10 minutos de lectura 25 jul 2019
ey-dos maniquíes

¿Cómo la transformación digital aumenta los riesgos de fraude de los consumidores y retail?

A medida que aumenta el uso de las nuevas tecnologías en un mundo omnicanal, también lo hacen las posibles trampas de la seguridad cibernética.

La transformación digital se ha extendido por todo el sector de consumo y retail (CPR, por sus siglas en inglés), desde la automatización de los procesos de fabricación hasta la venta y distribución, la logística y digitalización de los pagos de los clientes. Sin embargo, a medida que las compañías de CPR adoptan nuevas e impresionantes tecnologías, también se enfrentan a nuevos riesgos de fraude.

Hemos examinado la dinámica del fraude digital emergente cuando las organizaciones se someten a la transformación y hemos esbozado formas en que las empresas pueden abordar las lagunas, abordar la mala conducta y establecer mecanismos de supervisión para prevenir y mitigar potencialmente el fraude. Pero primero, vale la pena ver hasta qué punto las empresas de CPR han cambiado en la era digital.

Mujer haciendo transacción electrónica
(Chapter breaker)
1

Capítulo 1

¿Qué está impulsando la transformación digital en la industria de consumo y retail?

Respondiendo a las demandas de los consumidores, los importadores y exportadores, proveedores, transportistas y distribuidores están más interconectados por datos.

En los últimos cinco años, el mercado de e-retail ha crecido más del 100% al año, y en 2017, las ventas de e-retail representaron el 10.2% de las ventas minoristas globales, siendo Indonesia, India, México y China los mercados de más rápido crecimiento. En 2019, las ventas electrónicas al por menor representan hasta un tercio del total de las ventas al por menor en China.

Y las expectativas de los consumidores están cambiando a medida que las marcas directas al consumidor adquieren clientes individuales a gran escala. La venta al por menor de omnicanal ahora se ha convertido en la nueva normalidad. Para la velocidad, facilidad y conveniencia que los clientes esperan, la industria está transformando el proceso de punto de venta (PoS, por sus siglas en inglés) en las tiendas minoristas tradicionales, las plataformas en línea para el alcance directo del consumidor y los sistemas de la cadena de suministro que agilizan el proceso de pedidos y compras.

La inversión en tecnología — como un sistema de gestión de la distribución para el seguimiento de las ventas secundarias (de distribuidor a minorista), terminales de punto de venta para las ventas terciarias (de minorista a consumidor) y software de automatización para la supervisión del rendimiento y la optimización de las rutas de ventas— ha ayudado a las empresas en su camino hacia la digitalización.

A medida que más partes interesadas utilizan la tecnología digital, el panorama de los riesgos está cambiando. Los incidentes de fraude perpetrados por personas internas de la empresa, organizaciones conectadas y partes externas están exponiendo y explotando las nuevas vulnerabilidades de los modelos de negocio en red.

Además de promover el acceso a mercados emergentes de rápido crecimiento, la digitalización permite cadenas de suministro multidireccionales, conectando a importadores y exportadores, proveedores, transportistas, distribuidores y clientes. La automatización está agilizando la fabricación, la logística y los pagos, y acelera la integración con redes de terceros que vinculan a subcontratistas, fabricantes, distribuidores y almacenistas. Estos procesos producen datos en tiempo real que pueden utilizarse para una gestión y supervisión más precisas.

Pero a medida que más partes interesadas utilizan la tecnología digitalizada, el panorama del riesgo también está cambiando. Los incidentes de fraude perpetrados por personas internas de la empresa, organizaciones conectadas y partes externas están exponiendo y explotando las nuevas vulnerabilidades de los modelos de negocio en red.

Vendedor vendiendo un zapato a un turista
(Chapter breaker)
2

Capítulo 2

Problemas emergentes

Los criminales cibernéticos, los empleados deshonestos o descuidados y los terceros fraudulentos pueden frustrar las mejores intenciones de sus estrategias digitales.

La digitalización ha centrado las preocupaciones en el fraude. La 15ª Encuesta Global de Fraude de EY reveló que el 36% de los encuestados consideraban que el fraude y la corrupción eran el mayor riesgo para las empresas, y el 37% consideraban que los ciberataques eran el mayor riesgo. En la industria de consumo y retail existen varias vulnerabilidades primarias a considerar:

  • Datos personales sensibles recogidos a través del comercio electrónico: los minoristas son el objetivo porque tienen datos actualizados que los delincuentes pueden utilizar, como nombres, direcciones y detalles de tarjetas de crédito. Los hacks de alto perfil tienen consecuencias comerciales y de reputación para las empresas
  • Amenazas cibernéticas a la plataforma de transacciones en línea: los ataques de denegación de servicio o de servicios distribuidos representan un riesgo importante para la empresa, ya que las ventas se detienen cuando los canales en línea se ven comprometidos. Esto puede ser el resultado de un ataque malicioso o de un fallo del sistema porque la plataforma no puede responder al volumen de tráfico en los días de mayor volumen de ventas, como el conocido Black Friday
  • Riesgo interno: los empleados de la empresa pueden cometer fraude al hacer un mal uso de los sistemas y procesos internos. Por ejemplo, en el sistema de ventas secundarias (de distribuidor a minorista), el personal puede inflar las ventas en puntos de venta nuevos o existentes para reclamar beneficios indebidos, y en el sistema de ventas terciario (de minorista a consumidor final), los empleados pueden reclamar beneficios promocionales destinados a los consumidores.

La digitalización vincula los sistemas en línea y los procesos físicos, compartiendo datos en tiempo real entre las funciones internas y terceros para reducir los tiempos de respuesta de los pedidos y mitigar el exceso de existencias. Esto abre nuevas vulnerabilidades, especialmente cuando las empresas no mejoran las medidas de control y seguimiento. Aquí, desglosamos esas vulnerabilidades por categoría.

Puntos de venta (PoS)

La digitalización ha transformado la funcionalidad del punto de venta al registrar y agregar datos transaccionales. Sin embargo, el punto de venta también es un objetivo importante para el fraude, ya que afecta a las vulnerabilidades del comercio electrónico en las tiendas. Estos incluyen:

  • La propia terminal puede ser atacada, ya que los dispositivos móviles PoS son vulnerables al malware a través de las redes de wifi de la tienda
  • La mayoría de las terminales aceptan pagos sin contacto para una rápida incorporación del cliente, lo que presenta riesgos de seguridad y autenticación
  • Las cajas de autoservicio pueden atraer el fraude perpetrado por los clientes, por ejemplo, escaneando un artículo y empaquetando otro más caro, o varios artículos

Estos pequeños incidentes extrapolados a través de múltiples tiendas pueden representar pérdidas significativas.

El mercado en línea

El comercio en línea aumenta la escala de las operaciones minoristas, lo que permite a los minoristas comerciar más rápido y con más personas, pero también aumenta el riesgo de actividades fraudulentas que dañan el comercio electrónico. Las tendencias recientes incluyen:

  • Fraude en las listas: empleados que reciben pagos de los vendedores a cambio de manipular un listado en el mercado para mayor visibilidad
  • Fraude de comisiones: los empleados reciben favores de los vendedores por reducir el porcentaje de comisión que debe pagar el vendedor por las ventas realizadas a través de un mercado en línea
  • Fraude de arbitraje de costos: los vendedores compran sus propios productos que tienen ofertas de devolución de dinero en efectivo en el mercado en línea y luego los revenden fuera de línea
  • Devolución de dinero o fraude promocional: los empleados inflan los planes de devolución de dinero y de promoción de ciertos productos para favorecer a vendedores específicos y recibir pagos a cambio
  • Fraude de clics: los competidores y otras personas hacen clic deliberadamente en anuncios de pago por clic (PPC) (a veces utilizando tecnología) para generar cargos fraudulentos para los anunciantes, socavando así las campañas de PPC. Esto aumenta el costo de la publicidad con tasas de conversión más bajas y datos de usuario sesgados para las empresas en línea
  • Listado de fraudes de pago: los vendedores fraudulentos en listan los productos para la venta y solicitan el pago por adelantado. El vendedor acepta el pago, pero el producto no existe o no se envía, y los datos bancarios o de la tarjeta de crédito del comprador pueden ser utilizados como parte de un esquema de fraude más amplio

Programas de lealtad

La digitalización ha transformado la funcionalidad del punto de venta al registrar y agregar datos transaccionales. Sin embargo, el punto de venta también es un objetivo importante para el fraude, ya que afecta a las vulnerabilidades del comercio electrónico en las tiendas. Estos incluyen: el fraude en los programas de lealtad es endémico, específicamente en los mercados emergentes, por ejemplo, en Asia, donde la mayoría de las compras se realizan con efectivo en la entrega o con aplicaciones móviles, en lugar de con una tarjeta de crédito.

Las aplicaciones de lealtad registran todas las transacciones de un cliente, incluidas las transacciones en efectivo, y recopilan datos de clientes ricos para los minoristas en relación con las opciones y comportamientos de los clientes, incluida la información sobre cuentas bancarias y ubicación. Estos datos valiosos atraen a los hackers.

Los programas de lealtad también son objeto de fraude interno, incluyendo el abuso de puntos, ofertas y promociones. Los empleados involucrados no pasan promociones a los clientes, ni se otorgan a sí mismos, amigos o familiares puntos extras, con o sin una compra, a cambio de bienes o dinero en efectivo.

Las funciones de gestión de riesgos deben tener en cuenta que, si bien los riesgos asociados a las transacciones son en general similares, el escenario difiere de una región a otra, dependiendo de las normas culturales, los hábitos de compra y los niveles de adopción de la tecnología. Las salvaguardias y las soluciones deben reflejar esto.

Por ejemplo, las economías desarrolladas están experimentando con el reconocimiento facial como parte de la autorización de pago. Sin embargo, en las economías emergentes asiáticas, que son las que están experimentando el mayor crecimiento en el comercio electrónico, los pagos se completan en su mayoría con pago contra reembolso, aplicaciones para teléfonos inteligentes y tarjetas de prepago. Todos ellos son transferibles, no están vinculados a cuentas bancarias y no requieren una referencia de crédito.

Vulnerabilidades de la cadena de suministro

Los sistemas de gestión y control de inventario que rastrean y localizan los artículos del almacén y se integran con los sistemas administrativos (contabilidad o planificación de recursos empresariales) y, a menudo, con el software de punto de venta y gestión de activos, supervisan los niveles y movimientos de las existencias. Sin embargo, las organizaciones de CPR están reportando incidentes de fraude que están exponiendo vacíos en los sistemas de ventas secundarios y terciarios.

Ejemplos de fraude interno por abuso de sistemas de ventas secundarias (de distribuidor a minorista) incluyen:

  • Ventas infladas en puntos de venta nuevos o existentes para reclamar beneficios indebidos – personal de ventas manipulando el sistema para reclamar incentivos
  • Incentivos reclamados por la creación de "vendedores fantasmas" – una respuesta a la presión por incentivos y objetivos
  • Lagunas en el proceso de creación de puntos de venta al por menor que pueden permitir la creación de puntos de venta al por menor falsos en el sistema de ventas secundarias por parte de los distribuidores para reclamar beneficios indebidos del sistema comercial
  • Fugas en los pagos de los planes realizados para ventas infladas o puntos de venta al por menor falsos
    Problemas de seguridad de la base de datos en torno a los permisos que permiten el acceso no autorizado a las bases de datos de back-end y a las soluciones alternativas, como el uso compartido de contraseñas para evitar los flujos de trabajo de aprobación

Entre los ejemplos de fraude por abuso de los sistemas de venta terciarios (del minorista al consumidor final) se incluyen los siguientes:

  • El sistema PoS se utiliza solo para la facturación de productos promocionales y, por lo tanto, los datos transaccionales no son indicativos del comportamiento real de los clientes.
    Los beneficios de la promoción no se transfieren al consumidor final – el cliente paga el precio completo y el empleado reclama la promoción por separado (por ejemplo, con una oferta de dos por uno, se quedan con el artículo adicional)
  • Ventas reservadas en horas no laborables, de modo que algunas ventas no se registran en el sistema
  • Hackers que explotan las vulnerabilidades de las plataformas de transacciones digitales, incluidos los internos que encuentran lagunas en el sistema y los hackers externos que entienden el sistema
  • Uso indebido de los puntos de recompensa para obtener puntos en las compras de los clientes y aplicarlos a otra tarjeta de lealtad (la propia de un empleado o la de un familiar o amigo)

La investigación de los datos de ventas primarios, secundarios y terciarios revela vulnerabilidades más específicas. Por ejemplo, aunque los dispositivos móviles de punto de venta y los sistemas de gestión de la distribución han mejorado la visibilidad de las transacciones y los niveles de existencias, los niveles de transparencia varían en función del paquete de software utilizado. Los sistemas a gran escala que se ocupan de grandes volúmenes de transacciones, especialmente en Asia, pueden pasar por alto pequeños incidentes que son individualmente insignificantes, pero que están muy extendidos en toda la empresa.

Por lo tanto, aunque las empresas son conscientes de que hay algunas fugas en el sistema de ventas secundarias, no son conscientes de la magnitud de las pérdidas globales.

Máscaras colgadas en un mercado
(Chapter breaker)
3

Capítulo 3

Arreglar la fuga: evaluación proactiva de las vulnerabilidades

Sigan un enfoque de tres vías para determinar los puntos de dolor potenciales y comiencen a cambiar los comportamientos y a proteger mejor sus activos.

Dado que las empresas de CPR gastan grandes sumas de dinero en proyectos de transformación de tecnología en sus operaciones comerciales clave, las partes interesadas responsables de estos proyectos deben evaluar las vulnerabilidades de fraude que surgen. Se requiere un enfoque específico en los proyectos de alto valor que tienen un impacto financiero en forma de incentivos o pagos para los empleados de la empresa y terceros externos involucrados en la cadena de valor.

Esto complementa la necesidad de una estrategia proactiva para detectar y abordar las lagunas en los procesos y sistemas implicados en la iniciativa de transformación digital, con el fin de prevenir el fraude antes de que ocurra en lugar de reaccionar después. Una estrategia proactiva requiere que las organizaciones determinen dónde están los problemas y tomen medidas para resolverlos utilizando una combinación de controles, monitoreo y estímulo para cambiar los comportamientos.

Un enfoque tripartito de la evaluación forense proactiva puede añadir valor para las empresas que tratan de mitigar las posibles fugas:

1. Identificar y comprender

  • Identificar la iniciativa de transformación con el mayor impacto financiero
  • Comprender el propósito y los objetivos de la iniciativa de transformación
  • Comprender los indicadores clave de desempeño vinculados al proyecto de transformación que podrían resultar en beneficios para las partes interesadas internas y externas, y su impacto financiero en la organización
  • Analizar los vínculos entre los procesos y sistemas críticos del negocio involucrados en la iniciativa de transformación

2. Realizar pruebas de funcionalidad y análisis de datos

  • Realizar pruebas de funcionalidad de la aplicación del sistema o plataforma que se está implementando
  • Diseñar escenarios de riesgo de fraude relevantes para los procesos de negocio vinculados a la aplicación del sistema o plataforma en cuestión
  • Extraer datos de fuentes relevantes y realizar análisis forense de datos para probar la hipótesis de escenarios de riesgo de fraude aplicables al negocio
  • Realizar comprobaciones adicionales para validar las excepciones identificadas sobre la base del análisis de datos

3. Mitigar

  • Identificar las áreas vulnerables y categorizarlas en orden de prioridad
  • Diseñar controles prácticos para mitigar los riesgos
  • Construir un marco de monitoreo basado en parámetros que ayuden a identificar las señales de alerta de manera continua en el futuro
  • Ayudar en la implementación de los controles en consulta con la gerencia
  • Definir y acordar un mecanismo de revisión en curso para los controles

Cuando se han identificado los riesgos clave de una organización utilizando escenarios de prueba y análisis de datos dentro del enfoque de tres vías mencionado anteriormente, el monitoreo de tipos específicos de incidentes puede incorporarse al marco de control.

Sin embargo, teniendo en cuenta la cantidad de registros y transacciones electrónicas, que han ido en aumento de forma significativa, las empresas se enfrentan a una tarea cuesta arriba. Necesitan aprovechar proactivamente el análisis para evaluar los datos, resaltar los vacíos e identificar patrones utilizando herramientas intuitivas asistidas por tecnología.

La analítica es una herramienta inmensamente poderosa. Por ejemplo, el análisis de tendencias de los datos de ventas en línea ayuda a detectar patrones de compra ilícita, como la compra al por mayor y las devoluciones repetidas. Los análisis retrospectivos en las terminales de punto de venta pueden utilizarse para identificar actividades inapropiadas o fraudulentas, complementando los análisis de pago realizados por los proveedores de tarjetas de crédito.

Teniendo en cuenta la creciente cantidad de registros y transacciones electrónicas, las empresas se enfrentan a una tarea cuesta arriba. Necesitan aprovechar proactivamente el análisis para evaluar los datos, resaltar los vacíos e identificar patrones utilizando herramientas intuitivas asistidas por tecnología.

La visualización de datos y el aprendizaje automático permiten a las grandes organizaciones identificar tendencias en torno a actividades potencialmente fraudulentas y comunicarse con las empresas para asesorar a los empleados que pueden plantear los mayores riesgos dentro de su organización.

Conclusión e ideas principales

La digitalización ha transformado el entorno de la industria de consumo y retail de muchas maneras positivas, ya que el comercio electrónico acelera el comercio casi instantáneo de una amplia gama de productos procedentes de todo el mundo. El éxito de la venta al por menor en línea y a través de omnicanales es altamente rentable, pero la digitalización también está creando un horizonte de riesgo diferente.

Entre las nuevas amenazas se incluyen los ciberdelincuentes que interceptan los sistemas de ventas físicos y en línea, los empleados deshonestos o descuidados, y los terceros que buscan deliberadamente oportunidades para aprovechar las lagunas o soluciones del sistema de manera que este sea vulnerable a las intercepciones o a los esquemas fraudulentos. La industria de consumo y retail produce grandes cantidades de datos, que pueden aprovecharse para hacer crecer las empresas y protegerlas también.

En lugar de tener que disciplinar o despedir a los individuos que son capturados, es posible identificar dónde está el riesgo en el negocio y cambiar proactivamente los comportamientos. Es importante continuar monitoreando y midiendo la integridad de las transacciones para identificar qué estrategias y procesos están marcando la diferencia, y asegurar que las actividades y grupos correctos están siendo dirigidos.

La industria actual de CPR requiere sistemas para identificar y combatir los riesgos de fraude creados por la digitalización. Los nuevos desarrollos en la tecnología de venta al por menor también traen consigo nuevas oportunidades de interceptación y explotación. La adopción de un enfoque tripartito para la evaluación forense es clave para gestionar los riesgos asociados con los incidentes de fraude en el sector de CPR.

Resumen

Los incidentes de fraude perpetrados por personas internas de la empresa, organizaciones conectadas y partes externas están exponiendo y explotando las nuevas vulnerabilidades de los modelos de negocio en red. Una estrategia proactiva requiere que las organizaciones determinen dónde están los problemas y tomen medidas para resolverlos utilizando una combinación de controles, monitoreo y estímulo para cambiar los comportamientos.