Iniciar sesión 

¿Qué es el carding? Cómo funciona este tipo de fraude y cómo pueden evitarlo las empresas

Connect
Connect

Las plataformas y los marketplaces más exitosos del mundo, entre ellos Shopify y DoorDash, utilizan Stripe Connect para integrar pagos en sus productos.

Más información 
  1. Introducción
  2. Cómo funciona el carding
    1. Robo de información de la tarjeta
    2. Prueba de la validez de la tarjeta
    3. Realización de transacciones fraudulentas
    4. Evasión de la detección
  3. Una breve historia del carding
    1. Primeros días: Robo físico y skimming
    2. Auge de Internet: Phishing y hackeo
    3. Dark web y mercados clandestinos
    4. Carding bots y automatización
    5. Medidas de seguridad y adaptaciones mejoradas
    6. Técnicas y desafíos modernos
  4. Cómo la dark web y otras comunidades en línea facilitan el carding
    1. Mercado de la dark web
    2. Foros y comunidades
    3. Anonimato y seguridad
  5. Cómo afecta el carding a las empresas y a los consumidores
    1. Efectos en las empresas
    2. Efectos en el consumidor
  6. Cómo se pueden proteger las empresas contra el carding
  7. Empieza a usar Stripe 

El carding es la práctica ilegal de obtener, traficar o usar información de tarjetas de crédito sin autorización, a menudo para comprar tarjetas de regalo o tarjetas prepagas. El carding contribuye al robo de identidad, a las pérdidas financieras de las personas y las empresas, y a una amplia gama de otros delitos cibernéticos.

Las pérdidas por fraude con tarjeta en todo el mundo superaron los USD 33 millones en 2022. Para combatir el carding, las organizaciones emplean medidas de seguridad como la tokenización, el cifrado, la autenticación multifactor y los sistemas de supervisión antifraude. Esta guía cubrirá lo que las empresas deben saber sobre el carding, incluido cómo funciona y cómo protegerse.

¿Qué contiene este artículo?

  • Cómo funciona el carding
  • Breve historia del carding
  • Cómo la dark web y otras comunidades en línea permiten el carding
  • Cómo afecta el carding a las empresas y a los consumidores
  • Cómo pueden protegerse las empresas del carding

Cómo funciona el carding

Robo de información de la tarjeta

El proceso de carding comienza con los ladrones de tarjetas, conocidos como "carders", que roban información de la tarjeta de crédito a través de métodos como el phishing, el skimming, la filtración de datos o el registro de pulsaciones de teclas.

  • Phishing: Los carders utilizan correos electrónicos, sitios web o mensajes confusos para engañar a las personas y que revelen la información de su tarjeta de crédito. Para lograr esto, los carders a menudo se hacen pasar por empresas o servicios legítimos.

  • Skimming: Los carders instalan dispositivos llamados skimmers en cajeros automáticos, surtidores de gasolineras o terminales de puntos de venta (POS) para capturar información de tarjetas de crédito físicas.

  • Hackeo: Los ciberdelincuentes utilizan malware, ransomware o acceso no autorizado para infiltrarse en sistemas informáticos o bases de datos y robar información de tarjetas de crédito.

  • Registro de pulsación de teclas: El software o hardware registra las pulsaciones de teclas en el dispositivo de la víctima para capturar información de la tarjeta de crédito y otros datos confidenciales.

  • Inyección SQL: El código SQL malicioso insertado en la base de datos de un sitio web extrae información confidencial, incluidos los detalles de la tarjeta de crédito.

  • Shoulder surfing: Los actores fraudulentos observan a las personas que ingresan la información de su tarjeta de crédito en cajeros automáticos o mostradores de pago y roban la información.

  • Formjacking: Los carders comprometen los formularios en línea en sitios web legítimos para capturar la información de la tarjeta de crédito de los usuarios.

  • Aplicaciones y sitios web falsos: Los actores fraudulentos crean aplicaciones o sitios web falsos que parecen legítimos y engañan a los usuarios para que proporcionen la información de su tarjeta de crédito.

  • Ataques de fuerza bruta: Los delincuentes utilizan software automatizado para adivinar los números de las tarjetas de crédito, a menudo probando diferentes combinaciones de números hasta que encuentran los válidos.

Cuando los carders roban información de las tarjetas de crédito, a menudo la venden en mercados clandestinos donde los compradores pueden comprar números de tarjetas, fechas de vencimiento, códigos de valor de verificación de la tarjeta (CVV) y direcciones de facturación de las tarjetas robadas.

Prueba de la validez de la tarjeta

Después de comprar información de tarjetas de crédito robadas, los delincuentes utilizan bots de carding para validar la información. Estos bots automatizan el proceso de realizar pequeñas transacciones en sitios web de comercio electrónico para comprobar si la tarjeta está activa y puede utilizarse sin activar alertas de fraude.

Realización de transacciones fraudulentas

Después de validar la legitimidad de una tarjeta, los estafadores utilizan la información para hacer compras no autorizadas. A menudo compran artículos de alto valor o tarjetas de regalo, que pueden revenderse por dinero en efectivo o usarse para fines personales. Los bots de carding permiten a los actores fraudulentos automatizar y escalar este proceso, dirigiéndose a múltiples sitios web y realizando muchas transacciones en un corto período de tiempo.

Evasión de la detección

Los carders utilizan los siguientes métodos y herramientas para evadir la detección:

  • Proxies y VPN: Estos ocultan la ubicación de los carders, lo que dificulta que los sitios web de comercio electrónico detecten patrones inusuales.

  • Bots aleatorios: Estos bots simulan el comportamiento humano para evitar la activación de los sistemas antifraude.

  • Ataques distribuidos: Las redes distribuidas de bots evitan concentrar la actividad sospechosa en un solo lugar.

  • Reventa y conversión: Los carders convertirán rápidamente los bienes comprados ilegalmente en dinero en efectivo, lo que dificultará el seguimiento de la actividad. Pueden revender productos en marketplaces en línea o a través de redes locales.

Una breve historia del carding

Primeros días: Robo físico y skimming

Inicialmente, el carding implicaba principalmente métodos físicos para obtener información de la tarjeta de crédito. Los actores fraudulentos robaban billeteras o bolsos para obtener acceso a las tarjetas de crédito, o colocaban dispositivos en cajeros automáticos o terminales de sistema POS que capturaban la información de la tarjeta durante las pasadas. La existencia de skimmers fue reportada alrededor de 2002.

Auge de Internet: Phishing y hackeo

A medida que Internet se expandió, el carding se trasladó a él, lo que dio lugar a nuevas técnicas como el phishing y el hackeo de las bases de datos de las empresas para robar grandes volúmenes de información de tarjetas de crédito. Si bien el phishing ha existido desde la década del 1990, se volvió más común a principios de la década de 2000 a medida que Internet se hizo más popular.

Dark web y mercados clandestinos

El mercado negro de información de tarjetas de crédito robadas se expandió y los actores fraudulentos comenzaron a comerciar con esta información en la dark web. Esto facilitó que los actores fraudulentos adquirieran y vendieran datos de tarjetas, y los foros de tarjetas en línea se hicieron populares para compartir técnicas de carding, vender datos robados y coordinar actividades delictivas.

Carding bots y automatización

El auge de la automatización y el software avanzado condujo a técnicas de carding más sofisticadas. Los bots de carding han automatizado el proceso de prueba y validación de tarjetas, lo que permite a los actores fraudulentos escalar sus operaciones y cometer el fraude más rápido. Los carders también han comenzado a utilizar redes distribuidas de bots para probar grandes volúmenes de datos de tarjetas de crédito robadas, lo que reduce el riesgo de detección ya que distribuye la actividad a través de múltiples ubicaciones y direcciones IP.

Medidas de seguridad y adaptaciones mejoradas

A medida que el carding se volvió más sofisticado, las medidas de seguridad también evolucionaron. La tecnología de chip y PIN se convirtió en un estándar en la década de 2010 para dificultar la clonación de tarjetas físicas, lo que obligó a los carders a depender más de los métodos en línea. Las plataformas de comercio electrónico comenzaron a implementar sistemas de detección de fraude basados en inteligencia artificial y machine learning para identificar patrones y transacciones sospechosos. Se introdujeron los CAPTCHA y la autenticación multifactor para evitar que los bots automatizados explotaran los sistemas en línea.

Técnicas y desafíos modernos

Los carders continúan adaptándose a las nuevas medidas de seguridad y tecnologías con sus propias innovaciones. Las nuevas técnicas incluyen el formjacking (introducción del código malicioso en formularios en línea para capturar información de tarjetas de crédito), fraude de identidad sintética (creación de identidades falsas a través de los datos robados para abrir cuentas de crédito) y apropiación de cuentas (uso de información de tarjetas robadas para obtener acceso no autorizado a cuentas existentes).

Cómo la dark web y otras comunidades en línea facilitan el carding

La dark web y otras comunidades en línea han permitido que el carding al proporcionar plataformas para el intercambio de información, herramientas y conocimientos de tarjetas de crédito robadas. Las operaciones de carding se han vuelto más resistentes y adaptables debido al anonimato y la seguridad que brindan estas plataformas, lo que presenta desafíos continuos para las fuerzas de la aplicación de la ley y los profesionales de la ciberseguridad. Esto es lo que debes saber.

Mercado de la dark web

La dark web es una parte de Internet que no está indexada por los motores de búsqueda tradicionales y es accesible a través de software especializado como Tor. Su naturaleza de anonimato la convierte en un entorno atractivo para actividades ilícitas, incluido el carding. Los mercados de la dark web sirven como centros para comprar y vender bienes y servicios ilegales, como los siguientes:

  • Robo de datos de tarjetas de crédito: Los actores fraudulentos pueden vender grandes volúmenes de información de tarjetas de crédito en la dark web, la cual a menudo se clasifica por tipo de tarjeta, país de origen o límite de crédito.

  • Herramientas de carding: El software relacionado con el carding, como los bots de carding, el malware y los registros de pulsaciones de huellas, está disponible para su compra en la dark web, lo que permite a los delincuentes automatizar y escalar sus actividades.

  • Servicios relacionados: Los mercados de la dark web suelen tener proveedores que ofrecen servicios como la validación de tarjetas de crédito, el cobro y la creación de documentos de identificación falsos.

Foros y comunidades

Los foros y comunidades en línea en la dark web y otras plataformas sirven como centros de intercambio de conocimientos para carding y actividades relacionadas. Los carders experimentados comparten consejos, trucos y guías paso a paso sobre cómo llevar a cabo el carding y evitar la detección. Los nuevos en el carding pueden buscar asesoramiento y tutoría de carders experimentados. Los carders utilizan estos foros para crear redes y asociaciones, poner en común recursos y coordinar operaciones más complejas.

Anonimato y seguridad

La dark web facilita transacciones anónimas y seguras que dificultan que las fuerzas de aplicación de la ley controlen y eliminen las actividades ilegales.

  • Criptomonedas: Por lo general, para las transacciones en la dark web se utilizan criptomonedas como Bitcoin, lo que proporciona una capa de anonimato tanto para compradores como para vendedores.

  • Servicios ocultos y comunicaciones encriptadas: Los mercados y foros de la web oscura utilizan tecnología de encriptación y servicios ocultos para proteger las identidades de los usuarios y ocultar sus actividades.

  • Infraestructura resiliente: Los mercados de la dark web suelen utilizar una infraestructura distribuida y redundante para resistir los cierres por parte de las autoridades.

  • Comunidades dinámicas: Los foros y comunidades de carding pueden resurgir rápidamente con diferentes nombres y ubicaciones, lo que dificulta su seguimiento y desmantelamiento.

Cómo afecta el carding a las empresas y a los consumidores

Efectos en las empresas

  • Pérdidas económicas: Cuando se producen transacciones fraudulentas, las empresas suelen asumir el costo de los contracargos y los reembolsos. Esto puede afectar sus resultados, especialmente en el caso de las pequeñas y medianas empresas (pymes). Además de la venta reembolsada y las comisiones por contracargo, las empresas pueden enfrentar costos y restricciones mayores por parte de los procesadores de pagos si tienen una tasa alta de contracargos debido al fraude.

  • Daño reputacional: Los incidentes de carding pueden dañar la reputación de una empresa. Los clientes que sufren fraude en la plataforma de una empresa pueden perder la confianza en ella y dejar comentarios negativos.

  • Costos operativos: Para combatir el carding, las empresas deben invertir en medidas de seguridad, sistemas de detección de fraudes y soporte al cliente para gestionar los problemas relacionados con el fraude. Estos costos pueden ser sustanciales.

  • Mayor escrutinio: Las altas tasas de fraude pueden llevar a un mayor escrutinio por parte de los procesadores de pagos, lo que puede resultar en comisiones más altas, requisitos más estrictos o incluso la cancelación de las cuentas de los comerciantes.

  • Riesgos de cumplimiento normativo: Las empresas están obligadas a cumplir con normativas como el Estándar de Seguridad de Datos del Sector de las Tarjetas de Pago (PCI DSS). El incumplimiento debido a incidentes de carding puede dar lugar a multas y consecuencias legales.

Efectos en el consumidor

  • Cuentas comprometidas: Los consumidores a quienes se les roba la información de tarjeta de crédito pueden encontrar cargos no autorizados en sus cuentas. Luego deben dedicar tiempo y esfuerzo a trabajar con sus bancos y compañías de tarjetas de crédito para revertir los cargos fraudulentos y restaurar sus cuentas, lo que puede ser un proceso largo y frustrante.

  • Robo de identidad: El carding puede conducir a un robo de identidad más amplio, en el que los delincuentes utilizan la información de tarjetas de crédito robadas para abrir nuevas cuentas, solicitar préstamos o cometer otras formas de fraude.

  • Angustia emocional: Descubrir cargos no autorizados y lidiar con las secuelas del carding puede causar angustia emocional y ansiedad a los consumidores.

  • Impacto en la calificación crediticia: En algunos casos, el fraude relacionado con las tarjetas puede afectar la calificación crediticia de un consumidor, especialmente si el fraude conduce a la falta de pago o al incumplimiento.

Cómo se pueden proteger las empresas contra el carding

Los sistemas sofisticados de detección de fraude utilizan machine learning e inteligencia artificial para identificar patrones y comportamientos de compra inusuales. A continuación, te mostramos formas en que las empresas pueden usar estas tecnologías y otras prácticas para protegerse.

  • Análisis del comportamiento: Analiza el comportamiento de los usuarios en tu plataforma para identificar anomalías como transacciones rápidas, intentos repetidos con diferentes números de tarjeta o patrones de geolocalización inusuales.

  • Puntuación dinámica de riesgos y MFA: Asigna puntuaciones de riesgo a las transacciones en función de varios factores, como la huella digital del dispositivo, la dirección IP, la geolocalización y los datos históricos. Las transacciones de mayor riesgo pueden activar la autenticación multifactor (MFA).

  • Tokenización: Convierte la información confidencial de la tarjeta de crédito en tokens seguros para uso interno, lo que minimiza la exposición de los datos sin procesar de la tarjeta y reduce el riesgo de robo.

  • Cifrado de extremo a extremo: cifrar la información confidencial desde el punto de captura hasta el almacenamiento y el procesamiento reduce el riesgo de interceptación y acceso no autorizado.

  • Almacenamiento seguro de datos: Almacena la información de la tarjeta de crédito en bases de datos encriptadas con acceso restringido. Implementa el control de acceso basado en roles (RBAC) y asegúrate de que solo el personal autorizado pueda acceder a los datos confidenciales.

  • Monitoreo de transacciones en tiempo real: Supervisa las transacciones en tiempo real para identificar actividades potencialmente fraudulentas. Envía alertas automáticas a los equipos de seguridad para una investigación inmediata.

  • Equipos de respuesta ante incidentes: Establece equipos dedicados a la respuesta ante incidentes con protocolos claros para manejar incidentes de carding.

  • Intercambio de inteligencia sobre amenazas: Participa en programas de intercambio de inteligencia de amenazas para mantenerte informado sobre las nuevas tendencias y técnicas de carding.

  • Colaboración con las fuerzas y cuerpos de cumplimiento de la ley: Establece relaciones con los organismos encargados de hacer cumplir la ley especializados en delitos cibernéticos para ayudar en las investigaciones y la eliminación de las operaciones de carding.

  • Alternativas a CAPTCHA: Utiliza soluciones avanzadas de CAPTCHA o alternativas como reCAPTCHA v3 que no requieran interacción del usuario pero que puedan detectar comportamientos similares a los de los bots.

  • Límite de frecuencia y aceleración: Implementa la limitación de velocidad para restringir la cantidad de transacciones o intentos desde una sola dirección IP o usuario dentro de un período de tiempo específico.

  • Huella digital del dispositivo: Identifica las características únicas del dispositivo para detectar la actividad automatizada de los bots. Esto puede ayudar a evitar que los bots de tarjetas prueben una gran cantidad de datos de tarjetas de crédito robadas.

  • Alertas y notificaciones de fraude: Envía alertas a los clientes cuando se detecte actividad sospechosa para que puedan confirmar o denegar transacciones rápidamente.

  • Capacitación del cliente: Informa a los clientes sobre los riesgos del carding y las prácticas recomendadas para proteger la información de sus tarjetas de crédito. Esto puede ayudar a reducir la probabilidad de éxito de los ataques de phishing o ingeniería social.

El contenido de este artículo tiene solo fines informativos y educativos generales y no debe interpretarse como asesoramiento legal o fiscal. Stripe no garantiza la exactitud, la integridad, adecuación o vigencia de la información incluida en el artículo. Si necesitas asistencia para tu situación particular, te recomendamos consultar a un abogado o un contador competente con licencia para ejercer en tu jurisdicción.

Más artículos

¿Todo listo para empezar?

Crea una cuenta y empieza a aceptar pagos sin necesidad de firmar contratos ni proporcionar datos bancarios. Si lo prefieres, puedes ponerte en contacto con nosotros para que diseñemos un paquete personalizado para tu empresa.
Connect

Connect

Pasa a modo activo en semanas en vez de meses, construye una empresa de pagos rentable y crece con facilidad.

Documentación de Connect

Descubre cómo enrutar pagos entre varias partes.