Dentro de los ciberdelitos bancarios, está teniendo éxito el carding, que consiste en el robo de la información de tarjetas de crédito. Hay distintas técnicas y el phishing es una de las más empleadas, en el que el criminal informático suplanta a un tercero y nos envía un mail o un SMS para que demos sin darnos cuenta nuestros datos
¿Qué es el “carding”?
El carding es un tipo de ciberdelito en el que los delincuentes, conocidos como “carders”, obtienen números de tarjetas de crédito robadas y utilizan bots para verificar cuáles son válidas. Este tipo de ataque, también conocido como robo de tarjetas de crédito, se enmarca en la categoría más amplia de abuso de transacciones automatizadas.
La información robada que se utiliza en los ataques de carding puede incluir el nombre del titular de la tarjeta, el número de tarjeta de crédito o débito, la fecha de vencimiento, el código CVV, el código postal y la fecha de nacimiento. Las tarjetas robadas validadas se utilizan para comprar bienes o revenderlas en la dark web.
¡Protege tus sistemas con Aratecnia!
Descubre nuestros servicios de seguridad informática para mantener tus datos seguros
¡Confía en Aratecnia para proteger tu información sensible y garantizar la integridad de tus sistemas!
El carder autentica números de tarjetas en masa mediante la implementación de una red de bots para intentar realizar pequeñas compras en varios sitios de pago online. Los bots introducirán diferentes combinaciones de números de tarjetas de crédito, fechas de vencimiento y códigos CVV hasta que se realice una transacción. Una vez que se autentica la información de la tarjeta, el carder puede comprar tarjetas de regalo online, clonar una tarjeta física o revenderlas en la “red oscura” para obtener una ganancia rápida.
Los bots pueden intentar miles de transacciones en un corto período de tiempo para identificar combinaciones válidas a gran escala. Por ejemplo, si el emisor de la tarjeta tiene un número de tarjeta y fecha de vencimiento, pero no el código CVV de 3 dígitos, un bot puede intentar realizar transacciones rápidamente usando todos los 999 códigos posibles hasta que se identifique el correcto.
¿Cómo funcionan los ataques de “carding”?
Los pasos típicos en un ataque de carding son:
- El emisor de la tarjeta obtiene una lista de números de tarjetas de crédito, a menudo a través de estafas de phishing, sitios comprometidos o comprando listas de números robados en la red oscura.
- Los emisores de tarjetas luego usan bots para probar listas de información de tarjetas de crédito o débito robadas con compras en línea de pequeño valor para verificar que la información de la cuenta sea válida y no haya sido reportada como robada. Este proceso puede requerir miles de intentos antes de que produzca una tarjeta de crédito válida, pero dado que los bots lo hacen mucho más rápido que un humano, este proceso de validación suele ser bastante rápido.
- Luego, los delincuentes compilan una lista de la información válida de la tarjeta, que usan para recuperar fondos directamente de las cuentas asociadas, comprar tarjetas de regalo, comprar bienes de alto valor o vender la lista validada a otros delincuentes para su explotación.
¿Por qué los “carders” utilizan bots para llevar a cabo ataques de carding?
Los bots, que son programas diseñados para ejecutar un conjunto de instrucciones de forma automática, permiten a los carders aumentar significativamente la velocidad y, por lo tanto, la escala de un ataque de carding. Sin la automatización, el carder tendría que introducir manualmente el número de tarjeta y cada posible fecha de caducidad y combinación de código de seguridad para identificar una tarjeta válida. Los bots automatizan este proceso para que el carder pueda probar un gran volumen de tarjetas y mantener un ataque en marcha las 24 horas del día.
Los bots también permiten al carder cambiar rápidamente la dirección IP desde la que está atacando, lo que hace que sea mucho más difícil para las tecnologías antifraude tradicionales identificar y bloquear un ataque.
¿Qué riesgos y sanciones enfrenta un comerciante por “carding”?
Un ataque de carding no solo afecta a la persona cuya tarjeta ha sido comprometida. Cuando los comerciantes online son atacados por un ataque de carding, a menudo también pagan un alto precio.
Los minoristas son responsables de mantener bajo control los niveles de devolución de cargo y de pago con tarjeta no presente (CNP). Las redes de pago como Visa y Mastercard siguen reduciendo los umbrales de devolución de cargos y fraude con tarjetas de crédito CNP y responsabilizan a los comerciantes con multas y sanciones cada vez mayores. Y los procesadores de pagos pueden bloquear todas las transacciones si los ataques de carding no se gestionan rápidamente, lo que puede resultar en una pérdida de ingresos para el minorista.
El minorista no solo tendrá que lidiar con las devoluciones de cargos y la pérdida de ingresos, sino también con el potencial daño a la reputación de la marca y la lealtad del cliente que puede persistir durante años.
¿Qué es el cracking de tarjetas de regalo?
El cracking de tarjetas de regalo es una variación del carding en la que los atacantes utilizan bots para probar sistemáticamente grandes volúmenes de posibles códigos de tarjetas de regalo en el sitio de un comerciante para identificar combinaciones válidas. Las tarjetas de regalo robadas se revenden luego en la red oscura o se utilizan para comprar productos, que luego se revenden por dinero en efectivo.
El fraude con tarjetas de regalo online es particularmente atractivo para los ciberdelincuentes porque las tarjetas de regalo no tienen nombres, direcciones o códigos postales asociados, lo que significa que se pueden usar de forma anónima con mayor facilidad que las tarjetas de crédito.
Además, muchos comerciantes en línea ofrecen una página web específica para consultar el saldo de las tarjetas de regalo. Por lo general, estas no tienen el mismo nivel de protección de seguridad que las páginas de tarjetas de crédito, por lo que los robots de descifrado de tarjetas pueden abusar de ellas fácilmente.
El fraude con tarjetas es una amenaza creciente
El comercio electrónico y el uso de tarjetas de regalo electrónicas están creciendo. Según KBV Research, se espera que el mercado mundial de tarjetas de regalo digitales alcance los 724.300 millones de dólares en 2028. Este enorme crecimiento del comercio electrónico ha hecho que el fraude en línea sea cada vez más atractivo para los grupos delictivos organizados y los emisores de tarjetas. La Comisión Federal de Comercio informó de 148 millones de dólares en pérdidas de tarjetas de regalo relacionadas con el fraude solo en los primeros nueve meses de 2021. A esto hay que añadir el volumen mucho mayor de fraudes con tarjetas de crédito y de débito.
Con el aumento del tamaño del objetivo, los cibercriminales están intensificando su trabajo. Los investigadores de seguridad están descubriendo bots más sofisticados que son capaces de imitar de cerca el comportamiento humano, lo que los hace muy difíciles de detectar para las tecnologías de seguridad tradicionales.