Tu primera oleada de pedidos fraudulentos: Guía de supervivencia para comerciantes de Shopify
Hay un momento que todo comerciante de Shopify recuerda. Te despiertas con una avalancha de pedidos nuevos y, por una fracción de segundo, piensas que tu estrategia de marketing finalmente dio en el clavo. Luego, miras más de cerca. Los pedidos tienen direcciones de facturación y envío que no coinciden. Las direcciones de correo electrónico parecen generadas automáticamente. Tres de ellos usaron diferentes tarjetas de crédito, pero se enviaron al mismo apartamento en una ciudad de la que nunca habías oído hablar. Un cliente realizó seis pedidos en diez minutos.
Esa sensación, en la que se te revuelve el estómago y tu primer instinto es buscar en Google "fraude de Shopify qué hago", es más común de lo que piensas. El fraude no es algo que solo les ocurre a las tiendas que procesan miles de pedidos al mes. Les sucede a tiendas con cinco productos y tráfico modesto. Les sucede a tiendas nuevas que acaban de lanzarse. Y cuando ocurre, el tiempo corre.
Esta publicación es para comerciantes que están lidiando con esto ahora mismo o que quieren estar preparados antes de que suceda. Analizaremos qué está sucediendo realmente detrás de estos pedidos, qué debes hacer de inmediato y cómo configurar tu tienda para que la próxima ola rebote en lugar de colarse.
Lo que los defraudadores le están haciendo a tu tienda
La mayoría de la actividad de pedidos fraudulentos que afecta a las tiendas de Shopify se divide en algunas categorías, y comprenderlas es importante porque la respuesta es diferente para cada una.
La prueba de tarjetas es la más común. Los defraudadores tienen listas de números de tarjetas de crédito robadas, a menudo compradas en mercados de la web oscura después de filtraciones de datos. Necesitan averiguar qué tarjetas siguen activas, así que realizan pequeñas transacciones en tiendas reales. Tu tienda se convierte en el campo de pruebas. Apuntarán a tu producto más barato y realizarán docenas o cientos de pedidos en rápida sucesión, cada uno con un número de tarjeta diferente. La mayoría fallará al momento de pagar, pero los que se realicen confirman una tarjeta activa que el defraudador puede usar para compras más grandes en otros lugares. Mientras tanto, tú te quedas con un desorden: cientos de pagos abandonados que atascan tus análisis, un puñado de pedidos reales que no querías y tarifas de procesamiento en cada transacción que pasó por tu pasarela de pago.
Las compras con tarjeta robada son el siguiente nivel. Una vez que un defraudador ha confirmado que una tarjeta funciona, la usa para comprar algo real en tu tienda. A menudo elegirán artículos caros y los enviarán a una dirección diferente a la de facturación. El titular real de la tarjeta eventualmente nota el cargo, se comunica con su banco y presenta una disputa de pago (chargeback). Pierdes el producto, pierdes el pago y, además, te golpea una tarifa por contracargo. Shopify puede ayudarte a presentar pruebas para disputar el contracargo, pero la decisión final recae en el banco del titular de la tarjeta, y los bancos tienden a ponerse del lado de los titulares de las tarjetas.
El fraude amistoso es más difícil de detectar porque proviene de clientes reales. Alguien realiza un pedido legítimo, recibe el producto y luego le dice a su banco que nunca autorizó el cargo o que el artículo nunca llegó. Esto representa una porción sorprendentemente grande de las devoluciones de cargos en toda la industria.
El costo real de no hacer nada
El golpe financiero de un solo pedido fraudulento ya es bastante malo: pierdes el producto, el costo de envío, el pago y una tarifa de contracargo (típicamente de $15 a $25). Pero el daño acumulativo es lo que realmente duele.
Las redes de tarjetas como Visa y Mastercard monitorean tu índice de contracargos. El programa VAMP (Visa Acquirer Monitoring Program) de Visa, que entró en vigor en abril de 2025, rastrea tanto las disputas como el fraude en tu cuenta. Si tu índice supera ciertos umbrales, puedes enfrentar multas, mayores tarifas de procesamiento o incluso ser incluido en una lista de comerciantes terminados que dificulta la aceptación de tarjetas de crédito. Shopify Payments también puede restringir o deshabilitar tu cuenta si los contracargos se descontrolan.
En resumen: unos pocos pedidos fraudulentos no resueltos hoy pueden convertirse en un problema sistémico que amenaza tu capacidad para procesar pagos por completo.
Qué hacer ahora mismo si estás bajo ataque
Si actualmente estás viendo una ola de pedidos sospechosos, aquí está la secuencia.
Deja de enviar cualquier cosa que parezca sospechosa. Esto parece obvio, pero en el pánico de una ola de fraude, los comerciantes a veces siguen enviando porque tienen miedo de los clientes enojados. Si un pedido tiene señales de alerta, reténlo. Un pedido no enviado es mucho más fácil de manejar que uno enviado.
Verifica el análisis de fraude integrado de Shopify. Cada pedido con tarjeta de crédito en tu tienda recibe una recomendación de fraude: riesgo bajo, medio o alto. Puedes encontrar esto en la sección "Riesgo del pedido" en cualquier página de pedido. El sistema de Shopify verifica AVS (Sistema de Verificación de Direcciones), coincidencias de CVV, geolocalización de IP y patrones de comportamiento. Si un pedido está marcado como de alto riesgo, es una fuerte señal para no enviarlo.
Cancela y reembolsa los pedidos fraudulentos inmediatamente. Si aún no has capturado el pago, cancela el pedido. Si el pago ha sido capturado, emite un reembolso antes de que el titular de la tarjeta presente una disputa de pago. Un reembolso te cuesta la tarifa de procesamiento, pero evita la tarifa de disputa de pago y la marca en tu índice de disputas de pago.
Documenta todo. Mantén registros de qué pedidos identificaste como fraudulentos, cuáles fueron las señales de alerta y qué acciones tomaste. Si terminas en una disputa de contracargo, esta documentación se convierte en tu evidencia.
Configurando tus defensas
Una vez que hayas manejado la crisis inmediata, es hora de construir la infraestructura que evite la próxima.
Cambia a la captura manual de pagos. Por defecto, Shopify captura automáticamente el pago en el momento en que un cliente realiza un pedido. Si cambias a la captura manual de pagos, la tarjeta se autoriza pero no se carga hasta que tú captures explícitamente el pago. Esto te da una ventana para revisar el análisis de fraude del pedido antes de que se mueva cualquier dinero. Si el pedido parece malo, lo cancelas. Sin cargo, sin riesgo de contracargo.
El inconveniente es que la captura manual añade un paso a cada pedido, lo que puede ralentizar las cosas si procesas un gran volumen. Aquí es donde entra Shopify Flow.
Automatiza con Shopify Flow. Shopify Flow te permite crear flujos de trabajo que manejan automáticamente los pedidos de alto riesgo. Por ejemplo, puedes configurar un flujo que capture automáticamente el pago para pedidos de riesgo bajo y medio, pero retenga los pedidos de alto riesgo para una revisión manual. Otra plantilla útil cancela automáticamente los pedidos de direcciones de correo electrónico que se han asociado con fraudes anteriores. También hay una plantilla que restringe a los clientes a cinco pedidos por día, lo que detiene a los bots de prueba de tarjetas.
Instala la aplicación Fraud Control. La aplicación Fraud Control de Shopify te brinda un panel de control que muestra tus niveles de riesgo de fraude y te permite crear reglas de pago. Puedes bloquear pagos basados en la dirección IP, el código postal u otras condiciones. Esto es especialmente útil durante un ataque activo de prueba de tarjetas donde los intentos provienen de una región específica o rango de IP. Ten en cuenta que las reglas agresivas también pueden bloquear a clientes legítimos, así que úsalas con precaución y revisa los resultados.
Habilita la autenticación 3D Secure. Si estás usando Shopify Payments, 3D Secure añade un paso de verificación extra durante el pago donde el banco del cliente confirma la transacción. Esto traslada la responsabilidad de los contracargos de ti al emisor de la tarjeta en muchos casos. No todas las transacciones activarán 3D Secure (depende del banco y la evaluación de riesgos), pero tenerlo habilitado proporciona una importante red de seguridad.
Conoce Shopify Protect. Para las tiendas con sede en EE. UU. que utilizan Shop Pay, Shopify Protect cubre automáticamente los contracargos elegibles basados en fraude sin costo adicional. Debes cumplir con los pedidos en un plazo de siete días y proporcionar el seguimiento de un transportista compatible. Si se cumplen esas condiciones y recibes un contracargo por fraude, Shopify cubre el costo del pedido y la tarifa de contracargo. Esto solo se aplica a las transacciones de Shop Pay, por lo que no cubrirá todo, pero es una protección gratuita que vale la pena aprovechar.
Patrones que vale la pena observar
Con el tiempo, desarrollarás un ojo para los pedidos sospechosos. Aquí hay algunas de las señales de alerta más comunes.
Pedidos donde el país de facturación y el país de envío no coinciden, especialmente cuando el destino de envío está en una región de alto fraude. Múltiples pedidos desde la misma dirección IP en un corto período de tiempo. Direcciones de correo electrónico que parecen generadas aleatoriamente (cadenas de letras y números en proveedores de correo electrónico gratuitos). Pedidos de cantidades inusualmente altas o de tus artículos más caros de clientes primerizos sin historial de compras anterior. Clientes que realizan un pedido y luego envían un correo electrónico inmediatamente pidiendo cambiar la dirección de envío.
Nada de esto es prueba automática de fraude. Los clientes legítimos viajan, compran regalos para personas en otros países y, a veces, tienen direcciones de correo electrónico extrañas. Pero cuando varias señales de alerta se acumulan en un solo pedido, vale la pena investigar antes de enviarlo.
La incómoda verdad
Ningún sistema de prevención de fraude es perfecto. Las herramientas integradas de Shopify son buenas y están mejorando con las mejoras de aprendizaje automático en millones de tiendas. Las aplicaciones de fraude de terceros añaden otra capa. Pero los defraudadores decididos se adaptan y regularmente surgen nuevos patrones de ataque.
Los comerciantes que mejor manejan esto no son los que tienen las herramientas más caras. Son los que tienen un proceso. Revisan los pedidos antes de enviarlos. Usan captura manual o automatizaciones de Flow para crear un búfer entre el pedido y el pago. Monitorean su índice de contracargos. Y tratan la prevención del fraude como una práctica continua, no como una configuración única.
Si estás leyendo esto porque acabas de sufrir tu primera ola de fraude, ten en cuenta que le sucede a casi todas las tiendas tarde o temprano. Maneja el problema inmediato, configura las defensas y vuelve a ocuparte de tu negocio.
Pasilobus crea aplicaciones de Shopify para comerciantes que se toman en serio sus tiendas. Si necesitas ayuda con algo, desde análisis de la tienda hasta la experiencia del cliente, estamos aquí.
