Prevención de fraude para tiendas Shopify
El fraude en el comercio electrónico les costó a los minoristas en línea $48 mil millones a nivel mundial en 2024, y los comerciantes de Shopify experimentaron colectivamente cientos de millones en devoluciones de cargos fraudulentas anualmente. El panorama del fraude evoluciona más rápido de lo que la mayoría de los comerciantes creen: sofisticadas redes de bots, fraudes de identidad sintéticos y esquemas organizados de fraude de devoluciones se dirigen específicamente a las tiendas Shopify porque sus flujos de pago son predecibles.
Esta guía proporciona un marco de prevención de fraude de múltiples capas: comprender los tipos de fraude, aprovechar las herramientas integradas de Shopify, implementar la verificación de terceros y crear procesos operativos que detecten el fraude antes del cumplimiento.
Conclusiones clave
- Fraud Protect de Shopify (EE. UU., Canadá) cubre devoluciones de cargos en los pedidos que aprueba; úselo si es elegible
- La puntuación del análisis de fraude en Shopify Admin es un punto de partida, no una respuesta definitiva
- El fraude con tarjeta no presente (CNP) es el tipo más común; las comprobaciones de velocidad y la comparación AVS/CVV son esenciales
- Las tasas de contracargo superiores al 1% de las transacciones activan la revisión del procesador y la posible cancelación de la cuenta.
- Los pedidos cumplidos no se pueden recuperar: la ventana de fraude es el tiempo entre la realización del pedido y su cumplimiento.
- El fraude de devoluciones representa entre el 10 % y el 15 % de las pérdidas totales por fraude para los comerciantes de prendas de vestir y productos electrónicos.
- Los bienes digitales requieren los controles de fraude más agresivos porque no hay recuperación de bienes físicos
- La discrepancia en el Servicio de verificación de direcciones (AVS) es una fuerte señal de fraude, pero también bloquea pedidos internacionales legítimos.
Comprender los tipos de fraude de Shopify
Fraude por tarjeta no presente (CNP)
La forma más común. Un estafador utiliza datos de tarjetas de crédito robadas para realizar un pedido. El verdadero titular de la tarjeta cuestiona el cargo, usted emite una devolución de cargo al emisor de la tarjeta y pierde tanto los bienes como los ingresos.
Señales de fraude del CNP:
- Las direcciones de facturación y envío no coinciden
- Múltiples pedidos a la misma dirección desde diferentes tarjetas
- Pedido realizado en horarios inusuales desde el mercado primario de la tienda.
- Órdenes de alto valor de una cuenta recién creada
- Envío urgente seleccionado (los estafadores quieren productos rápidos, antes de que se cancele la tarjeta)
Fraude de adquisición de cuenta
Un estafador obtiene acceso a la cuenta existente de un cliente (mediante el relleno de credenciales a partir de violaciones de datos) y realiza pedidos utilizando métodos de pago guardados y envíos a una nueva dirección.
Señales ATO:
- Restablecimiento de contraseña seguido inmediatamente de un nuevo pedido
- Dirección de envío cambiada seguida inmediatamente por un pedido
- Inicie sesión desde un nuevo dispositivo o país IP seguido de un pedido
Reembolso y fraude de devolución
Los clientes (o redes de fraude organizadas) aprovechan las políticas de devolución para recibir reembolsos y conservar la mercancía, devolver diferentes artículos o reclamar pedidos no entregados.
Fraude amistoso (abuso de devolución de cargo)
Un cliente realiza una compra legítima, recibe los productos y luego disputa el cargo alegando falta de entrega o uso no autorizado. Es difícil de probar y los bancos suelen ponerse del lado de los titulares de tarjetas en casos ambiguos.
Abuso de promoción
Los clientes crean varias cuentas para abusar de los descuentos de bienvenida, los umbrales de envío gratuito o los programas de referencia. Menos devastador desde el punto de vista financiero, pero requiere mucho volumen y distorsiona las métricas de marketing.
Herramientas de fraude integradas en Shopify
Análisis de fraude de Shopify
Cada pedido en Shopify Admin incluye una sección de análisis de fraude con indicadores:
| Indicador | Significado |
|---|---|
| Marca de verificación verde | Este factor reduce el riesgo de fraude |
| X roja | Este factor aumenta el riesgo de fraude |
| Tablero gris | Información no disponible |
Indicadores clave de fraude Comprobaciones de Shopify:
- Resultado AVS (la dirección de facturación coincide con los registros de la tarjeta)
- Resultado CVV (coincidencias de código de seguridad)
- El país de IP coincide con el país de facturación.
- Antigüedad y validez del dominio de correo electrónico.
- Detección de uso de proxy o VPN
- Devoluciones de cargo anteriores de esta tarjeta
Lectura del nivel de riesgo general:
- Bajo: Continuar con el cumplimiento
- Medio: Revisa los indicadores rojos específicos antes de cumplir
- Alto: suspender el cumplimiento, contactar al cliente para verificación o cancelar
Shopify Protect (anteriormente Fraud Protect)
Disponible para comerciantes elegibles de EE. UU. y Canadá que utilizan Shopify Payments. Para los pedidos que Shopify Protect aprueba, Shopify cubre las pérdidas por devolución de cargo de pedidos fraudulentos. Costo: varía según el pedido y se muestra antes de cumplirlo. Esto transfiere efectivamente el riesgo de fraude a Shopify para los pedidos cubiertos.
Requisitos para la cobertura Shopify Protect:
- El pedido debe realizarse a través de Shopify Payments
- El pedido debe recibir una insignia "Protegido" en Administrador
- El comerciante debe seguir los requisitos de tiempo de cumplimiento de Shopify
- Los pedidos de productos digitales generalmente no son elegibles
Configuración de umbrales de riesgo de pedidos:
En Shopify Admin > Configuración > Pagos > Prevención de fraude, configura:
- Cancelar automáticamente pedidos de alto riesgo (agresivo pero reduce la carga de revisión manual)
- Enviar notificación para órdenes de riesgo medio para revisión manual
El umbral correcto depende de sus márgenes y categoría de producto. Electrónica de alto valor: cancela automáticamente todos los de alto riesgo. Ropa de bajo valor: revisión manual para alto riesgo, cumplimiento automático para riesgo medio.
Herramientas de prevención de fraude de terceros
Para las tiendas que procesan más de $50,000 al mes en ingresos, las herramientas dedicadas de prevención de fraude brindan una protección significativamente mejor que el análisis integrado de Shopify.
| Herramienta | Costo mensual | Enfoque | Mejor para |
|---|---|---|---|
| Sin fraude | Personalizado | Puntuación de ML + garantía de contracargo | Comerciantes medianos y grandes |
| Significado | Personalizado | ML + cobertura garantizada | Empresa |
| Count (ahora Equifax) | Personalizado | ML basado en red | Alto volumen |
| Subuno | $49-199 | Basado en reglas + ML | Pequeños y medianos comerciantes |
| Escáner de fraude | $29-199 | Reglas nativas de Shopify | Pequeños comerciantes que empiezan |
NoFraud: Proporciona una decisión de "Reprobado/Aprobado" en cada pedido en cuestión de segundos. Para los pedidos marcados como "Pasado", NoFraud ofrece una garantía de devolución de cargo: pagan la devolución del cargo si un pedido "Pasado" resulta ser fraudulento. El costo por pedido suele ser de 0,05 a 0,20 dólares, según el volumen y la categoría.
Signifyd: modelo similar a NoFraud pero con una base de datos de red comercial más grande. Su oferta de "Protección comercial" cubre todo el ciclo de vida del pedido, desde su realización hasta el fraude de devolución.
Verificación de dirección y controles de identidad
AVS (Servicio de verificación de dirección)
AVS compara la dirección de facturación proporcionada por el cliente con la dirección registrada en el emisor de la tarjeta. Shopify Payments y la mayoría de los procesadores de pagos admiten AVS.
Códigos de respuesta AVS:
| Código | Significado | Nivel de riesgo |
|---|---|---|
| Y | Partido completo (calle + ZIP) | Bajo riesgo |
| Un | Coincidencias callejeras, ZIP no | Riesgo medio |
| Z | El ZIP coincide, la calle no | Riesgo medio |
| norte | No hay coincidencia | Alto riesgo |
| U | No disponible (tarjeta fuera de EE. UU.) | Riesgo medio |
Importante: Las tarjetas fuera de EE. UU. a menudo devuelven "U" (no disponible) para pedidos legítimos porque los emisores de tarjetas internacionales no participan en AVS. Si realiza envíos internacionales, no cancele automáticamente los pedidos de AVS "U": revíselos de manera integral.
Coincidencia CVV
El CVV (Valor de verificación de la tarjeta) es el código de 3 a 4 dígitos de la tarjeta. Shopify Payments verifica que el CVV proporcionado coincida con el registro de la tarjeta. Una discrepancia en el CVV siempre debería provocar una revisión manual o una cancelación automática.
Verificación por correo electrónico
Los dominios de correo electrónico desechables (guerrillamail.com, mailinator.com, etc.) son utilizados casi exclusivamente por estafadores. Bloquee pedidos de dominios de correo electrónico desechables conocidos mediante una regla de validación. Herramientas como Kickbox o Hunter verifican la capacidad de entrega del correo electrónico al finalizar la compra: un correo electrónico que no se puede entregar es una fuerte señal de fraude.
Verificación del número de teléfono
Para pedidos de alto riesgo, solicite un número de teléfono y verifique que sea un número real y accesible. La verificación por SMS durante el pago (enviar un código al número de teléfono proporcionado) reduce drásticamente el fraude CNP pero también aumenta el abandono del proceso de pago. Úselo para órdenes por encima de un umbral de riesgo, no para todas las órdenes.
Creación de reglas contra fraude para su tienda específica
La prevención eficaz del fraude utiliza reglas calibradas según el perfil de riesgo específico de su tienda. Las reglas genéricas bloquean en exceso a los clientes legítimos; las reglas poco afinadas pasan por alto el fraude.
Reglas de velocidad (detectar abuso de repetición rápida):
| Regla | Gatillo | Acción |
|---|---|---|
| Misma tarjeta, múltiples pedidos, diferentes direcciones | 3+ pedidos en 24 horas | Marcar para revisión |
| Misma dirección, diferentes tarjetas | Más de 5 tarjetas diferentes en 7 días | Bloquear nuevos pedidos desde la dirección |
| Mismo correo electrónico, varias cuentas | Detectado mediante hash de correo electrónico | Bloquear creación de cuenta |
| Misma IP, múltiples tarjetas | Más de 3 tarjetas en 1 hora | Marcar para revisión |
Reglas geográficas:
- Envío de pedidos a zonas geográficas de alto riesgo (agentes de carga, direcciones de reenvío)
- Pedidos con un país de facturación significativamente diferente del país de envío sin una explicación plausible
- Pedidos de países a los que normalmente no presta servicios
Reglas de características del pedido:
- Primer pedido, valor alto (más de $500), envío rápido: revise siempre
- Envoltorio de regalo seleccionado sin mensaje: a veces lo utilizan los estafadores que envían regalos a los destinatarios.
- Pago como invitado (sin cuenta) + valor alto: mayor riesgo que el cliente registrado
Implementando reglas en Shopify usando Flow:
Shopify Flow (disponible en Basic y superior) puede automatizar la aplicación de reglas de fraude:
Trigger: Order created
Condition: Order risk level is HIGH
AND Order total is greater than $200
Action: Tag order with "fraud-review-required"
Action: Send email to [email protected] with order details
Action: Do NOT fulfill (hold fulfillment)
Gestión de contracargos
Incluso con una excelente prevención del fraude, se producen devoluciones de cargo. La forma en que responde a las disputas determina cuántas gana.
Tipos de devoluciones de cargo:
- Devoluciones de cargos por fraude (código de motivo 10.4, 83): el titular de la tarjeta reclama un uso no autorizado. Es difícil ganar sin una prueba de autenticación 3DS.
- No recepción (código de motivo 13.1): El titular de la tarjeta afirma que no recibió los productos. Gana con la confirmación de entrega.
- Es significativamente diferente a lo descrito (13.3): El titular de la tarjeta afirma que los productos difieren materialmente de la descripción. Gana demostrando un listado preciso.
- Fraude amistoso (10.4 disputado, no autorizado): Cliente legítimo que disputa un cargo genuino. Gana con historial de compras y registros de comunicación.
Disputas de devolución de cargo ganadoras: paquete de pruebas:
Recopile esta evidencia para cada respuesta de devolución de cargo:
- Correo electrónico de confirmación del pedido enviado a la dirección del cliente.
- Confirmación de entrega con número de seguimiento y escaneo entregado
- Historial de la cuenta del cliente (si tiene una cuenta que muestra compras pasadas)
- Historial de comunicación (cualquier correo electrónico, registros de chat que muestren que el cliente reconoció el pedido)
- Dirección IP de realización del pedido
- Confirmación de coincidencia AVS y CVV
- Datos de huellas dactilares del dispositivo (de Shopify o una herramienta de fraude)
- Comprobante de entrega firmado (para pedidos de alto valor que requieren firma)
- Capturas de pantalla de descripción del producto que muestran una representación precisa
Plazos de respuesta de devolución de cargo:
Visa: 30 días desde la notificación del contracargo Mastercard: 45 días American Express: 20 días Descubre: 30 días
No cumplir con el plazo de respuesta significa pérdida automática independientemente del mérito.
Prevención del fraude amistoso:
- Utilice la autenticación 3DS2 para pedidos de alto valor (Shopify Payments lo permite)
- Requerir firma en la entrega para pedidos superiores a $150
- Haga un seguimiento de los clientes antes y después de la entrega (correos electrónicos "Su pedido enviado" + "Su pedido fue entregado")
- Responda a todos los contactos de servicio al cliente: es menos probable que un cliente que se comunique con usted presente una devolución de cargo.
Bienes digitales: categoría de mayor riesgo
Los productos digitales (licencias de software, archivos descargables, tarjetas de regalo) no tienen recuperación una vez entregados y son el objetivo principal del fraude del CNP.
Prevención del fraude en productos digitales:
-
Retraso en la entrega para pedidos de alto riesgo: en lugar de entrega instantánea, agregue una ventana de revisión de 24 horas para pedidos de productos digitales de más de $50 de cuentas nuevas o direcciones marcadas.
-
Limitar las cantidades de compra inicial: restrinja las primeras compras de cuentas nuevas a 1 o 2 unidades. Las redes de fraude compran al por mayor.
-
Requerir creación de cuenta: el pago como invitado para productos digitales es de alto riesgo. Requerir la creación de una cuenta con verificación por correo electrónico antes de la entrega.
-
Limitación de velocidad de IP: una cuenta nueva por dirección IP cada 24 horas como máximo.
-
Huellas digitales del dispositivo: utilice una herramienta que identifique cuándo se utiliza el mismo dispositivo en varias cuentas o pedidos.
-
Entrega basada en activación: para licencias de software, requiere el registro del dispositivo antes de la activación. Esto limita el daño por tarjeta robada y proporciona datos de investigación.
Preguntas frecuentes
¿Qué tasa de contracargo consideran "alta" los procesadores de pagos?
Los programas de monitoreo de contracargos de Visa y Mastercard se activan cuando los contracargos exceden el 1% de las transacciones mensuales. Los comerciantes que superan este umbral ingresan a un "programa de monitoreo" que conlleva tarifas adicionales ($50-100 por devolución de cargo), requiere planes de remediación y eventualmente conduce a la cancelación de la cuenta si no se resuelve dentro de 3 a 6 meses. La mayoría de los adquirentes comienzan a comunicarse de manera informal con tasas de contracargo del 0,5%. Trate de mantener su tasa por debajo del 0,5% para mantener un colchón seguro.
¿Debo aceptar pedidos de alto riesgo que Shopify marca?
Depende de su tipo de producto, margen y tolerancia al riesgo. Los productos electrónicos y digitales de alto valor con altas tasas de fraude justifican la cancelación automática de pedidos de alto riesgo. Los productos de menor valor con amplios márgenes pueden hacer que la revisión manual de pedidos de alto riesgo sea económica. Calcule su pérdida por fraude esperada versus los ingresos esperados para pedidos con diferentes niveles de riesgo. Para la mayoría de los comerciantes, los pedidos de alto riesgo se convierten en devoluciones de cargo del 30 al 50 %, lo que significa que aceptarlos es matemáticamente negativo si su margen es inferior al 50 %.
¿Cómo manejo a un cliente que afirma que su pedido nunca llegó pero el seguimiento muestra que se entregó?
Primero, verifique que el escaneo de entrega esté en la dirección correcta (compare la ubicación del escaneo de entrega con la dirección de envío). Si el seguimiento muestra la entrega en la dirección correcta: (1) Pídale al cliente que consulte con los vecinos y miembros del hogar; muchos paquetes son recibidos por otras personas, (2) Presente un reclamo de investigación del transportista: los transportistas investigan los casos de "entregado pero no recibido", (3) Solicite un informe policial para el cliente: esto descarta el fraude oportunista. Para pedidos de menos de $30, considere un reemplazo sin investigar: el valor de buena voluntad a menudo excede el costo.
¿Vale la pena habilitar 3D Secure (3DS)? ¿Perjudica las tasas de conversión?
La autenticación 3DS transfiere la responsabilidad de devolución de cargo al emisor de la tarjeta para los pedidos en los que la autenticación 3DS tiene éxito. El 3DS2 moderno utiliza autenticación basada en riesgos: solo desafía las transacciones de alto riesgo con verificación adicional (OTP, biométrica). Las transacciones de bajo riesgo se completan sin problemas sin ninguna acción del cliente. Los estudios muestran que 3DS2 reduce las devoluciones de cargos por fraude entre un 60 % y un 80 % con un impacto de abandono de menos del 2 % frente a un impacto de abandono de entre un 10 % y un 15 % del 3DS1 anterior. Habilite 3DS2 a través de la configuración de Shopify Payments: vale la pena.
¿Qué datos debo conservar para disputas de devolución de cargo?
Conserve lo siguiente para cada pedido durante al menos 18 meses: detalles de confirmación del pedido, dirección IP, huella digital del dispositivo, resultados de coincidencias AVS/CVV, todas las comunicaciones con el cliente (correo electrónico, chat, tickets de soporte), historial de seguimiento del operador con todos los eventos de escaneo y confirmación de entrega o prueba fotográfica. La mayoría de las devoluciones de cargo por fraude llegan entre 60 y 120 días después de la transacción; 18 meses de retención cubren todo el cronograma de disputa, incluidas las apelaciones.
Próximos pasos
Crear y mantener un sistema eficaz de prevención de fraude para una tienda Shopify requiere una calibración continua a medida que evolucionan los patrones de fraude, surgen nuevas herramientas y cambia el volumen de pedidos y la combinación de productos.
Los servicios de soporte y mantenimiento de Shopify de ECOSIRE incluyen configuración de prevención de fraude, flujos de trabajo de administración de contracargos, calibración de reglas según sus categorías de productos específicas y monitoreo continuo de fraude para proteger sus ingresos.
Habla con nuestros especialistas en prevención de fraude sobre cómo proteger tu tienda Shopify contra el fraude de comercio electrónico.
Escrito por
ECOSIRE Research and Development Team
Construyendo productos digitales de nivel empresarial en ECOSIRE. Compartiendo perspectivas sobre integraciones Odoo, automatización de eCommerce y soluciones empresariales impulsadas por IA.
Artículos relacionados
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
eCommerce Bookkeeping: Revenue Recognition and Sales Tax
Master eCommerce bookkeeping with correct revenue recognition timing, sales tax collection across marketplaces, and reconciliation for Shopify, Amazon, and more.
US Sales Tax Nexus: State-by-State Guide for Online Sellers
Comprehensive US sales tax nexus guide covering Wayfair economic nexus thresholds for all 45 states, marketplace facilitator laws, product taxability, and compliance strategies.