Últimamente además de crecer el número de casos que se ven en redes sociales de personas que son víctimas de fraudes bancarios, podemos apreciar un crecimiento en la cantidad de personas que señala desconocer como es que los ciberdelincuentes obtuvieron los datos de sus tarjetas de crédito, sobre todo de sus claves. Ante esto les presento el Carding, modalidad de ciber fraude que si bien no es nueva, ha ido en aumento el último tiempo.

¿Qué es el Carding?

Se trata de un tipo de fraude con tarjetas de crédito mediante el cual los ciberdelincuentes compran o sustraen los datos de tarjetas de crédito para luego a través de sistemas robóticos probar miles de claves hasta encontrar la que corresponda. Ya habiendo conseguido las claves son múltiples las transacciones que pueden hacer y una de estas es la compra de tarjetas prepagadas (gift cards) para después venderlas. Los números de tarjetas de crédito comúnmente se venden en la dark web y los estafadores los compran y prueban grandes cantidades de estos números de tarjetas mediante un BOT, con distintas claves. Aquí cobra una vital importancia las estrategias de seguridad de la información adoptadas por las compañías para evitar los robos de bases de datos de tarjetas de crédito lo que se vincula directamente con lo que establece la nueva ley de protección de datos personales cuya discusión aún se encuentra en el congreso y la vinculación que tiene con las obligaciones de Compliance establecidas en la ley 20.393 que deben cumplir las empresas.

Como obtienen los ciberdelincuentes los datos de las tarjetas? El método más común es través de fishing, con una suplantación de identidad que logra el delincuente mediante un engaño al usuario, comúnmente mediante un correo electrónico pero puede ser a través de mensajes de texto o llamadas telefónicas. También con la instalación de malware en tus dispositivos, estos pueden registrar pulsaciones de teclas (keyloggers), monitorizar los programas que usas y recopilar información personal, como números de tarjetas de crédito y contraseñas de cuentas. Otro de los procedimientos para el robo de estos datos es el uso de lectores con comunicación inalámbrica RFID o NFC. Los estafadores solo tienen que acercar estos lectores a la tarjeta de la víctima a una distancia de al menos 15 centímetros y obtendrán los datos de la tarjeta en segundos. Para ello, hacen uso de ingeniería social. Por último, un método que ya está en retirada producto de las medidas de seguridad adoptadas por el comercio y la banca son los skimmer que roban la información de tu tarjeta a través de la banda magnética.

Para realizar el Carding estamos hablando de pruebas en miles de intentos de pequeñas transacciones con distintas claves, en tiempos reducidos, de manera automatizada en el comercio, hasta dar con la clave adecuada. Los números de tarjeta exitosos se organizan en una lista separada y se usan para otras actividades delictivas, o se venden a redes del crimen organizado. Ya con los datos correctos, los delincuentes prueban la validez de la tarjeta intentando realizar pequeñas compras en la web y si eso funciona, el estafador usa los datos para comprar tarjetas de regalo o compras más grandes.

Las tarjetas de regalo no pueden ser rastreadas por lo que una vez adquiridas el estafador las vende o las utiliza para compras en el comercio con apariencia lícita. Este tipo de fraudes se dan con más frecuencia en épocas altas de compras como los ciber days o navidad, así el ciberdelincuente esconde sus compras entre las del titular de la tarjeta.

Actualmente el Instituto Nacional de Ciberseguridad (INCIBE) tiene en la mira este tipo de fraudes y los mira con preocupación.

Que podemos hacer para prevenir ser víctimas de este tipo de fraude bancario?

La primera de las recomendaciones en no realizar compras a través de ordenadores públicos y tampoco utilizando wifi público como en el metro, en un café o en otras zonas de wifi compartido.

Cuando compres online debes estar muy atento a si observas fallas de diseño, errores ortográficos, navegación torpe o enlaces que no conducen a ninguna parte dentro de la página web. Mira bien el dominio de la página e intenta evitar ingresar a través de Google u otros buscadores.

No hagas clic en enlaces, descargues archivos ni respondas a mensajes de quienes no conozcas.

En ninguna circunstancia proporciones tus datos bancarios por teléfono o por mail al igual que nunca utilices tu digipass para autorizar transacciones que alguien te solicite. Si alguien te contacta telefónicamente señalando ser de tu banco para que autorices alguna transacción o bloqueo con el digipass, eso es una estafa, no lo hagas. Cuelga el teléfono y llama a tu banco.

Se recomienda llevar un control de las operaciones y transacciones bancarias de tu cuenta. De esta forma, si hay una compra desconocida la podrás identificar fácilmente, y podrás tomar medidas al respecto.

Por último, para evitar el robo de datos de la cuenta bancaria con técnicas como la del uso de lectores de comunicación inalámbrica RFID o NFC, desactiva el sistema NFC de tu teléfono y de las aplicaciones de los bancos o, en caso de utilizarlo solicita una confirmación con PIN a la hora de realizar una compra. También existen protectores de tarjetas que puedes poner en tu billetera para evitar que pueda ser clonada con este sistema.

Recuerda que la gran mayoría de estos delitos se generan por ingeniería social, o sea por engaño a su titular, pero en el caso del Carding si mantienen monitoreo de las transacciones que se realizan en tu cuenta podrás detectarlo a tiempo y avisar a tu banco para el correspondiente bloqueo de tarjeta.