Carding

¿Qué es el carding?

El carding es el uso no autorizado de información robada de tarjetas de crédito o débito para actividades ilícitas, como la compra de bienes, adquisición de tarjetas de regalo o prepago para su reventa, o como parte de esquemas de fraude más complejos. Los ciberdelincuentes suelen intercambiar grandes volúmenes de datos comprometidos en foros de la dark web o a través de plataformas de mensajería encriptadas como Telegram. Una táctica común consiste en usar tarjetas robadas para comprar criptomonedas o tarjetas de regalo, que luego se lavan o se revenden para obtener ganancias no rastreables.

Tan solo en 2024, se registraron 449,032 reportes de robo de identidad relacionado con tarjetas de crédito, lo que lo convirtió en el tipo de fraude de identidad más común del año. En total, los consumidores reportaron pérdidas por más de $12.5 mil millones de dólares debido al fraude en 2024, lo que representa un aumento del 25% con respecto al año anterior. Estas cifras evidencian la creciente amenaza del carding y la necesidad urgente de implementar soluciones sólidas de prevención de fraude tanto para consumidores como para empresas del ecosistema de pagos.

¿Cómo roban las tarjetas? ¿Cómo funciona el carding?

Los defraudadores utilizan múltiples técnicas para robar información de tarjetas de crédito y débito, entre ellas:

• Clonación/skimming: Uso de dispositivos físicos en cajeros automáticos o terminales punto de venta para copiar datos de la tarjeta, o lectura RFID en tarjetas sin contacto.
• Phishing: Suplantación de identidad vía correo electrónico, SMS o llamadas para engañar a los usuarios y obtener los datos de sus tarjetas.
• Ataques BIN: Generación y prueba sistemática de números de tarjeta a partir de BINs (Bank Identification Numbers) válidos.
• Filtraciones de datos: Explotación de vulnerabilidades en sistemas para acceder a grandes volúmenes de datos de tarjetas, que luego se venden en la dark web.
• Malware y spyware: Infección de dispositivos para registrar teclas, clonar billeteras digitales o monitorear la actividad del usuario.
• Exploits de día cero: Aprovechamiento de vulnerabilidades no divulgadas en plataformas de eCommerce antes de que se liberen parches de seguridad.
• Anuncios falsos y fraudes laborales: Recolección de datos de tarjetas mediante formularios engañosos en línea.
• Ataques en redes Wi-Fi públicas: Intercepción de datos sensibles en redes no seguras.

Una vez que obtienen los datos, los ciberdelincuentes los venden, los prueban para verificar su validez o los usan para comprar bienes, tarjetas de regalo o criptomonedas —fondos que muchas veces financian fraudes adicionales.

El impacto es alarmante: en 2024, la Federal Trade Commission (FTC) reportó 458,538 casos de fraude con tarjeta de crédito en EE.UU., un aumento del 7% respecto al año anterior.

¿Cuánto vale una tarjeta de crédito robada?

El valor de los datos de tarjetas de crédito robadas en la dark web varía considerablemente según factores como el tipo de tarjeta, el saldo disponible y la información adicional incluida. En 2024, los precios pueden oscilar entre $17 y $134 USD por tarjeta, dependiendo del mercado y el nivel de detalle de los datos.

Por ejemplo, tarjetas con saldo de hasta $1,000 USD suelen venderse por aproximadamente $70 USD, mientras que aquellas con saldos de hasta $5,000 USD pueden alcanzar los $110 USD.

Las tarjetas físicas clonadas con NIP (como Mastercard, Visa o American Express) tienen un precio estimado de entre $20 y $25 USD.

Cada entrada de tarjeta robada normalmente incluye la información suficiente para realizar transacciones sin tarjeta presente (card-not-present, CNP), como compras en línea o pedidos telefónicos. Estos datos incluyen:

• Número de tarjeta
• Fecha de vencimiento
• Código CVV
• Nombre del titular
• Dirección de facturación

Esta información permite a los defraudadores realizar compras o ejecutar fraudes financieros sin necesidad de la tarjeta física, lo que representa una amenaza crítica tanto para emisores como para comercios en línea.

4 Ejemplos de carding

El uso fraudulento de tarjetas de crédito y débito robadas es común en múltiples sectores. Los delincuentes adaptan sus tácticas según las características específicas de cada industria. Algunos ejemplos incluyen:

1. iGaming
Los defraudadores utilizan tarjetas robadas para realizar depósitos elevados y reclamar bonos, especialmente en casinos en línea y plataformas de apuestas. Tras obtener el bono, suelen retirar los fondos, dejando al operador expuesto a contracargos y pérdidas operativas.

2. Fintech y Servicios Financieros
Usuarios fraudulentos aprovechan tarjetas robadas para fondear cuentas, hacer retiros rápidos o ejecutar operaciones en plataformas de trading de criptomonedas o billeteras digitales. Este sector es un blanco atractivo debido al alto valor de las transacciones y a la falta de mecanismos de detección de fraude en tiempo real.

3. Retail (Comercio Electrónico)
En el sector minorista digital, los criminales usan tarjetas robadas para comprar productos de alta demanda que luego pueden revender. Las transacciones sin tarjeta presente (card-not-present) presentan un riesgo elevado, ya que no hay verificación física del titular.

4. Pagos (Procesamiento de Transacciones)
En el ecosistema de pagos, los ciberdelincuentes suelen hacer microtransacciones con tarjetas robadas para validar su funcionamiento antes de realizar compras de mayor valor o revender los datos en la dark web.

Cómo prevenir el carding – como consumidor

Los consumidores pueden tomar varias medidas para proteger su información de tarjeta, tanto en línea como fuera de línea:

• Revisa regularmente tus estados de cuenta para detectar cargos sospechosos.
• Mantén siempre el control físico de tu tarjeta.
• Aplica buenas prácticas de seguridad al pagar en línea (por ejemplo, usar sitios con HTTPS y evitar enlaces de phishing).
• Activa la autenticación en dos pasos (2FA) o autenticación multifactor (MFA) siempre que sea posible.
• Consulta con tu banco o emisor sobre funciones de seguridad adicionales disponibles.
• Si sospechas de un uso fraudulento, congela o cancela la tarjeta de inmediato.

Cómo detectar carding – como empresa

Las empresas pueden identificar y bloquear intentos de carding mediante diversas técnicas de detección de fraude, incluyendo:

• Verificación KYC
  Implementar verificaciones KYC ligeras, robustas o híbridas es una estrategia eficaz para identificar fraudes en diferentes etapas del ciclo de transacción.
• Card BIN Lookup
  Verifica la validez de la tarjeta, identifica el banco emisor y el país de origen, lo que ayuda a evaluar el riesgo de la transacción.
• Análisis de huella digital (digital footprinting)
  Revisar la presencia digital del usuario (correo electrónico o número telefónico) puede revelar señales de alerta. La ausencia de huella o inconsistencias son indicios clave para investigar más a fondo.
• Análisis de IP
  Evaluar las conexiones del usuario, incluyendo la detección de VPNs, uso de Tor o actividad DNS sospechosa.
• Inteligencia de dispositivo
  Analizar el tipo de dispositivo, sistema operativo y navegador ayuda a detectar comportamientos inusuales y frenar intentos de fraude durante las transacciones.
• Detección con IA
  Utilizar algoritmos de machine learning explicables (whitebox models) permite identificar patrones emergentes de fraude y asistir en revisiones manuales más eficientes.
• Reglas de riesgo personalizadas o sectoriales
  Aplicar reglas de riesgo adaptadas a sectores como retail, fintech o pagos permite automatizar la detección de fraude de forma más precisa y alineada a cada negocio.