Los ciber-delincuentes están siempre al acecho y cada día buscan nuevas técnicas para lograr sus fechorías. El robo de dinero es su principal objetivo y la preocupación primordial de los usuarios en la web, sobre todo cuando se trata de usuarios que usan el servicio de pago digital y tarjetas de crédito.
A pesar de que estos métodos de pago son bastante seguros, existen varias posibilidades que permiten a estos delincuentes lucrarse. Entre ellas está el carding, una práctica actual de micro fraude que cada día se populariza más y que la Agencia Española de Protección de Datos (AEPD) tipifica como delito, ya que hace referencia al hurto de datos de las tarjetas de crédito de los usuarios.
¿Qué es el delito del carding?
Este delito que actualmente está de moda entre los ciber-delincuentes, es un tipo de fraude cibernético en el que pueden falsificar y copiar tarjetas bancarias o robar información financiera de las tarjetas de crédito o débito, o también de datos personales que se hayan proporcionado online. Después de sustraer tu información, acceden a tu dinero y utilizan las tarjetas de forma no autorizada.
La forma en que lo hacen es aleatoria, y se relaciona con las prácticas de “hacking” y “cracking” que, con ayuda de softwares, crean algoritmos que generan varias combinaciones y les permite obtener los números de las tarjetas, incluido el de seguridad.
Puede hacerse online o vía telefónica, pero lo que le caracteriza es que los importes de las compras no autorizadas serán pequeños pero secuenciales, evitando levantar sospechas y que sea difícil detectar lo que ocurre.
¿Qué son los BINs o bineros?
A las comunidades que se dedican a realizar el carding se les llama BIN, y esto se debe a que los BIN (Bank Identification Number) son los primeros seis números de tu tarjeta bancaria, que permite a los bancos identificar el tipo de tarjeta (débito o crédito).
Estos BIN o bineros son en su mayoría jóvenes que se organizan en redes sociales, sobre todo en Facebook. Este espacio no solo lo usan para dar consejos sino también como mercado para vender los datos y hasta paquetes de datos. Lo grave de estos bineros es que no consideran ilegal la actividad que realizan porque son pequeñas sumas de dinero, e incluso lo han normalizado.
Son el tipo más común y simple de carding porque no roban tarjetas, sino que simplemente se aprovechan del método de pago. El detalle es que dependen mucho del azar, pues el banco tiene números de tarjetas generados, pero no asignados. Por tanto, deben generar un número de tarjeta que exista y que esté asignada.
Herramientas que utilizan los bineros para hacer carding
Las principales herramientas que utilizan para el carding se basan en el malware y el phishing, incluso en foros de carding, pero no significa que sean las únicas.
- Usando malware: algunos de los que usan son los rootkits, troyanos y backdoors, porque se pueden instalar en el sistema sin permiso y con esto pueden acceder fácilmente para sustraer los datos y robar tu dinero desde tus cuentas bancarias, haciendo capturas de tu pantalla cuando entras a internet y grabando las pulsaciones del teclado.
- Usando phishing: te engañan a través de las páginas web falsas que se hacen pasar por páginas de banco, universidades, tiendas online o cualquier otra institución legítima. Así pueden obtener fácilmente la información financiera de los usuarios, brindándoles la “confianza” para revelar sus datos personales y financieros.
También pueden enviarte un correo electrónico suplantando el correo de alguna institución de confianza para conseguir los datos. Este mismo email lo mandan a una lista de correos que roban de alguna base de datos.
- Algoritmos para generar números de tarjetas bancarias: estos algoritmos se los proporcionan softwares específicos que usan los bineros y que son capaces de determinar los números de las tarjetas, extraer el número de correspondencia, fotografiar el mismo al pagar en algún establecimiento o través del spam del correo electrónico.
- Vía telefónica: para lograrlo hacen uso de la ingeniería social, que consiste en emplear mecanismos verbales inconscientes para lograr envolver y convencer a otra persona y que proporcione toda la información que estos ciber-delincuentes necesitan.
- Robar bases de datos: en este caso acceden a bases de datos que almacenen números de tarjetas de crédito. Para ello, buscan tiendas sin pasarelas de pago.
- Shoulder surfing: esta es sencilla y la más usada, simplemente miran disimuladamente el número de la tarjeta cuando vas a pagar y la memorizan, al igual que el código de verificación.
- Tiendas falsas: tiendas con precios muy asequibles, que realmente no existen, se quedan con tu número de tarjeta y el producto jamás te llega. Una vez que ya tienen el número de tarjeta, necesitan un drop. Es decir, una persona que se encarga de recibir el paquete que compran con tu tarjeta y enviarlo al delincuente, para impedir su detención.
Funciona de la siguiente manera: esta persona no puede tener ordenador, ni ser joven para que pueda librarse rápidamente, ya que sería simplemente una persona que ha recibido un paquete pagado y lo ha aceptado. Y así el rastro que deja la tarjeta no podrá llevarlos al delincuente.
- Fabricación de tarjetas de crédito: en este tipo de carding utiliza diferentes herramientas y esas son las siguientes.
- Skimmer: fáciles de conseguir, se pegan en los cajeros automáticos justo encima del lector de tarjetas, pasa desapercibido y cuando metes la tarjeta graba tus datos y en el caso del PIN usan un falso teclado para grabar las teclas.
- Offline POS: (datáfono sin conexión) un tipo de datáfono en el que metes de manera normal la tarjeta y el PIN, la transacción no llega, pero tus datos sí.
- Lector de tarjetas del tamaño de un mechero: suelen usarlo en bares y cafeterías, lugares concurridos, por eso nunca dejes fuera de tu vista tus tarjetas. Además, no es complicado memorizar el código de verificación.
- Aplicación Credit Card Reader: disponible en Google Play, a través del NFC lee todos los datos de la tarjeta.
Una vez que tienen los datos de tu tarjeta entonces solo recurren a una tarjeta virgen para grabar los datos conseguidos con una troqueladora y una card printer para el color, y así clonar la tarjeta.
Foros y tutoriales de cómo hacer carding
Estos foros son famosos entre los bineros, porque son mercados donde se apoya dicha actividad ilegal y que se fundamentan en el intercambio de información de tarjetas bancarias robadas, venta de BINs, se organizan para hacer carding y comparten consejos. Incluso existen páginas que comparten tutoriales para hacer carding, como la página de hackeruna.com.
¿Cómo puedo prevenir y combatir el carding?
Para ayudarte a que no caigas en este nuevo fraude te daremos algunos consejos:
- Nunca respondas correos o llamadas telefónicas que soliciten información de tu tarjeta. Las empresas bancarias jamás solicitan información por emails o teléfono.
- Cuando recibas tu tarjeta en tu domicilio revisa que el sobre esté completamente cerrado y no presente indicios de haber sido abierto. Inmediatamente firma tu tarjeta si todo está en orden.
- Cuando tu tarjeta expire y debas destruirla, córtala en varios pedazos para destruir completamente la banda magnética y tira los pedazos en distintas bolsas de basura.
- No pierdas de vista tu tarjeta en ningún momento cuando estés comprando.
- Lleva control de tus operaciones.
- Guarda en tu domicilio los números de tarjetas, fechas de vencimiento y números telefónicos de denuncias en caso de extravío, robo o hurto de las mismas.
- Verifica que la dirección electrónica de todas las webs donde compres inicie con “https” y que aparezca el icono de candado cerrado.
- Evita usar ordenadores públicos para hacer compras.
- Activa alertas de tus movimientos con tarjetas para llevar un mejor monitoreo de la actividad y detectar cualquier movimiento inusual.
Al comprar, verifica que sea una tienda online segura de la siguiente manera:
- Sello confianza online: que realmente exista la compañía, que tenga diferentes métodos de seguridad y que brinde confianza en los servicios o productos que ofrecen.
- Certificado SSL válido: es una prueba de identidad y es vinculante, suele contener información con la cual el navegador y el servidor pueden elaborar el cifrado, evita el phishing, porque no permite suplantar la web de un tercero.
- Reputación online: para esto es de utilidad ir a webs donde los usuarios reseñen su experiencia previa con la tienda, como Truspilot o Scamadviser.
- Reputación en redes sociales: observa que tenga bastantes seguidores y que su contenido sea orgánico a lo largo del tiempo, que tenga bastantes visitas web.
Estos detalles esperamos que te sean de ayuda para evitar e impedir que pases la experiencia de que te hagan el fraude de carding y recuerda que siempre debes reportar a tu institución bancaria cualquier actividad sospechosa que observes con tus tarjetas para que te ofrezcan la asesoría adecuada.