Recientemente hablábamos de los sitios de venta online fraudulentos y su relación directa con otro tipo de fraude conocido como carding. El carding es el uso fraudulento de tarjetas de crédito, cuyos datos han sido obtenidos por diferentes vías de forma ilegítima y según apuntan los expertos, existe una tendencia en alza de este tipo de fraude que afecta a usuarios de todos los países.
¿Conoces de algún familiar o amigo que se ha quejado de cargos por reservas en un hotel que él no ha realizado, compra de cuentas en Netflix, cargos de casas de apuestas o productos en un estanco situado en el otro extremo del país? Estas suelen ser las compras habituales que realizan los ciberdelincuentes con este tipo de fraude, generalmente con un monto pequeño de entre 50 a 100 euros en espacios separados de tiempo, consiguiendo así no levantar sospechas y obteniendo productos que a su vez pueden revender en el mercado negro.
Merece la pena destacar un tipo de carding orientado a enrolamientos de las tarjetas sustraídas en dispositivos de pago tipo Samsung Pay o Apple Pay, aunque esta tipología de carding requiere de técnicas más elaboradas para obtener las claves de seguridad del usuario.
¿Cómo acceden a los datos de las tarjetas los ciberdelincuentes?
Existen muchas vías que son aprovechadas por los cibercriminales, aquí te contamos las principales:
- A través del compromiso de comercios online (e-commerces) que no cuentan con medidas de seguridad adecuadas. Recientemente la compañía de inteligencia Gemini Advisory descubrió que tras el compromiso de una tienda de tarjetas regalo online, se pusieron a la venta en un foro underground cerca de 895 000 tarjetas de regalo de 3.010 empresas con un valor total estimado en 38 millones de dólares y datos incompletos de 330.000 tarjetas de débito.
- Utilizando un malware, que una vez instalado en el dispositivo, recopila la información necesaria y la envía a servidores “command & control” en los cuales es almacenada y explotada por los ciberdelincuentes.
- Mediante técnicas de phishing. En los últimos meses han proliferado campañas que suplantan a empresas de paquetería como Correos, FedEx, Seur, etc. en los que te notifican que la entrega de un paquete está pendiente y que es necesario realizar un pago (generalmente un coste muy bajo pues la intención no es otra que robar tu tarjeta). Muchos usuarios caen en la trampa y entregan sin dudar los datos solicitados: Nombre, Número de tarjeta, CVV.
- Con una técnica conocida como shoulder surfing o “mirar por encima del hombro”, la ejecución de esta técnica depende fundamentalmente de la habilidad del que la ejecuta para mirar y memorizar los datos de una tarjeta. En algunos casos los ciberdelincuentes se apoyan en cámaras o espejos que reflejan el objetivo cerca de zonas habituales de pago o servicios de autopago como gasolineras.
Las vías para obtener los datos pueden ser muy diversas, sin embargo el objetivo siempre es el mismo, obtener los datos de nuestras tarjetas para realizar cargos fraudulentos. Ya sabemos cómo son robados nuestros datos toca conocer cómo protegernos.
Decálogo de protección frente al carding
- Antes de insertar los datos de tu tarjeta en un comercio online, verifica que no es un sitio fraudulento.
- Si te llega información por sms, email u otro método de comunicación electrónica, incitándote realizar un pago por un servicio y, por ende, a registrar los datos de tus tarjetas, cerciórate antes con la compañía utilizando una vía de comunicación distinta.
- Desconfía cuando recibas una solicitud de pago de un módico precio, si no has pedido ningún paquete no se debe poner en contacto contigo ninguna empresa de mensajería.
- Si recibes una llamada en la cual te solicitan datos de tus tarjetas, no des ningún dato y cuelga de inmediato.
- No guardes los datos de tus tarjetas en comercios online, recuerda que si se explota una brecha de seguridad tus datos estarán expuestos.
- No descargues aplicaciones desde sitios no oficiales, pueden estar vulneradas. Si una aplicación te solicita permisos que consideras no deberían tener, piénsalo dos veces antes de aceptar. ¿Realmente una aplicación de Linterna necesita acceso a tus sms? ¿Por qué? Muchas veces el sentido común es tu mejor aliado.
- Te lo repetiremos siempre: ¡mantén tus dispositivos actualizados! No se lo pongas fácil a los ciberdelincuentes.
- En los comercios físicos no entregues tu tarjeta para realizar el pago, se tú quien use el datáfono.
- Chequea periódicamente tus estados de cuenta, de esta forma detectarás cargos indebidos y podrás actuar con rapidez.
- Muchas veces los controles que establecen los bancos para detectar operativas de fraude, hacen saltar alertas. Si tu banco se pone en contacto contigo no ignores su llamada. Recuerda siempre que en este tipo de llamada tu banco tiene tus datos, desconfía si te hace preguntas como el número de tarjeta o el CVV. En este caso cuelga y llama a tu oficina o al centro de atención a clientes.
¿Qué hago si he sido estafado?
¡Contacta de inmediato con tu banco! Los bancos suelen tener Centros de atención para incidencias con tarjetas en horario 24/7 y realizarán las acciones oportunas para mitigar el ciberfraude.
Recopila toda la información necesaria y denuncia ante las autoridades pertinentes, de esta forma estarás ayudando a que otras personas no sean estafadas.
Si ha sido una suplantación, contacta con la empresa suplantada a través de las redes sociales o mecanismos de atención al cliente.
Los proveedores de servicio de internet (ISP) tienen mecanismos para denunciar ciberfraudes utilizando sus plataformas ¡Presenta una denuncia!
Existen diversos métodos mediante los cuales los ciberdelincuentes se pueden hacer con nuestros datos financieros para llevar a cabo fraudes de tipo carding, sin embargo, si somos cuidadosos podemos evitarlo.
Mantente informado sobre las últimas tendencias de ciberfraude.