificar clientes y transacciones ante actividad sospechosa. Si bien la regulación siempre va un paso detrás del delito, los bancos tienen un fuerte incentivo para evitar que los criminales usen sus servicios.
Protección
Estos métodos funcionan tanto para ACH como para cheques.
Segmenta cuentas y alertas
Crear múltiples cuentas para diferentes usos puede brindar una excelente protección a bajo costo. Abrir una cuenta dedicada para cobros, tesorería y pagos puede limitar tu exposición al fraude. Las cuentas de cobros deben transferirse frecuentemente a la cuenta de tesorería, y los fondos para cargos previstos se mueven de la cuenta de tesorería a las cuentas de pago. Configura alertas para todas las cuentas para situaciones inesperadas como saldos bajos.
De este modo, los externos sólo conocerán cuentas con fondos limitados, por lo que los intentos de fraude no serán tan dañinos si tienen éxito. Los diferentes bancos ofrecen diversos niveles de automatización para esta estrategia y muchos lo incluyen como un servicio para grandes clientes, generalmente llamado Gestión de Tesorería.
Proveedores válidos (sólo ACH)
Algunos bancos permiten a las cuentas corrientes de empresas restringir los cargos ACH a una lista autorizada de cuentas. Esto puede eliminar la posibilidad de transacciones ACH fraudulentas, pero requiere cierto mantenimiento y puede ser molesto de resolver problemas.
Evita ACH y cheques para proveedores que procesan pagos manualmente
Como el riesgo de fraude ACH y de cheques está directamente relacionado con la cantidad de personas que ven tus cheques, puedes reducirlo utilizándolos sólo en procesadores de pago automáticos y de autoservicio.
Para ACH, busca un portal web donde inicies sesión y registres tu método de pago. A menudo puedes saber si un proveedor ofrece este tipo de plataforma: Quickbooks, Stripe y Paypal son opciones populares. Las soluciones desarrolladas internamente son menos propensas a procesarse de forma automática, por lo que representan un mayor riesgo.
En el caso de cheques, esto corresponde a una instalación lockbox que procesa automáticamente los cobros de muchas empresas. Puedes averiguar si una dirección es una instalación lockbox buscándola en un mapa. Si pertenece a tu banco o a un procesador lockbox conocido, eso es lo que buscas.
No escribas tus propios cheques
Una cantidad considerable de fraudes con cheques y ACH proviene del simple robo de cheques de tu correspondencia saliente.
Puedes evitar esto utilizando un servicio de pago para imprimir y enviar cheques por correo en tu nombre. Esto a menudo viene incluido con una red de pagos. Muchos bancos ofrecen este servicio con distintos grados de automatización. Tales cheques se imprimen en una instalación central y el robo es difícil.
Cambiar de banco
Si sospechas que tu banco no ha invertido en la protección contra fraudes de cheques o ACH, simplemente cámbiate. Aunque no existen clasificaciones independientes y objetivas de bancos en este ámbito y probablemente no tengas la influencia para auditarlos, hay algunos principios:
- Más grande suele ser mejor. Las instituciones más grandes a menudo pueden permitirse gastar más en la prevención de fraudes en línea.
- La competencia suele ser mejor. Un historial de fraudes, mala gestión o simple desorganización son una mala señal.
- Más reciente suele ser mejor. La gestión bancaria suele ser conservadora respecto al cambio, incluyendo nuevas formas de combatir el fraude para sus clientes.
Cheques
Riesgo: Medio
El fraude con cheques es la fuente más común de fraude en pagos B2B, según el informe anual de la AFP. Al igual que ACH, los cheques ofrecen una ventana de 24 horas para disputar una transacción. Además, los cheques son fáciles de imprimir si se conoce el número de cuenta. Cada persona que ve tus cheques es otra oportunidad de intentar un fraude de cheques o ACH (además, hay pocos beneficios de seguridad en pagos en línea cuando no estás, ya sabes, pagando en línea).
La mayoría de fraudes con cheques pueden ser detectados por los bancos, pero no todos invierten lo mismo, por lo que la calidad de tu banco hace una gran diferencia en este riesgo.
Protección
(ver técnicas arriba bajo ACH)
Sistemas de Pago Propietarios
Riesgo: Alto
Zelle, Cash App, Venmo, PayPal y las transferencias bancarias son mecanismos preferidos para el crimen, con poca seguridad en pagos en línea. Las transacciones son instantáneas e irreversibles. Estas plataformas no tienen control regulatorio ni protección al consumidor, por lo que tienen poco incentivo para detectar y prevenir el fraude.
Estas plataformas son mejores para consumidores y para cantidades pequeñas, como reembolsar una cena o pagarle al adolescente que cortó tu césped.
Protección
Ten Cuidado
Si es imprescindible pagar a un proveedor mediante una de estas plataformas, sé cauteloso. Verifica dos veces los detalles del pago y utilízalas solo para transacciones que puedas permitirte perder. Refuerza la seguridad de la plataforma tanto como sea posible: si alguien se cuela y se envía dinero, podría ser grave.
Combínalo con Segmentación de Cuentas
Financiar estas plataformas de pago con cuentas dedicadas y limitadas es una forma fácil y eficaz de limitar tu exposición.
Tarjetas de Débito
Riesgo: Mala idea
Las tarjetas de débito tienen todos los inconvenientes de las tarjetas de crédito, los inconvenientes de los cheques y no ofrecen las ventajas de ninguno. Como una tarjeta de débito se usa en el ecosistema de tarjetas de crédito, los números suelen ser robados y usados para fraude. Sin embargo, las transacciones con tarjeta de débito no tienen cobertura contra fraude: al igual que los cheques, debes disputar una transacción fraudulenta en un plazo de 24 horas.
Peor aún, las herramientas y la madurez que los bancos han desarrollado para combatir el fraude con cheques no funcionan en las transacciones con tarjetas, y los bancos que ofrecen tarjetas de débito rara vez invierten en los sistemas de detección de fraude comunes en las compañías de tarjetas de crédito.
Protección
Cancélalas
Las tarjetas de débito son peligrosas y no tienen ningún uso que una tarjeta de crédito no haga mejor. Las recompensas adicionales no valen la pena.
Criptomonedas
Riesgo: Una locura
Esto es lo opuesto a la seguridad en pagos en línea.
En mi opinión, los únicos negocios que necesitan recibir pagos en criptomonedas son las organizaciones criminales. La criptomoneda tiene todas las desventajas de las plataformas de pago propietarias (instantáneo, sin prevención de fraude, sin incentivos regulatorios) y es más vulnerable a ataques técnicos, manipulación del mercado y a una cultura de fraude dentro de sus instituciones. Se presta para el lavado de dinero y el robo.
Protección
No lo hagas
A menos que seas una organización criminal.
Mantente inteligente, mantente protegido
Si bien el fraude de pagos en línea es la mayor amenaza cibernética para la mayoría de las empresas, abordarlo puede ser rápido, fácil y efectivo. Externalizar sabiamente la tecnología y optar por métodos de pago en línea más seguros eliminará gran parte de ese riesgo.
La mayor parte del riesgo restante de cuentas por pagar también se puede evitar fácilmente. Suscríbete para recibir notificaciones sobre mi próximo artículo, donde hablo de cómo la estrategia y el proceso de cuentas por pagar también pueden detener a hackers y delincuentes.
¿Tienes ideas, opiniones o preguntas? Contáctame, únete a la conversación abajo o participa en redes sociales.
