Cómo el fraude de prueba de tarjetas afecta la entregabilidad del correo electrónico (y cómo prevenirlo)

Si aceptas pagos a través de formularios de WordPress, existe una conexión importante entre la seguridad de los pagos y la entregabilidad del correo electrónico que debes conocer.

El fraude de prueba de tarjetas es una práctica común llevada a cabo por ciberdelincuentes, quienes utilizan bots automatizados para validar tarjetas de crédito robadas en tus formularios de pago. Estos ataques de prueba de tarjetas no solo son perjudiciales para la seguridad, sino que también pueden afectar tu reputación como remitente de correos electrónicos de maneras que impactan tus comunicaciones comerciales legítimas.

He aquí por qué: cada envío de formulario de pago suele activar una notificación por correo electrónico. Durante un ataque de prueba de tarjetas, cientos o miles de intentos fraudulentos pueden generar un pico repentino en tu volumen de correos electrónicos salientes. Este patrón puede indicar a los proveedores de correo electrónico que algo inusual está sucediendo con tu dominio, lo que podría afectar la forma en que se entregan tus correos electrónicos.

¡Pero no hay necesidad de entrar en pánico! Con las medidas preventivas adecuadas, puedes proteger tanto tus formularios de pago como tu infraestructura de correo electrónico. 

Soluciona tus correos de WordPress ahora

Exploremos cómo funciona el fraude de prueba de tarjetas y los pasos prácticos que puedes tomar para proteger tu sitio de WordPress.

¿Qué es el fraude de prueba de tarjetas?

El fraude de prueba de tarjetas (también llamado "carding" o "card checking") ocurre cuando los delincuentes validan números de tarjetas de crédito robadas realizando pequeñas compras de prueba en tu sitio web. 

Los estafadores compran listas de datos de tarjetas de crédito robadas en la dark web, a veces miles de números de tarjetas a la vez. Pero no saben qué tarjetas siguen activas, cuáles han sido canceladas y cuáles activarán alertas de fraude. Así que las prueban.

Utilizan bots automatizados para enviar rápidamente transacciones pequeñas, típicamente entre 0,50 y 5,00 $, a través de formularios de pago que aceptan pagos variables (los formularios de donación son un objetivo común).

Estas cantidades son lo suficientemente pequeñas como para evitar los sistemas de detección de fraude, por debajo del umbral que alertaría a los titulares de las tarjetas, y rápidas de procesar, lo que permite cientos de pruebas por hora.

Una vez que una tarjeta procesa con éxito una transacción, el estafador sabe que es válida. Estos números de tarjeta verificados se venden a un precio superior en la dark web o se utilizan para compras grandes antes de que el titular de la tarjeta se dé cuenta.

¿Por qué los sitios de WordPress son objetivos principales?

• Cuota de mercado: WordPress impulsa el 62% de todos los sitios web con un sistema de gestión de contenido, lo que lo convierte en la plataforma más común en la web.
• Niveles de seguridad variables: las pequeñas empresas a menudo carecen de los sofisticados sistemas de detección de fraude utilizados por las grandes plataformas de comercio electrónico empresariales.
• Fácil accesibilidad: los formularios de pago son de acceso público y fáciles de localizar mediante escaneo automatizado.

Entregabilidad de correo electrónico y fraude por pruebas de tarjetas

Aquí es donde las cosas se vuelven aún más complicadas para los propietarios de sitios: Un solo ataque de prueba de tarjetas puede generar de 500 a 5.000 intentos de transacción por hora, y cada uno de ellos activa una notificación por correo electrónico desde su sitio.

Cuando los estafadores prueban 1.000 tarjetas de crédito robadas en su formulario de pago en 2 horas, su sitio de WordPress envía 1.000 correos electrónicos de notificación desde su dominio en esas mismas 2 horas.

Cómo los proveedores de correo electrónico evalúan los patrones de envío

Los proveedores de correo electrónico como Gmail, Outlook y Yahoo utilizan sistemas automatizados para evaluar el comportamiento del remitente. Estos sistemas analizan patrones que incluyen cambios repentinos en el volumen de correos electrónicos de un dominio, consistencia de los patrones de envío a lo largo del tiempo, tasas de interacción y tasas de rebote, y protocolos de autenticación.

Cuando el volumen de correos electrónicos de un sitio aumenta repentinamente entre 10 y 20 veces (lo que puede ocurrir durante los ataques de prueba de tarjetas), estos sistemas pueden marcar el patrón como inusual. El desafío es que los sistemas automatizados no pueden distinguir fácilmente entre aumentos de volumen legítimos y actividad potencialmente problemática.

Comprender la reputación del remitente

Los proveedores de servicios de Internet (ISP) utilizan la consistencia del volumen como una de varias señales de confianza al evaluar a los remitentes de correo electrónico. Generalmente prefieren patrones de envío predecibles.

Cuando el volumen de correos electrónicos de un dominio aumenta de forma drástica e inesperada, los ISP pueden aplicar un escrutinio adicional. Esto se debe a que patrones similares a veces se asocian con cuentas de correo electrónico comprometidas, operaciones de spam masivo o problemas de seguridad con la infraestructura de envío. Si bien esta medida de protección ayuda a los ISP a filtrar amenazas genuinas, también puede afectar a los remitentes legítimos que experimentan picos de volumen inesperados.

Un ataque de prueba de tarjetas puede desencadenar limitaciones de velocidad, afectar la colocación en la bandeja de entrada y perjudicar las métricas de reputación del remitente. La buena noticia es que estos problemas son prevenibles con medidas de seguridad adecuadas.

Impacto potencial en el rendimiento del correo electrónico

Cuando la reputación del remitente se ve afectada por patrones de envío inusuales, pueden ocurrir varias cosas. La entrega de correos electrónicos puede retrasarse ya que los mensajes se ponen en cola para una revisión adicional. Algunos mensajes pueden filtrarse a las carpetas de spam y las tasas de colocación en la bandeja de entrada pueden disminuir. Los correos electrónicos transaccionales como las confirmaciones de pedidos y los restablecimientos de contraseña pueden experimentar problemas de entrega.

Normalmente se tarda entre 8 y 12 semanas en reconstruir completamente la reputación de un remitente después de que se haya visto afectada negativamente, por lo que la prevención es fundamental.

El mejor enfoque es implementar medidas de seguridad que eviten que los ataques de prueba de tarjetas ocurran en primer lugar, protegiendo tanto la seguridad de sus pagos como su infraestructura de correo electrónico.

Picos de volumen frente a quejas de spam: comprendiendo la diferencia

La mayoría de los propietarios de sitios están familiarizados con cómo las quejas de spam afectan la entregabilidad del correo electrónico. Gmail y Yahoo requieren tasas de spam por debajo del 0,3 %, y la mejor práctica es apuntar a un 0,1 % o menos. Las quejas de spam suelen acumularse gradualmente, lo que le da tiempo para identificar y abordar los problemas.

Los picos de volumen de los ataques de prueba de tarjetas presentan un desafío diferente porque ocurren repentinamente y afectan a diferentes métricas.

Múltiples factores de impacto: En lugar de solo afectar las tasas de quejas, los picos de volumen pueden influir en la consistencia del patrón de envío, las tasas de rebote (si los estafadores usan direcciones de correo electrónico no válidas), las métricas de participación (los correos electrónicos de envío fraudulentos suelen tener cero aperturas o clics) y las proporciones generales de volumen a participación.

Inicio rápido: Mientras que las quejas de spam se acumulan con el tiempo, los problemas de volumen pueden surgir en cuestión de horas durante un ataque activo. Los ISP utilizan sistemas automatizados para marcar patrones de envío inusuales, lo que significa que la intervención ocurre rápidamente, a menudo antes de que usted sea consciente de que hay un problema.

Cronología: cómo los ataques de prueba de tarjetas afectan la entrega de correos electrónicos

Comprender la línea de tiempo de un ataque de prueba de tarjetas puede ayudarle a reconocer las señales tempranas y tomar medidas preventivas. Echemos un vistazo a una línea de tiempo típica para tener una mejor idea de cuán rápido un ataque como este podría afectar la entregabilidad de su correo electrónico:

Etapa 1: El Ataque (Horas 0-3)

11:00 PM: La primera transacción fraudulenta llega. Se envía una notificación por correo electrónico.

11:15 PM: Cincuenta intentos más. Cincuenta notificaciones por correo electrónico.

12:00 AM: El bot está en pleno apogeo. Quinientos intentos en la última hora. Su servidor de correo está procesando quinientos correos electrónicos salientes.

1:00 AM: Otros quinientos. Su volumen diario normal se envía en una sola hora.

2:00 AM: Comienza la limitación de velocidad. Su proveedor de SMTP comienza a reducir la velocidad porque su patrón de envío ahora es indistinguible del spam.

Etapa 2: Impacto en el Servicio (Horas 3-24)

Si el ataque continúa sin abordarse, el servicio de correo electrónico puede verse afectado. Los correos electrónicos de restablecimiento de contraseña pueden retrasarse y las confirmaciones de pedidos pueden experimentar retrasos en la entrega debido a la acumulación de colas. Algunas notificaciones podrían filtrarse o retrasarse mientras los ISP revisan los patrones de envío inusuales, y las tasas de entrega de boletines pueden disminuir temporalmente.

Etapa 3: Efectos en la Reputación (Días 1-7)

Incluso después de detener el ataque, el rendimiento del correo electrónico puede seguir viéndose afectado:

Las métricas de reputación de su dominio pueden mostrar cambios a medida que los ISP procesan el patrón de envío inusual. Las herramientas de monitoreo de correo electrónico como Google Postmaster Tools podrían mostrar disminuciones en la puntuación de reputación. Las tasas de colocación en la bandeja de entrada podrían ser más bajas de lo normal durante este período.

Es por eso que la prevención es mucho más efectiva que la remediación.

Etapa 4: Proceso de Recuperación (Semanas 1-12)

Si la reputación del remitente se ha visto afectada, reconstruirla requiere un enfoque metódico. Debe reconstruir gradualmente su reputación de envío a través de un proceso similar al "calentamiento" de una nueva dirección IP. Esto implica un aumento gradual del volumen de correos electrónicos durante 15 a 60 días, comenzando con sus suscriptores más comprometidos.

Cómo prevenir el fraude de prueba de tarjetas

Una de las formas más efectivas de prevenir el fraude de prueba de tarjetas es establecer un precio mínimo en sus campos de pago. Esta simple configuración puede detener miles de intentos fraudulentos antes de que ocurran.

Por qué funcionan los ajustes de precio mínimo

El enfoque es elegantemente simple pero muy efectivo. Cuando establece un monto de transacción mínimo en sus campos de pago (como 5 $, 10 $ o 20 $), cualquier transacción por debajo de ese umbral no se procesará.

Dado que los estafadores prefieren las microtransacciones entre 0,50 $ y 2,00 $ (es menos probable que activen alertas de fraude), establecer un precio mínimo hace que su formulario no sea atractivo para las pruebas de tarjetas. Mientras tanto, los clientes legítimos no se ven afectados porque sus productos o servicios reales ya cuestan más que el mínimo.

Configuración de precios mínimos

Si está utilizando WPForms, así es como puede configurar precios mínimos en sus campos de pago:

1. Abra su formulario en el constructor de formularios
2. Navegue hasta el formulario con campos de pago
3. Seleccione su campo de Artículo único de pago
4. Haga clic en Opciones de campo
5. Encuentre la configuración "Precio mínimo"
6. Introduzca su importe mínimo

La clave es establecerlo lo suficientemente alto como para disuadir a los estafadores, pero lo suficientemente bajo como para no afectar su oferta legítima de menor precio. Para los formularios de donación donde los visitantes pueden introducir cantidades personalizadas, incluso un mínimo de 5 $ proporciona una protección significativa sin disuadir a los donantes genuinos.

La estrategia completa de protección de correo electrónico

Prevenir el fraude de prueba de tarjetas requiere múltiples capas de protección. Aquí está su estrategia de defensa completa:

Capa 1: Prevenir el ataque (Funciones de seguridad del formulario)

Establezca precios mínimos en todos los campos de pago como su primera línea de defensa. Esta configuración por sí sola puede detener miles de intentos fraudulentos. Esto es especialmente importante para los formularios de donación donde los visitantes pueden introducir cualquier cantidad.

Añada CAPTCHA o una alternativa a sus formularios para evitar que los bots automatizados lleguen a sus campos de pago. La mayoría de los complementos de formularios admiten Google reCAPTCHA v2 y v3.

Para formularios de alto valor, active la verificación de correo electrónico para requerir que los usuarios verifiquen su dirección de correo electrónico antes de enviar. También puede utilizar la lógica condicional para mostrar los campos de pago solo después de que los usuarios completen los campos de información requeridos, lo que dificulta los ataques automatizados.

Si usas Stripe para pagos, activa Stripe Radar, su sistema de detección de fraude integrado que utiliza aprendizaje automático en millones de transacciones para identificar patrones fraudulentos.

Capa 2: Infraestructura de correo electrónico adecuada (WP Mail SMTP)

Este es el punto crítico que la mayoría de los propietarios de sitios de WordPress pasan por alto: nunca confíes en la función wp_mail() predeterminada de WordPress para los correos electrónicos transaccionales.

¿Por qué? Porque wp_mail() utiliza el servidor de correo de tu proveedor de alojamiento web, que carece de autenticación adecuada (SPF, DKIM, DMARC), utiliza direcciones IP compartidas con mala reputación, no tiene capacidades de limitación de velocidad o cola, no puede manejar picos de volumen repentinos y no proporciona registro ni supervisión.

Cuando se produce un ataque de prueba de tarjetas, wp_mail() intentará enviar cada notificación inmediatamente, sin salvaguardias.

WP Mail SMTP enruta tus correos electrónicos de WordPress a través de un proveedor de servicios SMTP profesional, lo que te brinda varias ventajas:

Autenticación adecuada a través de registros SPF, DKIM y DMARC que demuestran que tus correos electrónicos son legítimos. Los ISP otorgan gran importancia a la autenticación al calcular la reputación del remitente.

Infraestructura dedicada significa que tus correos electrónicos se envían a través de servidores de correo profesionales con reputaciones establecidas, no desde tu servidor de alojamiento compartido.

Limitación de velocidad y cola garantiza que cuando se producen picos de volumen, los correos electrónicos se ponen en cola y se envían a velocidades seguras en lugar de activar señales de alerta.

Conexiones de respaldo te permiten usar un proveedor de correo electrónico diferente si tu servicio de correo electrónico principal deja de funcionar temporalmente.

Registro de correos electrónicos rastrea cada correo electrónico enviado desde WordPress. Durante un ataque, puedes ver exactamente lo que está sucediendo y cuántos correos electrónicos se enviaron.

Mejor entregabilidad bajo presión porque los proveedores SMTP profesionales están diseñados para manejar fluctuaciones de volumen y mantener la entregabilidad durante los ataques.

Soluciona tus correos de WordPress ahora

Capa 3: Estrategia de notificación inteligente

Audita todas tus notificaciones de formularios y hazte estas preguntas clave:

¿Necesitas enviar un correo electrónico por cada envío? Para formularios de pago, considera enviar notificaciones solo para pagos exitosos, omitir notificaciones para transacciones rechazadas o usar notificaciones condicionales para filtrar fraudes obvios (como no notificar si una transacción es inferior a 1 $).

¿Puedes consolidar las notificaciones? En lugar de un correo electrónico por transacción, podrías implementar correos electrónicos de resumen diario de todas las transacciones, notificaciones de umbral (solo notificar después de 10 transacciones) o alertas por SMS para actividad sospechosa en lugar de correos electrónicos.

¿Estás enviando a las personas adecuadas? Revisa la configuración de “Enviar a” para eliminar destinatarios innecesarios, usa direcciones basadas en roles en lugar de correos electrónicos personales y considera enviar a un sistema de tickets en lugar de correo electrónico.

Capa 4: Supervisión y alertas

Configura la supervisión para detectar ataques de forma temprana:

Google Postmaster Tools muestra la reputación de su dominio en una escala de 4 niveles (mala, baja, media/aceptable, alta) y le alerta sobre quejas de spam, errores de entrega y problemas de autenticación. Esto es especialmente importante para remitentes de gran volumen.

Microsoft SNDS proporciona información sobre su reputación con los dominios de Outlook y Hotmail, mientras que Sender Score ofrece una calificación numérica gratuita de reputación de 0 a 100.

Habilite el registro de correos electrónicos de WP Mail SMTP para monitorizar el volumen de salida y configurar alertas para picos inusuales. Utilice la gestión de entradas de su plugin de formularios para detectar patrones sospechosos como envíos múltiples desde la misma IP, nombres similares o microtransacciones.

Reconocer la actividad de prueba de tarjetas de forma temprana

La detección temprana de la actividad de prueba de tarjetas le ayuda a responder rápidamente y minimizar cualquier impacto. Estos son los patrones a tener en cuenta:

En su bandeja de entrada de correo electrónico: Esté atento a una avalancha repentina de correos electrónicos de notificación del formulario (decenas por hora en lugar de unos pocos por día). Las notificaciones suelen mostrar cantidades pequeñas (0,50-5,00 $) con nombres y direcciones de correo electrónico diferentes, pero patrones de transacción similares. Puede ver direcciones de correo electrónico internacionales o direcciones que no coinciden con los países de facturación, con todos los envíos agrupados en cuestión de minutos u horas.

En sus registros de correo electrónico: Busque un aumento drástico en el volumen de correos electrónicos salientes (10 veces o más que su tasa normal), con un alto porcentaje de correos electrónicos provenientes de notificaciones de formularios de pago. Los intentos de entrega fallidos pueden estar aumentando junto con una tasa de rebote creciente.

En el panel de su procesador de pagos: Múltiples transacciones rechazadas en rápida sucesión son una señal de alerta. Esté atento a diferentes números de tarjeta pero la misma dirección de envío, alertas de velocidad (muchas transacciones por minuto), una mezcla de direcciones de facturación internacionales y tarjetas que se prueban desde países marcados por fraude.

Pasos para la recuperación de la entregabilidad del correo electrónico

Si su entregabilidad de correo electrónico se ha visto afectada por un incidente de prueba de tarjetas, aquí tiene un enfoque estructurado para la recuperación:

Acciones Inmediatas (0-24 horas)

Detenga todos los ataques en curso deshabilitando temporalmente los formularios de pago o habilitando inmediatamente la configuración de precio mínimo en sus campos de pago. Añada reCAPTCHA si aún no está habilitado y bloquee las direcciones IP que muestren actividad fraudulenta.

Evalúe los daños revisando los registros de correo electrónico de WP Mail SMTP para contar cuántos correos electrónicos se enviaron. Compruebe las puntuaciones de reputación del remitente a través de Google Postmaster, Microsoft SNDS y Sender Score. Pruebe la entregabilidad del correo electrónico a los principales proveedores (Gmail, Outlook, Yahoo) y compruebe el estado de la lista negra utilizando herramientas como MX Toolbox.

Implemente medidas de control de daños poniéndose en contacto inmediatamente con su proveedor de SMTP para explicar el ataque de prueba de tarjetas. Pregunte sobre el estado de la reputación de la IP y cualquier opción de remediación, y solicite orientación sobre el plazo de recuperación.

Recuperación a Corto Plazo (Semanas 1-4)

Pausa los envíos problemáticos e implementa un reacondicionamiento gradual comenzando con volúmenes más bajos y aumentando lentamente mientras priorizas a los usuarios comprometidos.

Semana 1: Envíe solo a los suscriptores que abrieron correos electrónicos en los últimos 7-10 días. Reduzca el volumen entre un 70-80% de lo normal, céntrese en sus correos electrónicos transaccionales de mayor valor y supervise las métricas de entregabilidad diariamente.

Semanas 2-3: Expanda a los suscriptores comprometidos en los últimos 30 días. Aumente el volumen un 25% por semana, continúe monitoreando las tasas de rebote y las quejas de spam, y observe las mejoras en las puntuaciones de reputación del remitente.

Semana 4: Agregue gradualmente suscriptores menos comprometidos, acérquese al 50-70% del volumen normal y busque la estabilización en las métricas de entregabilidad.

Prevención a Largo Plazo (Continuo)

Implemente todas las capas de protección manteniendo habilitadas permanentemente las configuraciones de precio mínimo en todos los formularios de pago y manteniendo reCAPTCHA en todos los formularios de pago. Utilice infraestructura SMTP profesional para todos los correos electrónicos de WordPress y realice auditorías de seguridad regulares de la configuración de los formularios.

Establezca rutinas de monitoreo incluyendo verificaciones semanales de las puntuaciones de reputación del remitente, auditorías mensuales de entregabilidad de correos electrónicos, revisiones trimestrales de seguridad de todos los formularios y alertas automatizadas para picos de volumen.

Manténgase actualizado manteniendo su plugin de formularios actualizado (los parches de seguridad a menudo abordan la prevención de fraudes), manteniendo su plugin SMTP actualizado, revisando los registros de autenticación de correo electrónico anualmente y manteniéndose informado sobre nuevas tácticas de fraude.

Sus formularios de pago y su infraestructura de correo electrónico funcionan juntos como parte del sistema de comunicación general de su sitio. Cuando asegura uno, a menudo está protegiendo el otro.

Establecer precios mínimos en los campos de pago proporciona una primera línea de defensa eficaz contra el fraude de prueba de tarjetas, ayudando a prevenir intentos fraudulentos antes de que puedan generar correos electrónicos de notificación excesivos.

El uso de una solución SMTP profesional como WP Mail SMTP garantiza que sus correos electrónicos legítimos se entreguen de manera confiable a través de una infraestructura adecuada con capacidades de autenticación, limitación de velocidad y monitoreo.

Con la configuración y las herramientas adecuadas implementadas, puede aceptar pagos con confianza mientras mantiene una excelente entregabilidad de correo electrónico.

Soluciona tus correos de WordPress ahora

A continuación, obtén más información sobre cómo mejorar la seguridad del correo electrónico de WordPress

¿Se pregunta qué tan seguro es realmente WP Mail SMTP? ¿O simplemente desea tomar medidas adicionales para mejorar la seguridad de su correo electrónico en general? Nuestra guía sobre seguridad de correo electrónico de WordPress le ayudará.

¿Listo para arreglar tus correos electrónicos? Empieza hoy mismo con el mejor plugin SMTP de WordPress. Si no tienes tiempo para arreglar tus correos electrónicos, puedes obtener asistencia completa de configuración White Glove como compra adicional, y hay una garantía de devolución de dinero de 14 días para todos los planes de pago.

Si este artículo te ha sido útil, síguenos en Facebook y Twitter para obtener más consejos y tutoriales de WordPress.