El carding es la práctica ilegal de obtener y usar información de tarjetas de crédito, así como traficar con ella, sin autorización, muchas veces para comprar tarjetas regalo o de prepago. El carding contribuye a que haya robos de identidades, pérdidas financieras que afecten a personas y empresas, y una gran variedad de ciberdelitos de otro tipo.
Las pérdidas debidas al fraude con tarjetas superaron los 33.000 millones de dólares en 2022 en todo el mundo. Para combatir el carding, las organizaciones utilizan medidas de seguridad como la tokenización, el cifrado, la autenticación en varios pasos y los sistemas de supervisión antifraude. En esta guía, explicaremos lo que deben saber las empresas sobre el carding, incluido cómo funciona y cómo protegerse de él.
¿De qué trata este artículo?
- Cómo funciona el carding
- Breve historia del carding
- Formas en que la dark web y otras comunidades en línea facilitan el carding
- Cómo afecta el carding a las empresas y los consumidores
- Cómo se pueden proteger las empresas frente al carding
Cómo funciona el carding
Robo de la información de la tarjeta
El proceso del carding empieza con los carders, que son ladrones que roban información de tarjetas de crédito con medios como el phishing, el skimming, las filtraciones de datos o el keylogging.
Phishing: los ladrones usan correos electrónicos, sitios web o mensajes falsos para engañar a personas y que revelen la información de sus tarjetas de crédito. Para ello, estos ladrones se hacen pasar por empresas o servicios legítimos.
Skimming: los ladrones instalan dispositivos conocidos como skimmers en cajeros automáticos, surtidores de gasolina o terminales de punto de venta (sistema POS) para capturar la información de las tarjetas de crédito físicas.
Hackeo: los ciberdelincuentes usan software malicioso, ransomware o accesos no autorizados para infiltrarse en sistemas informáticos o bases de datos, y robar información de tarjetas de crédito.
Keylogging: el software o hardware registra las pulsaciones de las teclas en el dispositivo de una víctima para capturar información de tarjetas de crédito y otros datos confidenciales.
Inyección SQL: el código SQL malicioso que se ha insertado en la base de datos de un sitio web extrae información confidencial, como los datos de las tarjetas de crédito.
Espionaje por encima del hombro: los malhechores miran cómo la gente escribe la información de su tarjeta de crédito en cajeros o cajas, y roban esos datos.
Formjacking: los ladrones manipulan formularios en línea de sitios web legítimos para capturar la información de las tarjetas de crédito de los usuarios.
Aplicaciones y sitios web falsos: los malhechores crean aplicaciones o sitios web falsos que parecen legítimos para engañar a los usuarios y que proporcionen la información de su tarjeta de crédito.
Ataques de fuerza bruta: los delincuentes usan software automatizado para adivinar los números de las tarjetas de crédito, para lo que muchas veces prueban diferentes combinaciones de números hasta que encuentran unos válidos.
Cuando los carders roban información de tarjetas de crédito, suelen venderla en marketplaces clandestinos donde la gente puede comprar números, fechas de caducidad, códigos del valor de verificación de la tarjeta (CVV, por sus siglas en inglés) y direcciones de facturación de las tarjetas robadas.
Prueba de la validez de la tarjeta
Tras haber comprado información robada de tarjetas de crédito, los malhechores usan bots de carding para validar esos datos. Estos bots automatizan el proceso de hacer pequeñas transacciones en sitios web de e-commerce para probar si la tarjeta está activa y se puede utilizar sin activar alertas de fraude.
Realización de transacciones fraudulentas
Tras validad la legitimidad de una tarjeta, los malhechores usan la información para hacer compras no autorizadas. Suelen optar por artículos o tarjetas regalo de gran valor, que se pueden revender por efectivo o usarse con fines personales. Los bots de carding permiten a los malhechores automatizar y ampliar este proceso, ya que tienen como objetivo varios sitios web y hacen muchas transacciones en un breve período.
Evasión de la detección
Los carders usan los siguientes métodos y herramientas para evadir la detección:
Proxies y VPN: estos enmascaran la ubicación del ladrón, lo que dificulta que los sitios web de e-commerce detecten patrones inusuales.
Bots aleatorios: estos bots simulan el comportamiento humano para no activar ningún sistema antifraude.
Ataques distribuidos: las redes de bots distribuidas evitan concentrar la actividad sospechosa en una única ubicación.
Reventa y conversión: los carders convertirán rápido los bienes comprados de forma ilegal en efectivo, lo que dificulta hacer un seguimiento de la actividad. Podrían revender los productos en marketplaces en línea o mediante redes locales.
Breve historia del carding
Inicios: robo y skimming con métodos físicos
Al principio, el carding implicaba métodos físicos para obtener información de tarjetas de crédito. Los malhechores robaban carteras o bolsos para conseguir tarjetas de crédito, o colocaban dispositivos en cajeros automáticos o terminales del sistema POS que capturaban la información de las tarjetas cuando se pasaban. La existencia de skimmers se denunció en torno a 2002.
Auge de Internet: phishing y hackeo
A medida que Internet fue creciendo, el carding pasó a la red, lo que hizo que surgieran nuevas técnicas como el phishing y el hackeo de bases de datos de empresas para robar grandes volúmenes de información de tarjetas de crédito. Si bien el phishing existe desde los años 90, se volvió más habitual a principios de los 2000, a medida que aumentaba la popularidad de Internet.
Dark web y marketplaces clandestinos
El mercado negro de la información robada de tarjetas de crédito se expandió y los malhechores empezaron a comerciar con ella en la dark web. Esto facilitó que los malhechores adquirieran y vendieran datos de tarjetas, y los foros en línea de carding se hicieron populares para compartir técnicas de carding, vender datos robados y coordinar actividades criminales.
Bots de carding y automatización
El auge de la automatización y el software avanzado ha dado lugar a técnicas de carding más sofisticadas. Los bots de carding han automatizado el proceso de prueba y validación de tarjetas, lo que permite a los malhechores escalar sus operaciones y cometer fraudes más rápido. Además, los carders han empezado a usar redes distribuidas de bots para probar grandes volúmenes de datos robados de tarjetas de crédito, lo que reduce el riesgo de que los detecten, ya que extienden la actividad por varias ubicaciones y direcciones IP.
Medidas de seguridad reforzadas y adaptaciones
A medida que fue aumentando la sofisticación del carding, las medidas de seguridad también han ido evolucionando. La tecnología de chip y PIN se convirtió en la norma en la década de 2010 para dificultar más la clonación de tarjetas físicas, lo que obligaba a los carders a depender más de métodos en línea. Las plataformas de e-commerce empezaron a implementar sistemas de detección mediante machine learning e IA para identificar patrones y transacciones sospechosos. Los CAPTCHA y la autenticación en varios pasos se implantaron para evitar que los bots automatizados explotasen sistemas en línea.
Técnicas y retos actuales
Los carders siguen adaptándose a las nuevas medidas y tecnologías de seguridad con sus propias innovaciones. Entre las nuevas técnicas, se incluyen el formjacking (meter código malicioso en formularios en línea para capturar información de tarjetas de crédito), el fraude de identidades sintéticas (crear identidades falsas con datos robados para abrir cuentas de crédito) y la usurpación de cuentas (usar información robada de tarjetas para obtener acceso no autorizado a cuentas que ya existen).
Formas en que la dark web y otras comunidades en línea facilitan el carding
La dark web y otras comunidades en línea facilitan el carding, ya que proporcionan plataformas para intercambiar información robada de tarjetas de crédito, herramientas y conocimientos. Las operaciones de carding se han vuelto más robustas y adaptables gracias al anonimato y la seguridad que ofrecen estas plataformas, lo que supone problemas constantes para las autoridades policiales y los profesionales en ciberseguridad. Esto es lo que debes saber al respecto.
Marketplaces en la dark web
La dark web es una parte de Internet que no han indexado los motores de búsqueda tradicionales y a la que se puede acceder mediante software especializado, como Tor. Su naturaleza anónima hace que sea un entorno atractivo para llevar a cabo actividades ilícitas, como el carding. Los marketplaces de la dark web sirven como centros de compraventa de bienes y servicios ilegales, como los siguientes:
Datos robados de tarjetas de crédito: los malhechores venden grandes volúmenes de datos de tarjetas de crédito en la dark web, muchas veces clasificados por tipo de tarjeta, país de emisión o límite de crédito.
Herramientas de carding: el software relacionado con el carding (como los bots de carding, el software malicioso y los keyloggers) se puede comprar en la dark web, lo que permite a los delincuentes automatizar y escalar sus actividades.
Servicios relacionados: los marketplaces de la dark web suelen tener proveedores que ofrecen servicios como la validación de tarjetas de crédito, la retirada de dinero y la creación de documentos de identidad falsos.
Foros y comunidades
Los foros y las comunidades en línea de la dark web y otras plataformas son lugares en los que se comparte información sobre el carding y actividades relacionadas. Los carders con experiencia comparten consejos, trucos y guías detalladas sobre cómo hacerlo sin que nadie se dé cuenta. Quienes acaban de empezar con el carding buscan consejos y orientación de quienes ya tienen experiencia en la materia. Los carders usan estos foros para crear redes y colaboraciones, lo que les permite agrupar recursos y coordinar operaciones más complejas.
Anonimato y seguridad
La dark web facilita que se hagan transacciones anónimas y seguras que dificultan a las autoridades policiales la supervisión y erradicación de actividades ilegales.
Criptomonedas: normalmente, las transacciones que se hacen en la dark web usan criptomonedas como Bitcoin, lo que aumenta el anonimato de los compradores y los vendedores.
Servicios ocultos y comunicaciones cifradas: los marketplaces y los foros de la dark web usan tecnología de cifrado y de servicios ocultos para proteger la identidad de los usuarios y encubrir sus actividades.
Infraestructura sólida: los marketplaces de la dark web suelen usar una infraestructura distribuida y redundante para resistir los apagones de las autoridades.
Comunidades dinámicas: los foros y las comunidades de carding pueden resurgir rápido con otros nombres y ubicaciones, lo que dificulta controlarlos y desmantelarlos.
Cómo afecta el carding a las empresas y los consumidores
Repercusiones para las empresas
Pérdidas económicas: cuando hay transacciones fraudulentas, las empresas suelen asumir el coste de los contracargos y los reembolsos, lo que puede afectar a sus beneficios, sobre todo en el caso de las pymes. Además de la venta reembolsada y las comisiones por contracargo pertinentes, las empresas pueden tener que asumir mayores costes y restricciones de los procesadores de pagos si tienen una tasa de contracargos elevada debido al fraude.
Daño para la reputación: los incidentes de carding pueden perjudicar la buena fama del negocio. Los clientes que han sufrido fraude en la plataforma de una empresa pueden perder la confianza en ella y dejar opiniones negativas.
Costes operativos: para combatir el carding, las empresas deben invertir en medidas de seguridad, sistemas de detección de fraude y soporte al cliente para gestionar los problemas relacionados con el fraude. Estos costes pueden ser importantes.
Mayor escrutinio: unas tasas elevadas de fraude pueden hacer que haya un mayor escrutinio por parte de los procesadores de pagos, lo que puede suponer mayores comisiones, requisitos más estrictos o incluso la cancelación de cuentas de comerciante.
Riesgos de cumplimiento de normativas: las empresas deben cumplir con normativas como el estándar de seguridad de datos del sector de pagos con tarjeta (PCI DSS, por sus siglas en inglés). Si no se cumplen en algún momento debido a incidentes de carding, pueden recibir sanciones y sufrir repercusiones legales.
Repercusiones para los consumidores
Cuentas comprometidas: los consumidores a quienes hayan robado información de tarjetas de crédito pueden encontrar cargos no autorizados en sus cuentas. Deberán dedicar tiempo y esfuerzos a hablar con sus bancos y con las empresas de dichas tarjetas para anular los cargos fraudulentos y restaurar sus cuentas, lo que puede ser un proceso largo y frustrante.
Robo de identidad: el carding puede ocasionar un robo de identidad más amplio si los malhechores usan la información robada de las tarjetas de crédito para abrir nuevas cuentas, solicitar préstamos o cometer otros tipos de fraude.
Angustia emocional: descubrir cargos no autorizados y tratar con las consecuencias del carding puede causar angustia emocional y ansiedad a los consumidores.
Repercusión en la puntuación de crédito: en algunos casos, el fraude relacionado con el carding puede afectar a la puntuación de crédito de un consumidor, sobre todo si el fraude hace que se atrase algún pago o que haya impagos.
Cómo se pueden proteger las empresas frente al carding
Los sistemas avanzados de detección de fraude utilizan machine learning e inteligencia artificial para identificar patrones y comportamientos de compra inusuales. Estas son algunas formas en que las empresas pueden usar estas tecnologías y otras prácticas para protegerse.
Análisis conductuales: analiza el comportamiento de los usuarios en tu plataforma para identificar anomalías como transacciones rápidas, intentos reiterados con diferentes números de tarjetas o patrones de geolocalización inusuales.
Puntuación de riesgo dinámica y autenticación en varios pasos: asigna puntuaciones de riesgo a las transacciones en función de varios factores, como la huella digital del dispositivo, la dirección IP, la geolocalización y el historial de datos. Las transacciones de mayor riesgo pueden exigir la autenticación en varios pasos (MFA, por sus siglas en inglés).
Tokenización: convierte la información confidencial de las tarjetas de crédito en tokens seguros para uso interno, lo que reduce la exposición de los datos sin procesar de las tarjetas y el riesgo de robo.
Cifrado de extremo a extremo: cifra la información confidencial desde el momento en que se captura hasta que se almacena y procesa para reducir el riesgo de interceptaciones y accesos no autorizados.
Almacenamiento de datos seguro: guarda la información de las tarjetas de crédito en bases de datos cifradas con acceso restringido. Implementa un control de acceso según funciones (RBAC, por sus siglas en inglés) y asegúrate de que solo el personal autorizado pueda acceder a los datos confidenciales.
Supervisión de las transacciones en tiempo real: supervisa las transacciones en tiempo real para identificar posibles actividades fraudulentas. Envía alertas automatizadas a los equipos de seguridad para que empiecen a investigarlas de inmediato.
Equipos de respuesta a incidentes: establece equipos especializados de respuesta a incidentes con protocolos claros para abordar casos de carding.
Intercambio de información sobre amenazas: participa en programas de intercambio de información sobre amenazas para estar al tanto de las tendencias y las técnicas de carding emergentes.
Colaboración con las autoridades policiales: establece relaciones con las fuerzas del orden especializadas en ciberdelitos para ayudar en investigaciones y desmantelamientos de operaciones de carding.
Alternativas a CAPTCHA: usa soluciones de CAPTCHA avanzadas o alternativas como reCAPTCHA v3 que no requieren ninguna interacción por parte del usuario, pero pueden detectar comportamientos de bots.
Límites de velocidad: implementa límites de velocidad para restringir el número de transacciones o intentos desde la misma dirección IP o por parte del mismo usuario en un período concreto.
Huella digital del dispositivo: identifica características únicas del dispositivo para detectar actividades de bots automatizadas. Así puedes impedir que los bots de carding prueben grandes números de datos robados de tarjetas de crédito.
Alertas y notificaciones de fraude: envía alertas a los clientes cuando se detecten actividades sospechosas para que puedan confirmar o rechazar rápido las transacciones.
Educación de los clientes: informa a los clientes de los riesgos del carding y las mejores prácticas que deben seguir para proteger la información de sus tarjetas de crédito. Así se pueden reducir las probabilidades de que el phishing o los ataques de ingeniería social sean satisfactorios.
El contenido de este artículo tiene solo fines informativos y educativos generales y no debe interpretarse como asesoramiento legal o fiscal. Stripe no garantiza la exactitud, la integridad, adecuación o vigencia de la información incluida en el artículo. Si necesitas asistencia para tu situación particular, te recomendamos consultar a un abogado o un contador competente con licencia para ejercer en tu jurisdicción.