Mastercard ha presentado Mastercard Threat Intelligence, su primera solución de inteligencia de amenazas enfocada específicamente a prevenir el fraude de pagos. El anuncio, realizado en el marco de Money20/20, llega menos de un año después de que la compañía finalizara la adquisición de Recorded Future, referente mundial en threat intelligence impulsada por IA. La propuesta combina la visibilidad global de la red de pagos de Mastercard con inteligencia cibernética curada por Recorded Future, y está disponible para emisores y adquirentes de todo el mundo.

La compañía enmarca el lanzamiento en un cambio de paradigma: pasar de la reacción tras el incidente a la mitigación proactiva, compartiendo señales de riesgo entre bancos, comercios y proveedores de seguridad. Según datos preliminares de mercado de Mastercard, el uso de inteligencia de amenazas ya ha permitido a socios del ecosistema identificar y dar de baja dominios maliciosos vinculados al robo de datos de tarjetas. En un piloto de seis meses, esos dominios afectaban a cerca de 9.500 comercios electrónicos y estaban asociados con unos 120 millones de dólares en fraude.

“La ciberseguridad dependerá cada vez más de una inteligencia transversal entre sectores y regiones”, resume Tracy (Kitten) Goldberg, directora de Ciberseguridad en Javelin Strategy & Research. “Compartir de forma significativa estos indicadores entre equipos dispersos e industrias permite detectar tendencias antes y pasar de lo reactivo a lo preventivo”.

Qué es exactamente Mastercard Threat Intelligence

Mastercard Threat Intelligence es una plataforma de inteligencia de amenazas diseñada para servir señales accionables a quienes emiten y adquieren pagos (emisores y adquirentes). Su valor diferencial radica en dos fuentes que se potencian:

1. Datos transaccionales y analítica de fraude de Mastercard —patrones de compromiso de tarjetas, geografía, temporalidad, vulcanización de ataques y señales en red—.
2. Cyber threat intel de Recorded Future, que agrega y analiza información del open web, dark web y fuentes técnicas (IOC, TTP, malware, dominios y kits de skimming, credenciales filtradas, campañas de phishing y “brand abuse”, etc.), con modelos de IA y el trabajo de su equipo Insikt Group.

La fusión de estos dos mundos —pagos y ciberamenazas— permite conectar lo que ocurre en un terminal o una web con lo que subyace en foros criminales, infraestructuras de skimming o troyanos de nueva generación. Y, sobre todo, distribuir la señal a tiempo a quien puede actuar: el banco emisor que reemplaza tarjetas antes de su uso fraudulento, el adquirente que bloquea un comercio comprometido o le asiste para cerrar fugas, o el propio comercio que corrige su web y refuerza sus controles.

Qué problemas ataca (y por qué ahora)

El fraude de pagos y la ciberdelincuencia convergen: bandas que inyectan skimmers en tiendas online, campañas de phishing que derivan en testeo de tarjetas robadas, marketplaces clandestinos para vender datos, y malware que pivota del robo de credenciales a la APIficación de ataques. Sin inteligencia compartida, cada actor pelea a ciegas su parte del problema.

Mastercard Threat Intelligence busca corregir esa asimetría con tres vectores:

• Detección y desactivación: localizar dominios maliciosos, paneles de skimming, mules y infraestructura de fraude; coordinar “takedown” e incrementar el “dwell time” cero.
• Prevención proactiva: alertar de tarjetas potencialmente comprometidas y automatizar su reemplazo; alimentar motores de decisión para elevar el umbral de autenticación cuando una transacción huela a campaña en curso.
• Enriquecimiento operativo: inyectar IOC/IOA y contexto en SIEM, SOAR, case management y plataformas antifraude (reglas, modelos, listas de observación), de modo que los equipos de fraude y ciber trabajen con la misma foto.

Resultados iniciales y casos de uso

En su market testing de seis meses, Mastercard destaca dos impactos tangibles:

• Takedown de dominios: inteligencia compartida con socios del ecosistema para derribar webs comprometidas o directamente maliciosas que robaban datos de tarjeta en 9.500 sitios de e-commerce.
• Mitigación de pérdidas: esos dominios estaban relacionados con ≈ 120 millones de dólares en fraude. Aunque la atribución no es lineal —eliminar un dominio no borra fraude ya consumado—, cortar las rutas de exfiltración reduce el caudal futuro de tarjetas a la venta y evita olas posteriores.

Casos de uso típicos en bancos y adquirentes:

• Emisores (banca): priorizar reemplazo proactivo de tarjetas “en riesgo” tras detectar patrones y señales en foros o paste sites; recalibrar autenticación fuerte (SCA) y límites en segmentos bajo ataque.
• Adquirentes (pasarelas/comercios): avisar y asistir a comercios comprometidos; bloquear rutas de liquidación a mulas asociadas; suspender temporalmente MID de alto riesgo hasta remediación.
• Comercios: endurecer CSP, rotar credenciales, parchear módulos vulnerables y monitorizar integridad de scripts (subresource integrity, “script management”) guiados por la intel recibida.

Un lanzamiento con Money20/20 de telón de fondo

Mastercard está exhibiendo la solución en su stand #13061 del Venetian Convention & Expo Center durante Money20/20 (Las Vegas). Además de las demos interactivas de Threat Intelligence, la compañía enseña soluciones de identidad, gestión de disputas y Mastercard Agent Pay —su plataforma para operaciones conversacionales de pago—, componiendo un relato de “ciber + fraude + identidad” bajo un mismo paraguas.

La pieza que faltaba tras Recorded Future

La compra de Recorded Future por parte de Mastercard —anunciada en septiembre de 2024 y cerrada en diciembre de 2024 por 2.650 millones de dólares— anticipaba un movimiento así. Integrar threat intel de propósito general con datos específicos de pagos permite ver antes los ataques que terminan en fraude económico. Con Threat Intelligence, Mastercard empaqueta esa convergencia en un producto para emisores y adquirentes, con la capilaridad global de su red.

En paralelo, la compañía lleva meses defendiendo que su enfoque de “cyber fusion” —integrar identidad, fraude, inteligencia y disputas— acorta la ventana entre detección y acción. Si a eso se suma automatización (SOAR) y procesos de NOC/SOC maduros, el paso de reactivo a proactivo se vuelve medible: menos tiempo medio de detección, remediaciones más rápidas, menor ratio de chargebacks y mejor experiencia del titular (sustituciones preventivas con mínimo impacto).

Disponibilidad, integración y cumplimiento

Disponibilidad: Mastercard Threat Intelligence está disponible a nivel global para emisores y adquirentes.
Integración: el servicio puede alimentar plataformas antifraude y ciber existentes (SIEM, SOAR, motores de decisión, case management), además de dashboards que ofrecen tendencias y alertas operativas.
Cumplimiento: Mastercard subraya que los datos se comparten bajo acuerdos y controles que respetan la privacidad y el cumplimiento normativo en cada región (p. ej., RGPD en la UE), limitando el dato personal y privilegiando indicadores técnicos y contexto útil para mitigar riesgo.

Lo que puede cambiar en la lucha contra el fraude

• Ruptura de silos: los equipos de fraude, riesgo y ciber podrán operar con fuentes comunes, alineando prioridades (p. ej., un IOC que sube la probabilidad de compromiso de tarjetas emitidas por un banco en un país/segmento).
• Del “higiene” al “hunting”: Threat Intelligence acerca a muchas entidades a una postura de búsqueda activa (threat hunting) frente a promedios históricos y reglas estáticas.
• Menos “sobrealerta”: al cruzar señales de pagos con intel externa, se espera más relevancia y menos ruido —alertas que piden acción real, no “fuego amigo”—.
• Mejor experiencia de cliente: reemplazar tarjetas antes del uso fraudulento y reforzar autenticación solo cuando hay riesgo justificado reduce fricción y coste.

Precauciones y expectativas

Como en todo lanzamiento, hay incertidumbres: la evolución de las tácticas de los atacantes, la calidad de fuentes externas, la capacidad de cada entidad para integrar feeds de intel en sus playbooks y automatizaciones, o la madurez de procesos internos (SOC, DFIR, fraude). Mastercard recuerda que se trata de declaraciones prospectivas y que los resultados pueden variar según mercado y adopción.

---

Preguntas frecuentes

¿Qué es Mastercard Threat Intelligence y para quién está pensado?
Es una plataforma de inteligencia de amenazas que combina señales de fraude de pagos con threat intel global (dominios maliciosos, IOC, TTP, actividad en dark web) para emitentes (bancos emisores) y adquirentes (pasarelas, procesadores, bancos adquirentes). Su objetivo es prevenir fraude de pagos a escala, con alertas accionables y takedowns coordinados.

¿En qué se diferencia de una “lista negra” o un feed IOC tradicional?
Además de IOC, incorpora contexto transaccional del mundo de los pagos: tendencias de compromiso de tarjetas, correlaciones por geografía/segmento y señales específicas del ciclo de fraude. Esto permite priorizar alertas que impactan de verdad en pérdidas y chargebacks.

¿Cómo se integra con mis sistemas antifraude y de seguridad?
Puede alimentar su SIEM/SOAR, motores de decisión y plataformas antifraude con feeds y APIs, así como paneles para analistas. Recomendación práctica: definir KPIs antes de integrar (p. ej., tarjetas reemplazadas preventivamente, tasa de “takedown” por campaña, reducción de falsos positivos).

¿Está disponible en España y la UE? ¿Qué pasa con el RGPD?
Sí, está disponible globalmente para emisores y adquirentes. Mastercard indica que el servicio se opera bajo acuerdos y controles de privacidad y cumplimiento (p. ej., RGPD en la UE), priorizando el uso de indicadores técnicos y minimizando el dato personal.

vía: mastercard