En los últimos años, los gimnasios han pasado a ser objetivo de diferentes tipos de fraudes con tarjetas de crédito. Esto ocurre porque ofrecen servicios digitales (como inscripciones online, planes recurrentes y ventas puntuales) que permiten que los delincuentes prueben o utilicen tarjetas robadas de forma relativamente sencilla.
Los dos tipos de fraude más comunes en este contexto son el card testing y la triangulation fraud. Entiende cómo funcionan:
Card Testing
Qué es
El card testing ocurre cuando los delincuentes obtienen datos de tarjetas robadas o generadas ilegalmente y realizan pequeñas transacciones online solo para verificar si esas tarjetas están activas y pueden usarse en compras mayores.
Cómo funciona en la práctica
El defraudador utiliza el sitio de inscripción o de pago del gimnasio para intentar registrar transacciones de bajo valor.
No está interesado en utilizar los servicios del gimnasio, su objetivo es solo confirmar si la tarjeta funciona.
Una vez aprobada, esa tarjeta se utiliza en otras compras, generalmente de mayor valor, en otros establecimientos.
Generalmente, los perfiles creados tienen nombres ficticios y, muchas veces, palabras inventadas o caracteres desordenados.
Impactos para el gimnasio
Generación de múltiples transacciones fraudulentas, que pueden aumentar costos con contracargos (chargebacks).
Riesgo de bloqueo o penalizaciones por parte del adquirente, en caso de que el volumen de fraude sea elevado.
Experiencia negativa para clientes legítimos, que pueden ser confundidos con defraudadores.
Alto número de registros falsos, que llevan a la necesidad de reversión de la transacción y eliminación de la venta y del registro, generando un gran volumen de trabajo manual.
Triangulation Fraud
Qué es
En la triangulation fraud, el delincuente crea un “esquema” en tres partes: el cliente real, el defraudador y el gimnasio (u otro establecimiento legítimo).
Cómo funciona en la práctica
El defraudador anuncia planes de gimnasio o productos relacionados en redes sociales o sitios paralelos, generalmente con precios muy por debajo de lo normal.
Un cliente real, atraído por el precio, paga al defraudador.
El defraudador entonces utiliza una tarjeta de crédito robada para comprar ese plan o servicio directamente en el sitio del gimnasio, ingresando los datos reales del cliente.
El cliente comienza a utilizar el servicio sin saber que fue adquirido de forma ilícita.
Impactos para el gimnasio
El servicio se presta normalmente, pero el pago realizado con tarjeta robada termina siendo revertido.
El gimnasio pierde el ingreso y además asume costos de contracargo (chargeback).
Existe riesgo de desgaste de imagen, ya que el cliente real puede sentirse engañado al descubrir que el acceso se realizó de forma fraudulenta.
Cómo protegerse
Para el card testing
Activar un servicio antifraude en el gateway de pagos: analiza información adicional del comprador (nombre, documiento, dirección, teléfono, correo electrónico) además de los datos básicos de la tarjeta.
Monitorear el volumen de intentos: un número anormal de transacciones rechazadas en secuencia puede indicar pruebas de tarjetas.
Habilitar en EVO el envío de correo electrónico para registro de nuevas oportunidades: disponible en el menú Configuraciones - Autoservicio. De esta forma, se requiere un paso adicional para validar el registro. A pesar de ser una barrera, no impide totalmente el card testing, ya que los delincuentes crean cuentas de correo ficticias para eludir esta validación.
Para la triangulation fraud
Comunicar claramente los canales oficiales de venta: sitio del gimnasio, aplicación o mostrador.
Monitorear registros sospechosos: planes comprados por terceros en gran cantidad pueden ser señal de fraude.
Capacitar al equipo de atención para identificar clientes que llegan con ofertas de sitios o anuncios paralelos.
Habilitar en EVO la opción Bloquear acceso después de registrar una nueva tarjeta: disponible en Configuraciones - Autoservicio. Con esta opción, siempre que un cliente agregue una nueva tarjeta (en pagos de pendientes o registro), tendrá el acceso bloqueado y deberá presentar la tarjeta en recepción. El equipo verifica la posesión de la tarjeta y desbloquea manualmente, garantizando mayor seguridad.
Bloquear el acceso de clientes con contracargo: siempre que haya un contracargo, el acceso del cliente debe ser bloqueado hasta que se presente en recepción, justifique lo ocurrido y registre una nueva tarjeta válida. Esto evita que usuarios que alegaron desconocer una transacción continúen utilizando los servicios del gimnasio sin regularizar la situación.
Conclusión
Fraudes como el card testing y la triangulation fraud pueden generar pérdidas financieras y de imagen para los gimnasios. La mejor forma de protegerse es combinar tecnología antifraude, herramientas de EVO y procesos internos bien definidos.
Si ya eres cliente EVO y también utilizas Stone como adquirente, puedes contar con el antifraude de Pagar.me sin costo adicional. Para activarlo, contacta a nuestro equipo de atención.
