Empieza ahora  Contacta con ventas 

¿Qué es el carding? Cómo funciona este tipo de fraude y cómo pueden evitarlo las empresas

Connect
Connect

Las plataformas y marketplaces más exitosos del mundo, como Shopify y DoorDash, utilizan Stripe Connect para integrar pagos en sus productos.

Más información 
  1. Introducción
  2. Cómo funciona el carding
    1. Robo de la información de la tarjeta
    2. Prueba de la validez de la tarjeta
    3. Realización de transacciones fraudulentas
    4. Evasión de la detección
  3. Cómo las empresas pueden protegerse contra el carding
  4. Cómo la internet profunda facilita el carding
  5. Cómo el carding afecta a empresas y clientes
    1. Repercusiones para las empresas
    2. Repercusiones para los clientes
  6. Breve historia del carding
    1. Inicios y el auge de internet
    2. Surgimiento de nuevas tecnologías
  7. Cómo puede ayudar Stripe Radar
  8. Empieza a usar Stripe 

El carding es la práctica ilegal de obtener y usar información de tarjetas de crédito, así como traficar con ella, sin autorización, muchas veces para comprar tarjetas regalo o de prepago. El carding contribuye a que haya robos de identidades, pérdidas financieras que afecten a personas y empresas, y una gran variedad de ciberdelitos de otro tipo.

Las pérdidas mundiales por fraude con tarjetas de crédito se proyectan que alcancen los 43 mil millones de dólares para 2026. Para combatir el carding, las organizaciones emplean medidas de seguridad como tokenización, encriptación, autenticación multifactor y sistemas de monitoreo antifraude. Esta guía cubrirá lo que las empresas deben saber sobre el carding, incluyendo cómo funciona y cómo protegerse.

¿De qué trata este artículo?

  • Cómo funciona el carding
  • Cómo las empresas pueden protegerse contra el carding
  • Cómo la internet profunda facilita el carding
  • Cómo el carding afecta a empresas y clientes
  • Breve historia del carding
  • Cómo Stripe Radar puede ayudar

Cómo funciona el carding

Robo de la información de la tarjeta

El proceso de carding comienza con ladrones de tarjetas, conocidos como «carders», que roban información de tarjetas de crédito mediante phishing, skimming, brechas de datos o keylogging.

Aquí tienes algunas formas comunes en que los carders pueden robar información de tarjetas:

  • Phishing: los ladrones usan correos electrónicos, sitios web o mensajes falsos para engañar a personas y que revelen la información de sus tarjetas de crédito. Para ello, estos ladrones se hacen pasar por empresas o servicios legítimos.

  • Skimming: los carders instalan dispositivos conocidos como skimmers en cajeros automáticos, surtidores de gasolina o terminales de punto de venta (sistema POS) para capturar la información de las tarjetas de crédito físicas.

  • Hackeo: los ciberdelincuentes usan software malicioso, ransomware o accesos no autorizados para infiltrarse en sistemas informáticos o bases de datos, y robar información de tarjetas de crédito.

  • Keylogging: el software o hardware registra las pulsaciones de las teclas en el dispositivo de una víctima para capturar información de tarjetas de crédito y otros datos confidenciales.

  • Inyección SQL: los carders insertan código SQL malicioso en la base de datos de un sitio web para extraer información sensible, incluidos los datos de tarjetas de crédito.

  • Observación directa: los estafadores vigilan a las personas mientras introducen la información de su tarjeta de crédito en cajeros automáticos o cajas registradoras y roban esa información.

  • Formjacking: los ladrones manipulan formularios en línea de sitios web legítimos para capturar la información de las tarjetas de crédito de los usuarios.

  • Aplicaciones y sitios web falsos: los malhechores crean aplicaciones o sitios web falsos que parecen legítimos para engañar a los usuarios y que proporcionen la información de su tarjeta de crédito.

  • Ataques de fuerza bruta: los ciberdelincuentes usan software automatizado para adivinar números de tarjetas de crédito, probando diferentes combinaciones hasta encontrar números válidos.

Cuando los carders roban información de tarjetas de crédito, suelen venderla en marketplaces clandestinos donde la gente puede comprar números, fechas de caducidad, códigos del valor de verificación de la tarjeta (CVV, por sus siglas en inglés) y direcciones de facturación de las tarjetas robadas.

Prueba de la validez de la tarjeta

Después de comprar información robada de tarjetas de crédito, los estafadores usan bots de carding para validar la información. Estos bots automatizan el proceso de realizar pequeñas transacciones en sitios de comercio electrónico para comprobar si la tarjeta está activa, y pueden usarse sin activar alertas de fraude.

Realización de transacciones fraudulentas

Tras validad la legitimidad de una tarjeta, los malhechores usan la información para hacer compras no autorizadas. Suelen optar por artículos o tarjetas regalo de gran valor, que se pueden revender por efectivo o usarse con fines personales. Los bots de carding permiten a los malhechores automatizar y ampliar este proceso, ya que tienen como objetivo varios sitios web y hacen muchas transacciones en un breve período.

Evasión de la detección

Los carders utilizan una variedad de herramientas y tácticas para evadir la detección mientras cometen fraudes. A menudo dependen de proxies y VPN para ocultar su ubicación real, lo que dificulta que las plataformas de comercio electrónico detecten actividades sospechosas. Los carders también usan bots aleatorios para imitar el comportamiento humano y eludir la detección de fraude, mientras que las redes distribuidas de bots dispersan la actividad para evitar llamar la atención. Además, los carders convierten rápidamente los bienes robados en dinero vendiéndolos en línea o a través de redes locales, lo que complica aún más los esfuerzos para rastrear sus acciones.

Cómo las empresas pueden protegerse contra el carding

Los sistemas sofisticados de detección de fraude utilizan inteligencia artificial para identificar patrones y comportamientos de compra inusuales. A continuación, se muestran formas en que las empresas pueden utilizar estas tecnologías y otras prácticas para protegerse.

  • Sistema de verificación de dirección (AVS): AVS compara la dirección de facturación proporcionada por el usuario con la registrada en la entidad emisora de la tarjeta. Es una herramienta básica pero eficaz para la prevención del fraude.

  • Análisis conductuales: analiza el comportamiento de los usuarios en tu plataforma para identificar anomalías como transacciones rápidas, intentos reiterados con diferentes números de tarjetas o patrones de geolocalización inusuales.

  • Puntuación dinámica de riesgo y MFA: asigna puntuaciones de riesgo a las transacciones basándose en múltiples factores, incluidos el reconocimiento del dispositivo, la dirección IP, la geolocalización IP y datos históricos. Las transacciones con mayor riesgo pueden activar la autenticación multifactor (MFA).

  • Valor de verificación de la tarjeta (CVV): solicitar a los clientes que introduzcan su CVV ayuda a confirmar que el comprador posee físicamente la tarjeta, reduciendo el riesgo de uso no autorizado solo con números de tarjeta robados.

  • Tokenización: convierte la información confidencial de las tarjetas de crédito en tokens seguros para uso interno, lo que reduce la exposición de los datos sin procesar de las tarjetas y el riesgo de robo.

  • Cifrado de extremo a extremo: cifra la información confidencial desde el momento en que se captura hasta que se almacena y procesa para reducir el riesgo de interceptaciones y accesos no autorizados.

  • Almacenamiento de datos seguro: guarda la información de las tarjetas de crédito en bases de datos cifradas con acceso restringido. Implementa un control de acceso según funciones (RBAC, por sus siglas en inglés) y asegúrate de que solo el personal autorizado pueda acceder a los datos confidenciales.

  • Supervisión de las transacciones en tiempo real: supervisa las transacciones en tiempo real para identificar posibles actividades fraudulentas. Envía alertas automatizadas a los equipos de seguridad para que empiecen a investigarlas de inmediato.

  • Equipos de respuesta a incidentes: establece equipos especializados de respuesta a incidentes con protocolos claros para abordar casos de carding.

  • Intercambio de información sobre amenazas: participa en programas de intercambio de información sobre amenazas para estar al tanto de las tendencias y las técnicas de carding emergentes.

  • Colaboración con las autoridades policiales: establece relaciones con las fuerzas del orden especializadas en ciberdelitos para ayudar en investigaciones y desmantelamientos de operaciones de carding.

  • Alternativas a CAPTCHA: usa soluciones de CAPTCHA avanzadas o alternativas como reCAPTCHA v3 que no requieren ninguna interacción por parte del usuario, pero pueden detectar comportamientos de bots.

  • Limitación de velocidad y regulación del flujo: implementa limitación de velocidad o controles de frecuencia para restringir el número de transacciones o intentos desde una misma dirección IP o usuario dentro de un periodo de tiempo específico.

  • Huella digital del dispositivo: identifica características únicas del dispositivo para detectar actividades de bots automatizadas. Así puedes impedir que los bots de carding prueben grandes números de datos robados de tarjetas de crédito.

  • Alertas y notificaciones de fraude: envía alertas a los clientes cuando se detecten actividades sospechosas para que puedan confirmar o rechazar rápido las transacciones.

  • Educación de los clientes: informa a los clientes de los riesgos del carding y las mejores prácticas que deben seguir para proteger la información de sus tarjetas de crédito. Así se pueden reducir las probabilidades de que el phishing o los ataques de ingeniería social sean satisfactorios.

Cómo la internet profunda facilita el carding

La internet profunda facilita transacciones anónimas que son difíciles de rastrear o interrumpir por las fuerzas de seguridad. La mayoría de los pagos se realizan con criptomonedas como bitcoin, que ocultan la identidad de compradores y vendedores.

Los marketplaces se basan en el cifrado, servicios ocultos e infraestructura distribuida para proteger a los usuarios y mantenerse en línea a pesar de los intentos de cierre. Incluso cuando se clausuran sitios, comunidades dinámicas como los foros de estafadores suelen reaparecer bajo nuevos nombres, lo que dificulta su eliminación total.

Los marketplaces de la internet profunda son plataformas centrales para el comercio de bienes y servicios ilegales, especialmente relacionados con el fraude financiero. Ofrecen datos de tarjetas de crédito robadas, a menudo organizados por detalles específicos como tipo o país, así como herramientas para estafas como bots y malware que ayudan a automatizar el fraude. Estos marketplaces también proporcionan servicios relacionados como validación de tarjetas de crédito, asistencia para el cobro y creación de identificaciones falsas.

Las comunidades de la internet profunda son centros de conocimiento donde estafadores experimentados comparten técnicas, guías y consejos con los recién llegados. Estas plataformas también facilitan el networking y la colaboración, permitiendo a los usuarios coordinar operaciones de fraude más sofisticadas.

Cómo el carding afecta a empresas y clientes

Repercusiones para las empresas

  • Pérdidas financieras: cuando ocurren transacciones fraudulentas, las empresas suelen asumir el coste de los contracargos y reembolsos. Esto puede afectar a sus resultados, especialmente en pequeñas y medianas empresas (PYMEs).

  • Daño para la reputación: los incidentes de carding pueden perjudicar la buena fama del negocio. Los clientes que han sufrido fraude en la plataforma de una empresa pueden perder la confianza en ella y dejar opiniones negativas.

  • Costes operativos: para combatir el carding, las empresas deben invertir en medidas de seguridad, sistemas de detección de fraude y soporte al cliente para gestionar los problemas relacionados con el fraude. Estos costes pueden ser importantes.

  • Mayor escrutinio: unas tasas elevadas de fraude pueden hacer que haya un mayor escrutinio por parte de los procesadores de pagos, lo que puede suponer mayores comisiones, requisitos más estrictos o incluso la cancelación de cuentas de comerciante.

  • Riesgos de cumplimiento de la normativa: las empresas deben cumplir con regulaciones como el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS). Si no se cumplen en algún momento debido a incidentes de carding, pueden recibir sanciones y sufrir repercusiones legales.

Repercusiones para los clientes

  • Cuentas comprometidas: los consumidores a quienes hayan robado información de tarjetas de crédito pueden encontrar cargos no autorizados en sus cuentas. Deberán dedicar tiempo y esfuerzos a hablar con sus bancos y con las empresas de dichas tarjetas para anular los cargos fraudulentos y restaurar sus cuentas, lo que puede ser un proceso largo y frustrante.

  • Robo de identidad: el carding puede ocasionar un robo de identidad más amplio si los malhechores usan la información robada de las tarjetas de crédito para abrir nuevas cuentas, solicitar préstamos o cometer otros tipos de fraude.

  • Angustia emocional: descubrir cargos no autorizados y tratar con las consecuencias del carding puede causar angustia emocional y ansiedad a los consumidores.

  • Repercusión en la puntuación de crédito: en algunos casos, el fraude relacionado con el carding puede afectar a la puntuación de crédito de un cliente, sobre todo si el fraude hace que se atrase algún pago o que haya impagos.

Breve historia del carding

Inicios y el auge de internet

Al principio, el carding implicaba métodos físicos para obtener información de tarjetas de crédito. Los estafadores robaban carteras o bolsos para conseguir tarjetas de crédito, o colocaban dispositivos en cajeros automáticos o terminales del sistema POS que capturaban la información de las tarjetas cuando se usaban. La existencia de skimmers se denunció en torno a 2002.

A medida que Internet fue creciendo, el carding pasó a la red, lo que hizo que surgieran nuevas técnicas como el phishing y el hackeo de bases de datos de empresas para robar grandes volúmenes de información de tarjetas de crédito. Si bien el phishing existe desde los años 90, se volvió más habitual a principios de los 2000, a medida que aumentaba la popularidad de Internet.

Surgimiento de nuevas tecnologías

La automatización y el software avanzado han dado lugar a técnicas de carding más sofisticadas. Los bots de carding han automatizado el proceso de prueba y validación de tarjetas, permitiendo a los estafadores ampliar sus operaciones y cometer fraudes más rápidamente. Además, los estafadores han comenzado a utilizar redes distribuidas de bots para probar grandes volúmenes de datos de tarjetas de crédito robadas, reduciendo su riesgo de detección al distribuir la actividad entre múltiples ubicaciones y direcciones IP.

A medida que fue aumentando la sofisticación del carding, las medidas de seguridad también han ido evolucionando. La tecnología de chip y PIN se convirtió en la norma en la década de 2010 para dificultar más la clonación de tarjetas físicas, lo que obligaba a los carders a depender más de métodos en línea. Las plataformas de e-commerce empezaron a implementar sistemas de detección mediante machine learning e IA para identificar patrones y transacciones sospechosos. Los CAPTCHA y la autenticación en varios pasos se implantaron para evitar que los bots automatizados explotasen sistemas en línea.

Los carders siguen adaptándose a las nuevas medidas y tecnologías de seguridad con sus propias innovaciones. Entre las nuevas técnicas, se incluyen el formjacking (meter código malicioso en formularios en línea para capturar información de tarjetas de crédito), el fraude de identidades sintéticas (crear identidades falsas con datos robados para abrir cuentas de crédito) y la usurpación de cuentas (usar información robada de tarjetas para obtener acceso no autorizado a cuentas que ya existen).

Cómo puede ayudar Stripe Radar

Stripe Radar entrena modelos de IA para detectar y prevenir el fraude, utilizando datos de la red global de Stripe. Actualiza continuamente estos modelos establecidos en las últimas tendencias de fraude, protegiendo tu empresa a medida que el fraude evoluciona.

Stripe también ofrece Radar for Fraud Teams, que permite a los usuarios añadir reglas personalizadas que abordan escenarios de fraude específicos para sus negocios y acceder a información avanzada sobre fraude.

Radar puede ayudar a tu negocio en lo siguiente:

  • Prevenir pérdidas por fraude: Stripe procesa más de 1 billón de dólares en pagos anualmente. Esta escala permite a Radar detectar y prevenir el fraude con precisión, ahorrándote dinero.
  • Aumentar ingresos: los modelos de IA de Radar están entrenados con datos reales de disputas, información de clientes, datos de navegación y mucho más. Esto permite a Radar identificar transacciones de riesgo y reducir falsos positivos, aumentando tus ingresos.
  • Ahorra tiempo: Radar está integrado en Stripe y no requiere ninguna línea de código para configurarlo. También puedes monitorear tu rendimiento de fraude, escribir reglas y mucho más en una sola plataforma, aumentando la eficiencia.

Aprende más sobre Stripe Radar, o empieza hoy.

El contenido de este artículo tiene solo fines informativos y educativos generales y no debe interpretarse como asesoramiento legal o fiscal. Stripe no garantiza la exactitud, la integridad, la adecuación o la vigencia de la información incluida en el artículo. Busca un abogado o un asesor fiscal profesional y con licencia para ejercer en tu jurisdicción si necesitas asesoramiento para tu situación particular.

Más artículos

¿A punto para empezar?

Crea una cuenta y empieza a aceptar pagos: no tendrás que firmar ningún contrato ni proporcionar datos bancarios. Si lo prefieres, puedes ponerte en contacto con nosotros y diseñaremos un paquete personalizado para tu empresa.
Connect

Connect

Pasa a modo activo en semanas en vez de trimestres, construye una empresa de pagos rentable y escala con facilidad.

Documentación de Connect

Descubre cómo dirigir pagos entre varias partes.