Contracargos por compra no autorizada en Shopify: qué verificar antes de presentar tu respuesta

Puedes perder antes de que el emisor lea siquiera tus pruebas

Los contracargos por compra no autorizada suelen encubrir fallos operativos más que carencias de evidencia. El comerciante que envió un pedido de 500 € con AVS Y, coincidencia de CVV y confirmación de entrega — y aun así perdió — no perdió porque le faltaran pruebas. Perdió porque esas pruebas no cerraban las brechas que el emisor estaba evaluando realmente.

Antes de tocar el formulario de respuesta en el panel de administración de Shopify, abre el pedido y verifica cuatro cosas: los indicadores del análisis de fraude, los resultados de AVS/CVV almacenados en Detalles del pago, el registro de cumplimiento incluyendo la dirección de envío utilizada, y cualquier comunicación con el cliente registrada en las notas del pedido. Si alguno de esos elementos es escaso o inexistente, el paquete de evidencias que estás a punto de presentar tiene un problema estructural que ninguna carta de presentación puede resolver. El estado de Shopify Protect — PROTEGIDO, ACTIVO o ausente — también debe confirmarse antes de decidir si disputar o aceptar. Si el pedido está PROTEGIDO, Shopify absorbe la pérdida y no se requiere ninguna respuesta de tu parte.

Visa 10.4 y Mastercard 4837: qué exige realmente cada red

Ambos códigos de motivo significan que el titular de la tarjeta afirma no haber autorizado la transacción. Las reglas de cada red difieren en lo que necesitas para rebatirlos.

El código de motivo Visa 10.4 — Fraude en transacción sin presencia de tarjeta — exige que demuestres que la transacción fue autorizada y que seguiste los procedimientos de aceptación de Visa para transacciones sin tarjeta presente. En la práctica, las reglas de Visa otorgan un peso significativo a la autenticación 3D Secure. Si tienes un resultado 3DS completamente autenticado (ECI 05 para Visa), la responsabilidad se transfiere al emisor y el contracargo no debería prosperar — las reglas de Visa prohíben al emisor presentar un 10.4 sobre una transacción completamente autenticada. Si tienes una autenticación intentada (ECI 06), cuentas con protección parcial, pero el emisor aún puede presentar el contracargo. Sin 3DS en absoluto, estás argumentando únicamente con evidencias. Visa también espera que demuestres que se verificó el AVS y que actuaste en consecuencia — enviar a una dirección que no coincidió con el AVS sin documentar por qué procediste de todas formas es una responsabilidad, no un hecho neutral.

El código de motivo Mastercard 4837 — Sin autorización del titular — funciona de manera similar pero con expectativas de documentación distintas. Mastercard otorga más peso explícito a si la transacción se procesó con un código de autorización válido y a si puedes demostrar que los datos de la tarjeta fueron introducidos por alguien con acceso a la cuenta. Un resultado 3DS completamente autenticado (ECI 02 para Mastercard) también transfiere la responsabilidad. Sin 3DS, Mastercard espera que demuestres que los datos de la transacción coincidían con el perfil del titular — dirección de facturación, dispositivo, historial de comportamiento — y que tenías motivos razonables para creer que el titular autorizó la operación. Las reglas de Mastercard también permiten a los emisores presentar un 4837 incluso cuando el AVS coincidió, así que no trates AVS Y como una defensa a nivel de red por sí sola.

La diferencia práctica: en Visa 10.4, tu defensa individual más sólida es un resultado 3DS completamente autenticado. En Mastercard 4837, el listón es ligeramente más holístico — Mastercard quiere ver un patrón de señales de autorización, no una bala de plata. En ambos casos, si no tienes 3DS, estás construyendo un caso a partir de evidencias circunstanciales en capas, y cada brecha en esas capas es un punto que el emisor puede usar en tu contra.

El conjunto de evidencias de autorización: qué prueba cada señal y dónde falla

Seis señales aparecen con mayor frecuencia en las respuestas a compras no autorizadas. Ninguna de ellas prueba la autorización por sí sola. Esto es lo que cada una establece y lo que no establece.

AVS (Servicio de verificación de dirección). AVS Y confirma que la dirección de facturación que el titular proporcionó en el proceso de pago coincidió con la dirección registrada en el emisor. No prueba que el titular haya escrito esa dirección — un defraudador con acceso a la información de facturación supera AVS Y sin problemas. Usa AVS Y como señal corroboradora, no como defensa independiente. Una discrepancia en el AVS es peor que neutral: si el AVS devolvió una coincidencia parcial o ninguna coincidencia y enviaste de todas formas sin documentación, el emisor lo tratará como evidencia de que ignoraste una señal de fraude.

Coincidencia de CVV/CVC. El CVV confirma que la persona en el proceso de pago tenía acceso físico o digital al código de seguridad de tres o cuatro dígitos. Es una señal significativa porque el CVV no se almacena en la banda magnética y no debería aparecer en filtraciones de datos — pero el fraude sin presencia de tarjeta involucra cada vez más phishing y compromiso de cuentas donde el defraudador tiene el número completo de la tarjeta, la fecha de vencimiento y el CVV. La coincidencia de CVV es útil como parte de un conjunto; por sí sola prueba muy poco ante un emisor que sabe cómo se roban los datos de las tarjetas.

Autenticación 3D Secure. Esta es la señal individual más sólida del conjunto. Un resultado 3DS completamente autenticado (ECI 05 Visa / ECI 02 Mastercard) transfiere la responsabilidad al emisor y bloquea el contracargo a nivel de red. Una autenticación intentada (ECI 06 Visa / ECI 01 Mastercard) proporciona protección parcial. Sin 3DS, estás argumentando con todo lo demás. Si no estás aplicando 3DS en transacciones de alto valor promedio de pedido, estás absorbiendo una responsabilidad que la red de otro modo transferiría al emisor.

Dirección IP. La coincidencia de dirección IP sugiere que la transacción se originó desde una ubicación asociada con el titular. Los emisores desestiman esto cuando los proxies o VPN son plausibles — y siempre son plausibles en el fraude sin presencia de tarjeta. La IP es útil como contexto de apoyo cuando es coherente con el comportamiento de compra previo desde la misma cuenta. Una única coincidencia de IP en un primer pedido no prueba casi nada.

Huella digital del dispositivo. La huella digital del dispositivo captura el navegador, el sistema operativo, la resolución de pantalla y otros atributos para crear un identificador consistente entre sesiones. Si la transacción disputada provino de la misma huella digital del dispositivo que cinco pedidos anteriores en la misma cuenta, eso es evidencia conductual significativa. Si provino de una huella digital de dispositivo que nunca había interactuado con la cuenta antes, esa es una señal de alerta que deberías haber detectado antes del envío. Los datos de huella digital del dispositivo deben capturarse y almacenarse en el momento de la transacción — no están disponibles de forma retroactiva desde el panel de administración de Shopify.

Señales de comportamiento. Las señales de comportamiento incluyen cosas como: tiempo entre la creación de la cuenta y la compra, número de artículos añadidos y eliminados del carrito, cadencia de escritura en los campos de pago y si la sesión siguió una ruta de navegación normal. Estas son capturadas típicamente por plataformas de fraude integradas sobre Shopify (Signifyd, NoFraud, Kount) en lugar de por Shopify de forma nativa. Si tienes una plataforma de fraude que genera una puntuación de transacción y una recomendación, incluye ese resultado en tu paquete de evidencias — demuestra al emisor que realizaste una evaluación de riesgo documentada antes de procesar el pedido.

El patrón: cada señal prueba algo adyacente a la autorización. Combínalas para construir una imagen de un titular que estaba presente, era coherente y estaba comprometido — no solo una transacción que superó las verificaciones básicas.

El pedido de ropa de 500 € que tenía todo y aun así perdió

Un comerciante de ropa con un valor promedio de pedido de 250 € recibió un pedido de 500 € el 5 de enero. El AVS devolvió Y. El CVV coincidió. El pedido se envió el 6 de enero. La confirmación de entrega llegó el 8 de enero. El cliente había recibido un correo de confirmación del pedido. Sobre el papel, parecía una transacción limpia.

El contracargo llegó el 15 de enero — compra no autorizada. El comerciante reunió las evidencias: resultado del AVS, coincidencia de CVV, confirmación de entrega, el correo de confirmación del pedido. Respuesta presentada el 20 de enero. La decisión de la disputa llegó el 10 de febrero. El titular ganó.

La pérdida no fue por documentos faltantes. El comerciante tenía documentos. El problema fue que nada en el paquete de evidencias probaba que el titular hubiera autorizado la transacción o recibido físicamente los bienes. El correo de confirmación del pedido probaba que la dirección de correo electrónico recibió una notificación — no que el titular de la cuenta realizó el pedido. La confirmación de entrega probaba que el paquete llegó a la dirección — no que el titular estuviera allí. AVS Y probaba que la dirección de facturación coincidía — no que el titular usó la tarjeta.

El análisis de fraude en el panel de administración de Shopify había marcado el pedido como riesgo medio. El comerciante lo había enviado de todas formas sin registrar una decisión de revisión manual ni documentar por qué los indicadores de riesgo eran aceptables. Esa brecha — sin revisión manual documentada, sin explicación de por qué se procesó un pedido de riesgo medio sin verificación adicional — dejó al emisor sin razón para anular la reclamación del titular.

Una respuesta más sólida habría incluido: el resultado del análisis de fraude con una explicación escrita de por qué las señales de riesgo fueron revisadas y aceptadas; comunicación documentada con el cliente más allá del correo de confirmación generado automáticamente (una respuesta, una interacción de soporte, cualquier cosa que demuestre que el titular de la cuenta interactuó con el pedido); y evidencia de comportamiento de compra consistente de este cliente — pedidos anteriores, misma dirección de envío, mismo dispositivo. Nada de eso estaba en el expediente.

Lección de decisión: Un caso con AVS Y, coincidencia de CVV y confirmación de entrega es disputadle si puedes demostrar que el titular interactuó con el pedido más allá de la propia transacción. Sin eso — un correo de respuesta, un pedido anterior, un ticket de soporte — las evidencias prueban el cumplimiento, no la autorización. Los emisores conocen la diferencia.

El pedido de accesorio electrónico de 180 € que ganó solo con evidencia conductual

Un comerciante de accesorios de electrónica de consumo — valor promedio de pedido de 90 € — recibió un pedido de 180 € por dos artículos. El AVS devolvió una coincidencia parcial (el código postal coincidió, la dirección no). El CVV coincidió. Sin 3DS. El análisis de fraude de Shopify marcó el pedido como alto riesgo. La plataforma de fraude del comerciante (Signifyd) emitió una garantía sobre el pedido, lo que significaba que Signifyd había evaluado las señales de comportamiento y aceptado la responsabilidad. El comerciante envió el pedido.

El contracargo llegó 22 días después — Mastercard 4837. La respuesta del comerciante incluyó: la carta de garantía de Signifyd con la puntuación de la transacción y las señales de comportamiento que impulsaron la decisión de garantía (huella digital del dispositivo coherente con tres pedidos anteriores en la misma cuenta, comportamiento de sesión coherente con un cliente recurrente, dirección de envío utilizada en un pedido anterior seis semanas antes); el historial de pedidos anteriores mostrando la misma dirección de envío; un intercambio de correos electrónicos de atención al cliente del pedido anterior donde el titular había respondido desde la misma dirección de correo electrónico; y el resultado parcial del AVS con una nota escrita explicando que la coincidencia del código postal combinada con el historial de pedidos anteriores fue la base para el envío a pesar de la discrepancia en la dirección.

Decisión de la disputa: el comerciante ganó. El emisor tenía una evaluación de riesgo documentada, evidencia conductual de un cliente recurrente y una comunicación anterior que demostraba que el titular de la cuenta era real y estaba comprometido. El resultado parcial del AVS — que parecía una responsabilidad — fue neutralizado por el historial de pedidos anteriores que mostraba que la misma dirección había sido utilizada con éxito anteriormente.

Lección de decisión: Una garantía de plataforma de fraude no gana disputas por sí sola, pero los datos de comportamiento detrás de la decisión de garantía sí lo hacen. Si usas Signifyd, NoFraud o una plataforma similar, la puntuación de la transacción y las señales que la impulsan son evidencia — inclúyelas. Y el historial de pedidos anteriores de la misma cuenta es una de las señales más sólidas que puedes presentar ante un emisor en una reclamación de no autorización.

Fraude amistoso frente a fraude real: cómo leer el patrón de señales

No toda reclamación de compra no autorizada es un desconocido usando una tarjeta robada. Una proporción significativa — las estimaciones varían, pero los datos del sector la sitúan consistentemente por encima del 40% de las reclamaciones de no autorización — es fraude amistoso: el titular autorizó la transacción y ahora la está negando. El patrón de evidencias es diferente, y también lo es la estrategia de respuesta correcta.

Señales de fraude real: cliente nuevo sin historial de cuenta previo; dirección de envío diferente a la de facturación sin uso previo de esa dirección de envío; huella digital del dispositivo no asociada previamente con la cuenta; transacción realizada a una hora inusual sin historial de navegación previo al proceso de pago; múltiples artículos de alto valor en un solo pedido; envío urgente seleccionado. Cuando ves este conjunto, la reclamación del titular probablemente es legítima. La pregunta es si tus controles previos al envío deberían haberlo detectado.

Señales de fraude amistoso: cliente establecido con múltiples pedidos anteriores; dirección de envío que coincide con la de facturación o con una dirección utilizada anteriormente; huella digital del dispositivo coherente con sesiones anteriores; el cliente contactó con soporte después del pedido (consulta de seguimiento, pregunta sobre entrega); pedido realizado en horario normal con una sesión de navegación previa al proceso de pago; artículo único en o cerca del nivel de gasto habitual del cliente. Cuando ves este conjunto, disputa la reclamación. El patrón de comportamiento del titular contradice la afirmación de no autorización.

El caso mixto — un cliente recurrente cuya cuenta fue comprometida — es el más difícil de interpretar. Un ataque de apropiación de cuenta (ATO) mostrará el historial de un cliente recurrente pero una nueva huella digital del dispositivo, una nueva dirección de envío y, a menudo, un valor de pedido superior al habitual. Si ves un cliente recurrente con un cambio repentino en dispositivo, dirección y nivel de gasto, trátalo como un probable ATO y considera si el pedido debería haberse retenido para verificación. Si ya enviaste, la disputa probablemente es legítima — concédela y enfócate en reforzar tu detección de ATO.

Cuándo ceder en lugar de disputar

No todo contracargo por compra no autorizada vale el tiempo de respuesta. Tres situaciones en las que ceder es la decisión correcta:

Reclamaciones de no autorización de bajo valor promedio de pedido con evidencia escasa. Si el importe disputado es inferior a 50 € y no tienes autenticación 3DS ni historial previo del cliente, el coste de reunir y presentar una respuesta a menudo supera el valor de recuperación — especialmente cuando la probabilidad de ganar es baja. Establece un umbral: si el pedido está por debajo de tu umbral de coste de respuesta y el conjunto de evidencias es débil, acepta el contracargo y sigue adelante.

Reclamaciones de no autorización de clientes recurrentes con nuevo dispositivo y nueva dirección. Este es el patrón ATO. La cuenta del titular fue comprometida, un defraudador realizó el pedido y el titular real ahora lo está disputando. Tu historial de pedidos anteriores con este cliente no te ayuda aquí — ayuda al titular a demostrar que su cuenta fue atacada. Concede, marca la cuenta para revisión y verifica si otros pedidos recientes de la misma cuenta necesitan ser reembolsados proactivamente antes de que lleguen más contracargos.

Pedidos donde el análisis de fraude de Shopify marcó alto riesgo y enviaste sin documentación. Si el análisis de fraude devolvió alto riesgo, procesaste el pedido de todas formas y no tienes una decisión de revisión manual documentada que explique por qué — no tienes una historia creíble para el emisor. Presentar una respuesta sin esa documentación a menudo empeora el caso, no lo mejora, porque llama la atención sobre la brecha. Concede, documenta internamente la brecha en la decisión de envío y corrige el proceso de revisión previo al envío.

La trampa de la ventana de recuperación: datos que desaparecen antes de que los necesites

Las respuestas a contracargos se ensamblan semanas o meses después de la transacción. Varias categorías de evidencia tienen ventanas de vencimiento que la mayoría de los comerciantes no tienen en cuenta hasta que los datos ya han desaparecido.

Los escaneos de firma del transportista son la víctima más común. Muchos transportistas conservan las imágenes de firma de prueba de entrega durante 30 a 90 días antes de archivarlas o eliminarlas. Si el contracargo llega el día 45 y solicitas el escaneo de firma el día 60, puede que ya no exista. Descarga y guarda los escaneos de firma del transportista para cualquier pedido de alto valor en el momento de la confirmación de entrega — no cuando llegue la disputa.

Los hilos de mensajes de atención al cliente se archivan o eliminan cuando las plataformas de soporte rotan el almacenamiento. Si un cliente respondió a una confirmación de pedido, preguntó sobre el seguimiento o contactó con soporte sobre el pedido, esa comunicación es evidencia de la participación del titular de la cuenta. Exporta y adjunta esa comunicación al registro del pedido en el panel de administración de Shopify o en tu CRM en el momento de la interacción, no de forma retroactiva.

Las puntuaciones de transacciones y los datos de comportamiento de las plataformas de fraude a veces solo son accesibles durante un período limitado a través del panel de la plataforma. Si usas Signifyd, NoFraud o Kount, verifica la política de retención de datos y exporta el detalle de la transacción para pedidos de alto valor en el momento del envío.

Los datos de sesión de huella digital del dispositivo de tu plataforma de análisis o fraude pueden eliminarse después de 60 a 90 días dependiendo de tu configuración de retención de datos. Si un contracargo llega el día 75, los datos de sesión que habrían demostrado un comportamiento de dispositivo consistente entre pedidos pueden haber desaparecido ya.

La solución es procedimental: para cualquier pedido por encima de tu umbral de respuesta a contracargos, captura y almacena el paquete completo de evidencias en el momento del envío — confirmación del transportista, comunicaciones con el cliente, resultado de la plataforma de fraude, datos de dispositivo y sesión. No esperes a que una disputa active el proceso de recopilación.

Controles previos al envío que evitan que llegue la disputa

La mejor respuesta a un contracargo por compra no autorizada es la que nunca tienes que escribir. La mayoría de las brechas de evidencia que destruyen las respuestas a disputas se crean en el momento del envío, no en la etapa de respuesta.

Activa 3DS en transacciones de alto valor promedio de pedido. Si tu procesador de pagos admite 3DS2, configúralo para que se active en pedidos por encima de tu umbral promedio de contracargos. Un resultado 3DS completamente autenticado elimina la responsabilidad por Visa 10.4 y Mastercard 4837 a nivel de red. El coste de fricción para los clientes legítimos es real pero manejable; la transferencia de responsabilidad es absoluta.

Establece un paso de revisión manual documentado para pedidos de riesgo medio y alto. Los indicadores del análisis de fraude de Shopify son un punto de partida, no una decisión. Si un pedido está marcado como riesgo medio o alto, la decisión de envío debe registrarse — quién lo revisó, qué señales se evaluaron, por qué el pedido fue aprobado o retenido. Ese registro es evidencia en una respuesta a disputa. Sin él, no tienes ninguna historia.

Verifica la coincidencia entre las direcciones de envío y facturación antes del envío en clientes nuevos. Una discrepancia en un primer pedido sin historial de cuenta previo es una señal de fraude significativa. Retén el pedido para verificación o documenta por qué procediste. Enviar a una dirección que no coincide sin documentación es una responsabilidad que tú mismo estás creando.

Exige verificación por teléfono o correo electrónico en primeros pedidos de alto valor. Un paso de verificación — incluso una simple respuesta de confirmación — crea un registro de comunicación que demuestra que el titular de la cuenta interactuó con el pedido. Ese registro vale más en una respuesta a disputa que AVS Y y CVV combinados.

Marca y retén pedidos que muestren patrones ATO: cuenta de cliente recurrente, nueva huella digital del dispositivo, nueva dirección de envío, valor de pedido superior al habitual. Los ataques ATO en cuentas establecidas son más difíciles de detectar que el fraude en cuentas nuevas, pero el conjunto de señales es reconocible. Una retención de 24 horas con una confirmación por correo electrónico a la dirección registrada de la cuenta detecta una proporción significativa de intentos ATO antes del envío.

La automatización de DisputeDesk gestiona el ensamblaje de evidencias, el seguimiento de plazos y el formato de respuesta — pero los controles anteriores determinan si tienes algo que valga la pena ensamblar. Construye primero el proceso previo al envío; la respuesta a la disputa es lo que haces cuando ese proceso falla.

Qué verificar antes de presentar tu respuesta

Trabaja en esto antes de abrir el formulario de respuesta. Panel de administración de Shopify > Pedidos > [el pedido disputado] es tu punto de partida para todo.

Primero, confirma el plazo de la disputa. Shopify lo muestra en la sección de Disputas — perderlo significa una pérdida automática independientemente de la calidad de las evidencias. Segundo, verifica el estado de Shopify Protect. Si el pedido muestra PROTEGIDO, detente — Shopify cubre la disputa y no se requiere ninguna respuesta de tu parte. Tercero, consulta el resultado del análisis de fraude. Anota cualquier indicador de riesgo y decide ahora si tienes una explicación documentada de por qué se procesó el pedido. Si no la tienes, esa es una brecha en tu respuesta. Cuarto, verifica los resultados de AVS y CVV en Detalles del pago. Si alguna verificación fue incompleta o devolvió una discrepancia, tu paquete de evidencias debe abordar eso directamente — no lo ocultes. Quinto, compara la dirección de envío con la de facturación. Una discrepancia que no se resolvió antes del envío es una responsabilidad en la respuesta; los emisores la citan como evidencia de posible fraude. Sexto, revisa toda la comunicación con el cliente registrada en las notas del pedido. Si la única comunicación es el correo de confirmación generado automáticamente, evalúa si eso es suficiente para demostrar que el titular de la cuenta interactuó con el pedido — normalmente no lo es. Séptimo, verifica si tienes datos de autenticación 3DS. Si tienes un resultado ECI 05 (Visa) o ECI 02 (Mastercard), empieza con eso — es tu pieza de evidencia individual más sólida. Octavo, ajusta tu paquete de evidencias específicamente al código de motivo de compra no autorizada. Los paquetes de evidencias genéricos — número de seguimiento, resumen del pedido, términos de servicio — rara vez convencen a los emisores en reclamaciones de no autorización. El paquete debe abordar la autorización y la posesión, no solo el cumplimiento.

Una vez que hayas confirmado que las evidencias abordan lo que el emisor está evaluando realmente — no solo lo que tienes disponible — presenta la respuesta.