Hoy en día, el uso de tarjetas bancarias para realizar transacciones físicas u online está generalizado a nivel mundial. La facilidad para realizar todo tipo de operaciones de pago, unido a la gran cantidad de vías para obtener información robada de tarjetas, son dos de los factores que han ayudado a la popularización del carding.
Se conoce como carding al término utilizado para designar el fraude con tarjetas bancarias que son obtenidas de forma no autorizada implicando el robo de información de la tarjeta de una víctima para su posterior uso de manera fraudulenta.
Este tipo de fraude y estafas vinculadas a tarjetas bancarias forman parte de una amplia gama de diversos esquemas de fraude que se realizan de manera casi exclusiva a través de internet. Son dirigidos a ciudadanos particulares, pequeños y medianos comercios y demás entidades a nivel mundial y supone una amenaza de seguridad que puede acarrear daño tanto al propietario de la tarjeta, como afectar a la reputación de empresas o comercios físicos u online que realizan transacciones de compra y venta.
Objetivo del carding
Las tarjetas bancarias tienen información de interés para los ciberdelincuentes como su número, el código de verificación, la fecha de caducidad y nombre del propietario.
El objetivo del carding consiste en el compromiso de dicha información con la finalidad de realizar una variedad de actividades delictivas que van desde la suplantación de identidad, cargos en las tarjetas, hasta acceder a las cuentas bancarias del titular, vender la información a terceros, etc. No siempre es necesario disponer de todos los datos de la tarjeta para realizar determinados tipos de fraudes.
Grupos de carding
Según el último informe del Crimen Organizado elaborado por Europol, el panorama cibercriminal que afecta a las actividades de fraude relacionadas con el carding abarca un amplio ecosistema cuyo modelo de negocio se sustenta en la venta de información de las tarjetas bancarias robadas a través de plataformas online como sitios web, foros o mercados underground de la deep y dark web.
Los ciberdelincuentes dedicados a este tipo de actividad se les conoce como carders y existen grupos y mafias que actúan de forma global. A modo de ejemplo, el grupo liderado por el conocido Cummbajonny se dedicaba a realizar sniffing de datos de tarjetas en EEUU, almacenaba los datos en servidores letones y ucranianos, realizaban copias de las tarjetas en China y posteriormente se dedicaban a la compra con estas tarjetas en tiendas de EEUU, cerrando el círculo.
Otras operaciones, como la denominada “Recolector”, demuestran el alcance global de las redes criminales de carding, muchas veces especializándose cada grupo en distintas etapas del fraude y actuando de forma coordinada.
Con la llegada y proliferación de sitios web conocidos como "foros de carding", dedicados a la venta de información personal y financiera robada, los delincuentes han ampliado sus horizontes y pueden vender el fruto de sus ganancias ilícitas a otros estafadores o delincuentes. Los foros de tarjetas son sitios web ilegales donde los delincuentes pueden comprar y vender números de tarjetas robados, compartir métodos para robar datos e información financiera, además de comprobar la información de la tarjeta robada en estos foros.
Técnicas utilizadas
Los ciberdelincuentes utilizan diversos métodos o técnicas para la obtención de números e información de las tarjetas bancarias. Con la finalidad de obtener datos e información de las tarjetas bancarias para posteriormente realizar actividades fraudulentas, los ciberdelincuentes utilizan diversos métodos que permitirán la obtención de una información u otra, lo que condicionará el tipo de ataque a realizar:
En el entorno digital:
- Phishing: es uno de los métodos más empleados y se realiza a través de campañas o envíos masivos de correo con enlaces maliciosos, en donde se suplanta a una fuente o entidad confiable (banco, entidad financiera o comercio en línea), instando a la víctima con cualquier pretexto, como puede ser la existencia de problema con su cuenta bancaria, para que haga clic en un enlace malicioso que le redirige a un sitio falso en donde el usuario proporciona información de su tarjeta bancaria.
- Malware: la instalación de software como el malware bancario, compromete los dispositivos de las víctimas y conduce al robo de credenciales e información financiera como números de tarjetas. Existen numerosos troyanos con capacidad de capturar información de las tarjetas como el caso del troyano Zeus.
En el entorno físico:
- Skimming: es un dispositivo pequeño y difícil de localizar que los cibercriminales pueden instalar encima de un lector de tarjetas de crédito legítimo o portar en mano. A medida que desliza la tarjeta de crédito o débito en una máquina comprometida, el skimmer de tarjetas lee y almacena la información de la tarjeta. Un ladrón puede usar los datos de su tarjeta de crédito para carding.
Una vez que se ha obtenido la información de las tarjetas, el modus operandi consiste en realizar una comprobación de estas con la finalidad de verificar si están activas y no han sido notificadas como robadas a la entidad financiera. La comprobación suele realizarse a través de transacciones en sitios de comercio electrónico online.
En algunos de los casos, los carders usan las tarjetas robadas para comprar tarjetas prepagas, (generalmente tarjetas de regalo), las cuales son utilizadas para comprar bienes (como portátiles, móviles, televisores etc.) que posteriormente son revendidos por dinero en efectivo.
Medidas de seguridad y buenas prácticas
Dado que cualquier usuario de una tarjeta bancaria puede convertirse en un objetivo de este tipo de actividad fraudulenta de carding al hacer uso de esta en una tienda física o sitio web, se recomienda tener en cuenta las siguientes indicaciones dirigidas tanto a usuarios como a empresas afectadas:
Usuarios:
A la hora de utilizar cajeros automáticos, se ha de tener presente las instalaciones del cajero a efectos de identificar posibles indicadores que puedan apuntar a la existencia de malware con el fin del robo de datos o dinero.
- Evitar correos electrónicos con spam o remitentes desconocidos.
- No proporcionar datos de tarjetas bancarias por teléfono.
- Instalar antivirus de confianza en los dispositivos y mantenerlos actualizados.
- Estar alerta y detectar anomalías a la hora de realizar pagos con tarjetas bancarias en tiendas físicas como el posible uso de escáneres para copiar la codificación de las bandas magnéticas.
- En caso de ser víctima de un robo de datos vinculado a credenciales de pago, ponerlo en conocimiento del servicio proveedor/bancario y denunciarlo a las autoridades competentes.
Empresas
Organizaciones como comercios en línea o entidades financieras, han de estar vigilantes y adoptar las protecciones y medidas necesarias para evitar este tipo de actividades fraudulentas vinculadas a las tarjetas bancarias.
- Mantener una adecuada política de actualización de software y tecnología de seguridad destinada a la protección de cuentas de tarjetas bancarias, ante la posible explotación de debilidades o vulnerabilidades por parte de actores maliciosos.
- Emplear la autenticación multifactor (MFA, por sus siglas en inglés): este método agrega pasos al proceso de inicio de sesión más allá de ingresar un nombre de usuario y contraseña. En el caso de comercios en línea, consiste en el envío de un mensaje de texto (SMS) con un código que deberá ingresarse antes de usar la tarjeta. El uso de este método implica que los carders deben robar el número de tarjeta de crédito y el teléfono móvil para proceder a su uso fraudulento, lo que lo hace menos probable.
- Los comerciantes en línea pueden utilizar “captchas” como técnica de verificación (comprador humano), con ello se evita el uso de bots automatizados, por lo que los sitios web se convierten en objetivos menos atractivos para ciberdelincuentes.
