¿Qué es el carding?
Carding es un término general para referirse a la utilización de los datos de las tarjetas de crédito y débito robadas para beneficio personal, que puede consistir en la venta de los datos, en su utilización para comprar bienes o para alimentar otros fraudes.
Hay que tener en cuenta que, aunque las tarjetas robadas pueden utilizarse para hacer compras directas, muchos las utilizan para comprar tarjetas de prepago y/o tarjetas de regalo, que luego utilizarán o venderán para obtener un beneficio inmediato, para ocultar sus huellas. De hecho, el término «carding» también se utiliza a veces para describir este tipo de «tarjetas de regalo» en particular.
Los ciberdelincuentes de diversos niveles de habilidad también pueden intentar vender (o comprar) grandes lotes de información de tarjetas de crédito robadas para obtener beneficios.
Según el Libro de Datos del Centinela del Consumidor de la Comisión Federal de Comercio para 2020, las tarjetas de crédito eran, por mucho, el método de pago más frecuente utilizado para el fraude en EE. UU, con un total de 149 millones de dólares en pérdidas.
Los consumidores denunciaron cerca de 400.000 casos de fraude con tarjetas de crédito, un 44% más que el año anterior, mientras que el fraude con tarjetas de débito aumentó en términos interanuales, con un 32% más que en 2019.
3 Ejemplos de carding
Se han observado robos de tarjetas de débito y crédito en prácticamente todos los sectores. Por ejemplo:
- En la industria del iGaming: Estafas de juego y apuestas online dirigidas a los proveedores de iGaming.
- En el sector de la hostelería: Huéspedes de hoteles que intentan pagar con varias tarjetas.
- En el comercio y el mercado de divisas: Estafadores que compran criptomonedas con tarjetas robadas.
Algunos estafadores han ideado métodos específicos para cada sector, basados en las particularidades de cada uno, pero también hay prácticas más generales.
Entre los sectores que se han destacado como más susceptibles al fraude con tarjetas en los últimos años se encuentran las aerolíneas, la banca y las finanzas, la industria manufacturera, la sanidad y la educación.
¿Cómo funciona el robo de tarjetas?
Hay docenas de métodos para robar la información de las tarjetas, entre ellos:
- Clonación de tarjetas/skimming
- Robo por RFID
- Phishing
- Wi-Fi público
- Software espía
- Filtración de datos
- Ataques BIN
Tras adquirir los datos, el ladrón suele recopilar largas listas y proceder a:
- Venderlos en la dark web o en plataformas cifradas como Telegram, para obtener beneficios.
- Utilizarlos para comprar artículos costosos para luego revenderlos.
- Utilizarlos para comprar criptomonedas para revenderlas, como inversión o como pago no rastreable para financiar más fraudes.
- Utilizarlos para comprar tarjetas de prepago o tarjetas de regalo para venderlas.
- Utilizarlos para financiar otras actividades nefastas, incluyendo otras estafas.
¿Cuánto vale una tarjeta de crédito robada?
Desde 134 dólares hasta 17 dólares por cada tarjeta, depende de dónde se busque, y los precios están bajando.
Mientras que una investigación de The Guardian identificó lotes de detalles de tarjetas robadas a aproximadamente 98 libras esterlinas/134 dólares por tarjeta en 2015, un informe más reciente de septiembre de 2021 encontró que se vendían a 13 libras esterlinas/17 dólares cada una. Curiosamente, el tipo más caro es Mastercard, con Discover en segundo lugar, a 6,47 y 6,27 centavos de dólar respectivamente.
Normalmente, cada entrada de tarjeta de crédito robada incluirá la siguiente información, que es suficiente para utilizarla en transacciones de tarjeta no presente (CNP), como pagos en línea y pedidos telefónicos:
- Número de tarjeta de crédito;
- Fecha de caducidad;
- Código CVV;
- Nombre de la tarjeta;
- Dirección completa del titular de la tarjeta.
Hemos redactado una guía completa sobre el fraude en tarjetas de crédito para ayudarte a entender como sucede, como detectarlo y como nuestro SEON puede ayudarte.
Descubre más aquí
Cómo pueden los consumidores evitar el carding
Se aconseja a los consumidores que tomen medidas adicionales para reforzar su seguridad cuando utilicen sus tarjetas de pago, tanto en línea como fuera de ella, entre ellas:
- Supervisar todos los extractos de la tarjeta y hacer un seguimiento de cualquier cargo sospechoso;
- Ser consciente de la ubicación física de las tarjetas;
- Informarse sobre las mejores prácticas de pago en línea y los riesgos (por ejemplo, https, phishing);
- Activar la MFA y/o la 2FA siempre que sea posible;
- Preguntar a los emisores de las tarjetas sobre las salvaguardias opcionales para aumentar la seguridad;
- Congelar o cancelar una tarjeta lo antes posible si surgen problemas.
Cómo pueden las empresas detectar el carding
Las salvaguardas y las mejores prácticas para detectar y bloquear los intentos de carding incluyen:
- Análisis de la huella digital para señalar las cuentas sospechosas.
- Caja Blanca machine learning para ayudar a los esfuerzos de revisión manual.
- Enriquecimiento de datos para informar de los modelos de riesgo.
- Formación de los clientes y del personal.
- Verificaciones KYC – ligeras o pesadas (o combinadas).
La vigilancia es necesaria por parte de las empresas de comercio electrónico, los bancos, los operadores de pasarelas de pago, los proveedores de servicios y prácticamente cualquier organización que gestione pagos con tarjeta.
Independientemente de que la víctima directa sea la empresa o el consumidor, el fraude puede pasar factura a la reputación, al tiempo dedicado a resolver el problema, a la moral del personal, e incluso dar lugar a multas si la seguridad se considera inadecuada.
Además, alguien acabará sufriendo las pérdidas económicas, y quién será depende de varios factores.
A veces, el ladrón se tomará el tiempo de comprobar si cada tarjeta está viva o muerta antes de traficar con ella o utilizarla. Es en esta fase cuando son más vulnerables.
Los estafadores han ideado y descubierto diversas herramientas y métodos para emplear en sus prácticas de carding, muchos de los cuales son legales cuando se utilizan para otros fines. Entre ellos se encuentran los RDP, los cambiadores de direcciones MAC, las herramientas de limpieza como CCleaner, etc.
Por otro lado, herramientas y métodos como los mencionados anteriormente pueden ayudar a detectar los intentos de los ladrones. Por ejemplo, el análisis de la huella digital examinará la dirección de correo electrónico o el número de teléfono para ver si están asociados a la cuenta de redes sociales del titular de la tarjeta, mientras que el enriquecimiento de datos obtendrá información sobre el titular de la tarjeta de toda la web para asignarle una puntuación de riesgo.
Las nuevas y variadas herramientas para el uso de tarjetas, el aumento de los pagos en línea y sin contacto, así como el hecho de que los protocolos de mensajería encriptada sean más accesibles que nunca para el público en general, han provocado un aumento del uso de tarjetas.
Nilson Report estima que el fraude con tarjetas en todo el mundo se está disparando, con una cifra de 32.040 millones de dólares en 2021, y se prevé que alcance los 38.50 millones de dólares en 2027. Dependiendo de cómo caigan las tarjetas, estas pérdidas pueden recaer en el emisor de la tarjeta, en el procesador de pagos, en el comerciante o tienda donde se realizó el pago o en el propio consumidor.
Por último, tanto para los particulares como para los profesionales, es bueno tener en cuenta que hay una gran cantidad de información que puede revelar un número de identificación bancaria (BIN). Puedes probarlo con el módulo de SEON que aparece a continuación:
Sources