Todo sobre el carding: qué es, cómo puedes protegerte y por qué debes hacerlo

Cada año, miles y miles de personas acaban siendo víctimas de estafas que tienen lugar en Internet. Al mismo tiempo, son muchas las empresas y personas que tratan de cuidar mejor su información personal, si bien es una realidad que los ciberdelincuentes cada vez mejoran más sus técnicas al mismo tiempo, lo que hace que estafas como el carding continúen presentes cada año.

El carding es una técnica que consiste en la sustracción de los datos asociados a una tarjeta bancaria de crédito o débito. Habitualmente, se combina con el fraude de tarjetas, de modo que se aprovecha la información para clonarla en otra tarjeta falsa y se utiliza para realizar compras no autorizadas por el usuario de la misma, generalmente a través de Internet.

Qué es y cómo se produce fraude a través del carding

Tal y como hemos comentado, la técnica del carding consiste en el robo de la información de una tarjeta bancaria. Existen múltiples variantes, que incluyen el robo físico y acciones similares, si bien en todos los casos el objetivo es conseguir el PAN, la fecha de caducidad y el código de seguridad de una tarjeta de crédito o débito con fines ilícitos.

El carding consiste en el robo de los datos de tarjetas bancarias

Una vez conseguida la información, normalmente se pone a la venta en portales dedicados a la sustracción de información personal, alojados habitualmente en la dark net o la deep web, de modo que otros usuarios pagan por este tipo de datos filtrados de forma masiva. Posteriormente, esta información suele utilizarse para la realización de compras no autorizadas, generalmente a través de Internet, aunque en los casos más extremos también se logran clonar las tarjetas para realizar operaciones en lugares físicos.

Para conseguir esto, los atacantes tienen diferentes métodos. En algunos casos, colocan dispositivos sobre cajeros y datáfonos de modo que, al acercar tarjetas con tecnología contactless o al introducir tarjetas con chip o banda magnética, resulta posible almacenar los datos asociados a la misma.

No obstante, lo más habitual suele consistir en un ataque de phising a través de Internet. En él, los ciberdelincuentes generan páginas web con formularios que tratan de clonar a las originales o de venderte una solución a un problema. En algún momento, solicitan los datos de la tarjeta bancaria como método de pago o como garantía para una supuesta prueba gratuita y, en cuanto eso sucede, comienza la estafa.

Los ciberdelincuentes utilizan técnicas de phising para robar datos de tarjetas de crédito o débito (carding)

En la gran mayoría de ocasiones se muestra un mensaje de error indicando que no se ha podido proceder al pago, o bien uno de confirmación y agradecimiento, si bien es cierto que, por norma general, no se muestra un cargo en el extracto de la tarjeta bancaria. De este modo, como usuario, no sospechas de que los datos de tu tarjeta han sido transferidos a un ciberdelincuente.

A partir de este momento, según el atacante, es posible que se procedan a realizar inmediatamente cobros en tu tarjeta no autorizados, de forma directa, o es posible que el fraude no comience hasta más adelante. Y es que, en gran parte de las ocasiones, se preparan grandes ficheros que contienen toda la información de tarjetas bancarias de un gran número de usuarios y que, posteriormente, se ponen a la venta en algunos portales que forman parte de la deep web.

De este modo, quien hace uso de la información de las tarjetas bancarias recogidas no es el mismo atacante del comienzo. Al haber pasado un tiempo prudencial, como usuario es habitual no sospechar del sitio web fraudulento en el que se cedieron datos personales, pudiendo ser demasiado tarde para actuar.

Además, por norma general, al recoger datos personales, tales como el correo electrónico o un número de teléfono, resulta posible contactar en el futuro con el propietario de la tarjeta bancaria, por ejemplo, haciéndose pasar por la entidad, con el fin de solicitar, de forma falsa, la aprobación de cargos que solicitan autorización. Este método es conocido como vishing, en el que el atacante te acompaña por teléfono mientras sucede la estafa.

El carding suele ir acompañado de otras estafas en línea

De hecho, al tener tanta información personal y datos tan específicos, en algunos casos concretos es posible que incluso traten de robar las credenciales de acceso a la banca digital, aportando los datos de la tarjeta bancaria como prueba para verificar la identidad del banco. Es por ello que resulta importante extremar la precaución, pues los efectos del carding pueden resultar ser muy negativos.

Cómo estar protegido ante el carding

Aunque es imposible estar protegido al máximo de las técnicas de carding, ya que incluso existen generadores aleatorios con los que podrían dar con alguna de tus tarjetas sin haber sustraído ningún tipo de información, el mejor remedio suele ser la prudencia del usuario.

Es buena idea tener cuidado a la hora de utilizar tarjetas físicas, comprobando que los datáfonos y lectores de los cajeros siempre son auténticos y no hay nada sospechoso sobre ellos que pueda sugerir contar con dispositivos de algún tipo que roben datos.

Asimismo, a la hora de dar datos a través de Internet, siempre se debe asegurar de que la dirección URL a la que la información está siendo enviada es auténtica. Por este mismo motivo, una buena práctica es no seguir enlaces recibidos por email o SMS y, en su lugar, acceder de forma manual al sitio web de la empresa. De este modo no solo se comprueba que las comunicaciones recibidas son auténticas, sino que se evitan posibles estafas.

En cualquier caso, si vas a realizar una compra en línea, hazlo siempre en sitios web HTTPS seguros y evita los peligros de las redes Wi-Fi públicas en la medida de lo posible. Especialmente, si no puedes evitarlo o compartes tu conexión con más personas, es una buena idea hacer uso de algún servicio de VPN, como podrían ser NordVPN o Surfshark. De este modo, la conexión queda encriptada y es mucho más complicada de interceptar.

El uso de un servicio VPN como Surfshark puede ser de gran ayuda a la hora de evitar el carding

En concreto, los planes de Surfshark resultan ser de lo más interesantes, ya que como vimos en el análisis completo de la herramienta no solo dispone de servicios para ofrecer una navegación en Internet más limpia, segura y privada, sino que al elegir Surfshark One o Surfshark One+ también se incluye la protección de Alert, un sistema en el que puedes registrar los datos de tus tarjetas, correos electrónicos y números de teléfono para verificar si están presentes en las filtraciones de datos más recientes, permitiendo por tanto actuar a tiempo.

Esto se suma a características como su estupenda extensión para Google Chrome y otros navegadores, gracias a las que también detecta los intentos de phising a fin de que estés más protegido, además de dar la opción de instalar un sistema antivirus en todos los dispositivos, ofrecer un buscador privado y más herramientas interesantes a nivel de seguridad y privacidad.

He sido víctima de carding: ¿qué debería hacer?

Por norma general, los usuarios son conscientes de que han sido víctimas de carding en el momento en el que revisan los extractos de sus cuentas bancarias y se percatan de que existen movimientos que no identifican. En ocasiones, como los atacantes conocen los patrones habituales, realizan pequeñas compras en lugares habituales para evitar que la persona sospeche y, en ocasiones, piense incluso que se trata de un error por parte del comercio.

En el momento en el que veas algo erróneo, es importante que bloquees el uso de la tarjeta bancaria afectada, algo que generalmente puede hacerse por el sitio web o la aplicación de la sucursal, o bien llamando por teléfono a la misma. Es importante hacerlo también en el caso de sospechar que se han proporcionado datos bancarios en un sitio web fraudulento, incluso antes de que se produzcan las posibles compras.

Los servicios de VPN como Surfshark son una buena opción a la hora de prevenir el fraude de tarjetas bancarias

Por otro lado, una vez cancelada la tarjeta, habla con el departamento de fraude de tu banco, explicándoles la situación y aportando toda la información de la que dispongas. También es una buena idea interponer una denuncia ante las Autoridades competentes, como la Guardia Civil o la Policía Local, así como reportar la suplantación de identidad a los organismos correspondientes, como la Agencia Española de Protección de Datos (AEPD) en el caso de España.

En caso de disponer de más tarjetas bancarias, también suele ser buena idea utilizar herramientas como la mencionada Alert, incluida en los paquetes de Surfshark, colocando sobre ella la información de las mismas para recibir alertas en caso de que aparezca algún registro asociado a tus datos personales en las filtraciones. De este modo, podrás estar protegido y actuar en caso de que recibas una notificación al respecto, siendo una característica muy útil dentro de las muchas otras disponibles para los usuarios de la herramienta.