Cada noviembre vemos el mismo patrón: equipos de e-commerce desbordados, picos de ventas, campañas a todo gas… y el fraude entrando por todas las rendijas. Si gestionas una tienda online o asesores a un cliente que factura fuerte en estas fechas, sabes que no basta con “poner más filtros”. Hay que prevenir, sí; pero, cuando el fraude ocurre, lo que marca la diferencia es la manera en que preservas, analizas y presentas las evidencias digitales. En esta guía te proponemos un enfoque práctico, con cabeza de perito informático y lenguaje de negocio, para que Black Friday no sea una ruleta rusa.

 

Por qué el Black Friday multiplica el fraude (y la ansiedad)

Hay tres razones que se combinan como un cóctel:

1. Volumen: más transacciones en menos tiempo. Los defraudadores se camuflan mejor entre picos anómalos.
2. Urgencia: los equipos van a destajo; se relajan controles “por no frenar ventas”.
3. Canales mixtos: web, app, marketplace, redes sociales y mensajería directa. Cuantos más frentes, más superficie de ataque.

El resultado es conocido: card testing, phishing a clientes, triangulación en marketplaces, cuentas tomadas (account takeover), cupones abusados, resellers “auditando” el stock, chargebacks “amables” (friendly fraud) tras la campaña, y estafas logísticas (BOPIS/ROPO).

 

El objetivo no es cazar “malos”, es blindar la prueba

Una investigación útil no se queda en “bloquea IP y devuelve el dinero”. El objetivo real es acreditar hechos: qué pasó, cuándo, desde dónde, con qué identidad y qué huella dejó en tus sistemas. Si quieres que una reclamación prospere (aseguradora, pasarela de pago) o que una denuncia tenga recorrido, necesitas evidencia que resista preguntas duras. Ahí aparece el peritaje fraude online: metodología, cadena de custodia y narrativa técnica con cara y ojos.

 

Protocolos “antes, durante y después”: tu seguro de campaña

Nos funciona plantearlo en tres fases. No es teoría: es supervivencia.

Antes: prepara el terreno (donde se ganan la mayoría de casos)

• Mapa de evidencias: define qué vas a conservar de forma automática (logs de app/web, WAF, CDN, autenticación, PSP, antifraude, ERP, mensajería, CRM, chat, email, call center, paquetería). Nómbralos y ubícalos.
• Retención: eleva temporalmente la retención de logs (p. ej., 90–180 días), ajusta niveles a INFO/WARN y habilita headers útiles (User-Agent completo, X-Forwarded-For, JA3/JA4 si aplica).
• Sellos de tiempo: sincroniza todo con NTP y documenta desfases. Una cronología rota es el talón de Aquiles de cualquier peritaje informático.
• Roles y playbooks: quién decide preservar (no borrar, no purgar), quién recopila, quién firma y quién habla con terceros.
• Pruebas de carga y fraude: entrena al equipo con escenarios realistas (compras múltiples con tarjeta virtual, combos de cupón, registros masivos).
• Checklist de privacidad: delimita datos personales vs. técnicos, y define proporcionalidad. Prevenir no es barra libre.

Durante: preserva sin contaminar (y sin frenar la operación)

• Congelación lógica: ante un incidente, congela registros implicados (en frío, WORM o snapshot). No edites ni reindexes “sobre el original”.
• Duplicación forense: exporta copias completas con firma/hash. Lo operativo sigue corriendo sobre los activos vivos; el análisis trabaja sobre copias verificadas.
• Consolidación de fuentes: une pedido, pago, logística, atención al cliente y soporte técnico en una línea de tiempo común.
• Comunicación: un único canal con pasarela de pago, mensajería y marketplace. Evita contradicciones.

Después: del incidente al dictamen (lo que hace peso)

• Hipótesis y refutación: no te enamores de tu primera teoría. Contrástala con evidencia disconfirmatoria (¿y si fue el propio cliente?, ¿y si fue un reseller con acceso previo?).
• Línea de tiempo: minuto a minuto, con fuentes y sellos de tiempo alineados.
• Conclusiones cuidadas: claras, limitadas y replicables. Un juez o un mediador de PSP debe poder seguirlas sin ser ingeniero.
• Remediación: cierra el ciclo con mejoras verificables (reglas, flujos, formación). Documenta impacto.

 

Tipologías de fraude (y qué evidencias priorizar)

No sirve “guardar todo”. Hay que priorizar evidencias digitales por vector de ataque.

1) Card testing (prueba masiva de tarjetas)

Qué pasa: bots o individuos prueban cientos de tarjetas con micro-compras o reservas.
Evidencia clave:

• Patrones de IP/ASN y JA3/JA4 (huella TLS), User-Agent raro, repetición de BINs.
• Tiempos de sesión imposibles (múltiples intentos en milisegundos).
• Respuestas del PSP: motivos de denegación, 3DS challenge/flow.

Protocolo: extrae lote de intentos con hash, conserva reglas activas del antifraude y estado de CDN/WAF. Corrobora con el PSP (IDs de transacción y decisión).

2) Account takeover (cuentas tomadas)

Qué pasa: acceso a cuentas por credenciales filtradas, phishing o fuerza bruta.
Evidencia clave:

• Logs de login (éxitos/fallos), resets de contraseña, cambios de dirección/telefono.
• Huellas de dispositivo (fingerprint), tokens de sesión, login geográficamente improbable.
• Correos/SMS enviados (plantillas, timestamps).

Protocolo: preserva el perfil completo del usuario, tokens y cookies; clona antes de forzar reset. Documenta si había 2FA y su estado.

3) Triangulación y marketplaces

Qué pasa: un tercero vende más barato, compra con método fraudulento y triangula envíos.
Evidencia clave:

• Conversación en marketplace/mensajería, comprobantes, discrepancia de direcciones.
• Múltiples pedidos desde una misma huella de red, cambios de titularidad.
  Protocolo: integra evidencias off-platform (DMs, WhatsApp, Telegram) mediante exportación nativa, nunca pantallazos sueltos.

4) Friendly fraud (chargeback “amable”)

Qué pasa: el cliente niega una compra real.
Evidencia clave:

• 3DS result, AVS/CVV match, geolocalización de IP, historial de uso del dispositivo, entregas confirmadas (firma, foto), interacciones post-venta (chat, email, llamadas).

Protocolo: arma un paquete probatorio para el representado: línea de tiempo, capturas verificables, prueba de recepción y comportamiento consistente del cliente.

5) Abuso de cupones y reglas

Qué pasa: stacking de cupones, condiciones mal implementadas.
Evidencia clave:

• Logs de motor de promociones, auditoría de cambios de regla, payloads de carrito.

Protocolo: snapshot de reglas activas y commits del día. Reproduce con datos de prueba y guarda la evidencia de la reproducción.

 

Cadena de custodia digital: el hilo que no puedes romper

Sin cadena de custodia, una buena pieza se convierte en “archivo sin dueño”. Reglas simples:

• Original intacto: no trabajes sobre sistemas de producción. Crea copias forenses con hash (SHA-256/512).
• Trazabilidad: quién accedió a qué, cuándo y cómo. Regístralo por escrito.
• Sellado y versionado: WORM o repositorio con control de versiones y permisos mínimos.
• Fechas sincronizadas: documenta desajustes. Un desfase de 7 minutos puede tumbar tu cronología.
• Proporcionalidad: recoge lo necesario y minimiza exposición de datos personales. Esto refuerza tu posición, no la debilita.

 

Evidencias que suelen faltarte (y luego echas de menos)

• Decisiones del motor antifraude (reglas activas, score, razones).
• Estados del 3DS (challenge/ frictionless) y ECD en el PSP.
• Headers finales tras CDN/WAF (a veces se quedan en el borde).
• Chat y mensajería con el cliente (exportación nativa, no screenshots).
• Back-office: quién tocó estado de pedido, reembolsos, cupones y cuándo.
• Logística: track & trace con foto, firma y coordenadas.
• Soporte telefónico: grabaciones (custodia y metadatos), tickets.

 

Cómo cuenta el perito: del dato al relato defendible

La técnica, sin relato, no convence. El perito informático debe contar lo que pasó con una estructura que soporte contrainterrogatorio:

1. Hechos: fuente por fuente, qué se observó.
2. Integración: la línea de tiempo que une todo (cliente, sistema, proveedor, logística).
3. Análisis: por qué esa evidencia apoya o descarta hipótesis.
4. Límites: qué no se puede asegurar (y por qué).
5. Recomendaciones: mejoras específicas y medibles.

Si tu informe no se puede replicar, no es pericia; es opinión.

 

Casos de referencia (sin nombres, con aprendizaje)

Los ejemplos siguientes son modelos de situación construidos con prácticas comunes en representment de chargebacks, account takeover y triangulación. Su finalidad es pedagógica: mostrar qué evidencia suele ser decisiva y cómo armar la línea de tiempo. No describen casos reales ni información de clientes.

• Chargebacks tras el huracán de ventas: el retailer perdió disputas por adjuntar solo capturas del pedido. Se rearmó un representment con 3DS, IP, dispositivo, foto de entrega y post-venta. Tasa de recuperación mejoró el mes siguiente.
• Account takeover en app: los accesos parecían legítimos. La correlación de tokens + logs de push + métricas de biometría mostró un patrón imposible de reproducir por el cliente. La pasarela aceptó el alegato técnico.
• Triangulación con mensajería: el “intermediario” se desvanecía. Exportación nativa de chats + rastro de pagos y envíos cerró el círculo.

 

Seguridad que no frena ventas: 3 movimientos prácticos

• 2FA adaptativo donde toca: activa el doble factor solo si hay riesgo (importe alto, dispositivo nuevo, país distinto).
• Revisión manual quirúrgica: envía a cola solo pedidos con señales fuertes combinadas.
• Checkout a prueba de errores: mensajes claros y validaciones que eviten confusiones que luego acaban en chargeback.

 

Checklist express para tu Black Friday

• Retención ampliada de logs (90–180 días).
• NTP sincronizado y documentado.
• Playbooks con roles y escalado.
• Exportaciones nativas habilitadas (PSP, chat, mensajería, logística).
• Reglas antifraude auditables y versionadas.
• Evidencia de entrega robusta (firma/foto/geo).
• Ensayo general (simulacro) una semana antes.

 

Cultura de evidencia: lo que cambia el juego

No hay herramienta milagrosa. Lo que cambia el resultado es una cultura de evidencia: equipos que preservan sin tocar, que documentan lo que hacen, que correlacionan fuentes antes de sacar conclusiones y que hablan el idioma del informe. Ese músculo se entrena todo el año, pero en Black Friday se demuestra.

 

¿Quieres blindar tu evidencia para esta campaña?

Si esta guía te ha hecho pensar en incidencias pasadas o en lo que puede venir, no lo dejes para el lunes post-Black Friday. A veces, el matiz entre “pérdida asumida” y “caso defendible” es cómo preservaste una prueba a las 03:12. Desde System Asefin te ayudamos a preparar playbooks, elevar retención de logs, definir protocolos de peritaje fraude online y armar paquetes probatorios listos para PSP, aseguradoras y, si toca, juzgado. Escríbenos y ponemos a tu campaña un cinturón técnico de seguridad sin frenar la conversión.