¿Qué es el carding? La ciberestafa cada vez más común

Vamos a profundizar en qué es el carding, porque quizá sea la ciberestafa más habitual y grave, pese a que el nombre no resulta muy conocido. Las tarjetas bancarias son un elemento muy delicado, y en Internet no falta quien busca aprovecharse.

Bajo el nombre de carding se engloban todos los fraudes alrededor del robo del número de tarjetas de crédito o débito. Las técnicas para obtener los datos de las tarjetas son muy variadas, mientras que el objetivo siempre será robarnos dinero de la cuenta bancaria asociada.

El término viene que la palabra "card", que significa "tarjeta" en inglés. Todos somos conscientes de que las tarjetas de crédito y débito deben tratarse con cuidado, como el dinero en efectivo, pero con el auge del comercio electrónico se han convertido en un blanco cada vez más apetecible para los amigos de lo ajeno.

El número de tarjeta de 16 dígitos es lo básico que buscan los ciberdelincuentes, pero normalmente necesitan más datos. Al menos el nombre y apellidos del titular, la fecha de caducidad de la tarjeta y el código de seguridad CVV o CVC que aparece en la parte posterior.

Cualquier otro dato personal también será útil, como número de teléfono o email, pero sobre todo la dirección física asociada a la tarjeta. Incluso mejor para los estafadores es tener acceso a la banca online de la víctima, pues así pueden autorizar operaciones de mayor importe o desactivar las alertas al realizar compras.

Cómo obtienen la tarjeta: estafas vinculadas al carding

El carding es un nombre genérico para las estafas en Internet con tarjetas bancarias, que a su vez se basa en otras técnicas para obtener la información, como el tristemente conocido phishing que afecta a millones de personas.

Por ejemplo, un tipo de ataque habitual de phishing es enviar una alerta por SMS suplantando al banco, que al entrar en la web falsificada se hará con la contraseña:

Conocer estas técnicas maliciosas será de gran utilidad para protegernos ante el carding y muchas otras estafas online:

1. Phishing: se hacen pasar por una empresa o administración pública, normalmente mediante email o SMS, para robarnos los datos personales, como el número de tarjeta.
2. Malware: tras instalar un virus informático en el ordenador o móvil, acceden al número de tarjeta, o incluso a la app/web del banco.
3. Cajeros automáticos: se colocan lectores falsos para copiar la tarjeta, e incluso grabar el PIN al introducirlo.
4. Tiendas falsas: páginas web con muy buenas ofertas, que realmente no mandarán el producto, solo buscan nuestros datos para estafarnos.
5. Llamadas telefónicas: normalmente, suplantando al banco para conseguir los datos bajo diversos pretextos.
6. Hackeos y filtraciones: desde bases de datos de clientes robadas a empresas, de manera directa, o bien filtradas tras un hackeo de un tercero.
7. Lectores NFC: al acercarse a una tarjeta contactless copian toda su información.

Respecto a este último caso, hablamos de lectores que clonan la tarjeta, sin hacer cargos en el momento. Los supuestos carteristas que emplean un TPV son más bien una leyenda urbana, porque los bancos controlan con celo sus terminales de pago, y los dan de baja si detectan un uso ilegal.

¿Qué hacen los ciberdelincuentes con el número de tarjeta?

El objetivo del carding siempre es transferir dinero de la cuenta bancaria asociada, pero hay sutilezas importantes. Por ejemplo, muchas veces quienes roban los datos de las tarjetas los venden a otros ciberdelincuentes, que son quienes los utilizan, pues hay grupos especializados en cada tarea.

Quienes hacen los cargos fraudulentos deben "lavar" el dinero lo antes posible, pues si lo enviaran a una cuenta bancaria, esta acabaría cerrada en muy poco tiempo, y los fondos robados se les incautarían.

Es bastante habitual que las tarjetas se empleen para comprar productos que luego se revenden, de manera que se pierde el rastro del dinero, y también se dificulta la labor de la policía.

Muchas veces la reventa ocurre en apps y webs de compra venta de segunda mano, lo que facilita capturar a los culpables. Cuando se ponen a la venta en la deep web, se complica bastante la identificación.

Cómo proteger nuestra tarjeta del carding

Al final, los sistemas para evitar el carding son los mismos que nos protegen de cualquier otro peligro en Internet. Las claves son la desconfianza y prudencia, pues cuanto más alerta estemos, menos riesgos encontraremos.

Veamos algunas claves para no caer víctimas del carding, ni de otros fraudes:

1. Desconfiar de cualquier email, SMS, llamada o comunicación no esperada, incluso de un contacto, que puede haber sido hackeado.
2. Nunca facilitar el número de tarjeta que nos pidan bajo cualquier excusa, pues será una estafa.
3. No instalar aplicaciones de fuentes desconocidas, que pueden tener virus.
4. No descargar archivos o visitar páginas de origen poco claro.
5. Evitar tiendas desconocidas, sobre todo si las ofertas son demasiado buenas.
6. Mantener el sistema operativo y las apps actualizadas.
7. Instalar un antivirus gratis (o de pago) para reforzar la seguridad.

Un caso habitual son las tiendas online falsas con ofertas muy buenas, que en realidad son estafas, como este ejemplo con una consola PS5:

Hay una serie de medidas en los ajustes de la propia tarjeta que vale la pena revisar:

1. Poner un límite diario y mensual para compras online.
2. Activar la confirmación de pagos en la app (si el banco la admite).
3. Desactivar las compras desde el extranjero.
4. Contactar con el banco de inmediato ante la sospecha de que han obtenido nuestros datos.
5. Activar la verificación en dos pasos en la banca online.
6. Valorar medios de pagos alternativos como PayPal o Bizum.

Es posible desactivar también el NFC de la tarjeta y del móvil, aunque no suele ser la técnica más utilizada para las estafas.

En caso de que recibamos algún cargo fraudulento, hay que contactar con el banco de inmediato, para que bloquee la tarjeta. Vale la pena reclamar el dinero, pues quizá se pueda recuperar, o nos lo cubra algún seguro asociado a la tarjeta, algo que es mejor que revisemos nosotros, y no el banco.

También es importante denunciar ante la policía, al menos para que quede constancia. No es fácil que recuperen lo robado, pero al menos aumentará la presión sobre los ciberdelincuentes, además de que la denuncia puede ser necesaria más adelante si vamos a reclamar ante el banco.

En resumen, el carding es el objetivo último de la mayoría de las estafas online, así que hemos de tener muchísimo cuidado con la tarjeta de crédito y la contraseña. Ser prudentes y mantenerse informados de las últimas amenazas mejorará nuestra seguridad en Internet de manera muy considerable.

El FBI advierte el peligro de usar puertos USB públicos