Cuando compramos cualquier cosa, especialmente por Internet, debemos prestar máxima atención al proceso de pago y extremar las precauciones en cada paso. El término “carding” engloba varios tipos de ataques que tienen como objetivo el uso no autorizado de tarjetas de crédito/débito, cuentas bancarias y otros datos financieros de una víctima que puedan ser usados para defraudar dinero (PayPal, Netflix, etc.).
El objetivo de los ciberdelincuentes, llamados carders, es hacerse con tu tarjeta. No necesitan robarla físicamente, les basta con el número, la fecha de vencimiento y el código de seguridad. Fíjate que estos son los datos que introducirías en cualquier compra por Internet. Con esa información en su poder, los carders usarán la tarjeta en tu nombre con varios objetivos, desde comprar online hasta acceder a tus claves bancarias y operar con ellas, haciendo transferencias, cancelando cuentas y quedándose con tu dinero, o contratando servicios de pago (suscripciones, viajes,…).
El carding puede ser digital y físico, como ocurre en el delito del duplicado de tarjetas en dispositivos de pago, aunque el término se ha popularizado a raíz de los ataques cometidos en la red. Estas son las caras del fraude:
Carding virtual
1. Phishing: los carders envían un correo electrónico a la víctima, suplantando a una entidad, sitio web o persona de confianza para tratar de conseguir los datos de la tarjeta. Ejemplos de este ataque serían los correos en los que nos piden que cambiemos la contraseña de la tarjeta, o correos con un falso aviso de un problema en nuestra cuenta bancaria. Suelen incluir un enlace a un formulario donde nos piden introducir nuestros datos. El phishing bancario es uno de los fraudes más habituales, cuidado con él.
2. Web falsa: es muy fácil caer en la trampa de las webs falsas, aunque te creas un experto. Son páginas que imitan con todo detalle a las oficiales, hay que fijarse muy bien para confirmar que se trata de la página auténtica. La diferencia puede estar simplemente en una letra, en un color del logo o en algún elemento muy similar pero no igual. La web desenmascara.me es una buena ayuda para identificar sitios web fraudulentos, especialmente de tiendas falsas.
3. Tienda falsa: este tipo de tiendas digitales suelen ofrecer precios demasiado baratos para ser ciertos. Lo que buscan es capturar el máximo número de tarjetas y CVVs (el código de verificación de 3 o 4 números situado en el reverso de la tarjeta). Desconfía de chollos poco creíbles. El producto nunca llega, solo quieren tu información.
4. Tienda sin pasarela de pago: si decides pagar con tarjeta por Internet, asegúrate de que la tienda use una pasarela de pago. Con esta tecnología, la tienda online en ningún momento tiene los datos financieros del usuario, lo que da mayor seguridad al proceso de pago. Si la tienda no usa la pasarela de pago seguro del banco, la protección de los datos bancarios del comprador recae sobre la propia tienda y los mecanismos de seguridad que tenga (o no) implantados.
5. Malware: también pueden intentar robarte los datos de tu tarjeta a través de un virus informático o malware, un software malicioso que se instala en tu dispositivo sin que seas consciente de ello. Si compras online, asegúrate de contar con un buen sistema de protección en tu equipo, y tenlo siempre actualizado.
Carding físico
1. Shoulder surfing (mirar por encima del hombro)
Es una de las técnicas más conocidas. Piensa que siempre hay alguien mirando y procura que no te observen mientras introduces la clave de tu tarjeta, en cajeros y en cualquier otra transacción. La persona que te espía podría memorizar los números o robarte la tarjeta sin que te des cuenta.
2. Carding en cajero
Existen dispositivos físicos que se acoplan a la superficie del cajero automático simulando ser parte de éste. Su función es copiar los datos de tu tarjeta para después clonarla y sacar dinero de tu cuenta. Pasan bastante desapercibidos, así que fíjate en que no haya restos de pegamento, o un agujero frente al teclado, y que no sobresalga el lector de tarjetas. Revisa también si alguna parte del cajero no encaja con el diseño.
3. Datáfono sin conexión: son datáfonos exactamente iguales que los normales, pero su única función es robar los datos de las tarjetas. Si la persona que está cobrándote te da un datáfono que no funciona y después te da otro que sí funciona, desconfía, puede tratarse de un ataque de carding. Verifica enseguida tu cuenta y bloquea la tarjeta si es preciso.
Estas medidas te ayudarán a protegerte del carding:
• Sospecha de cualquier correo de un remitente desconocido que tú no hayas solicitado previamente. Ante la duda, no los abras y elimínalos de la bandeja de entrada. Desconfía de cualquier correo que te pida la cuenta bancaria o datos financieros. Recuerda que un banco o una empresa seria nunca te pedirán esta información por correo electrónico. Consulta esta guía para identificar el phishing.
• No pierdas nunca de vista tu tarjeta al hacer un pago. Si compras en la red, sigue estas pautas de uso y precaución en banca online.
• Activa el doble factor de autenticación (2FA) en la tarjeta.
• No hagas transacciones con tus tarjetas en redes wifi abiertas ni en dispositivos de uso público o compartido.
• Verifica que las páginas web, especialmente las tiendas, sean auténticas y seguras, que cuenten con el protocolo de seguridad “https”, que incluyan el icono de un candado cerrado en la barra de dirección y que tengan pasarela de pago. Escribe directamente la dirección URL en tu navegador. Si recurres a un buscador, confirma que el resultado que eliges corresponde a la página auténtica. Aquí tienes algunos consejos para comprobar si una web es maliciosa.
• Activa las alertas de movimientos de los bancos.
• Usa una tarjeta diferente (tarjeta monedero, tarjeta prepago) solo para tus compras online. Recárgala con importes limitados. Así, si te la roban, el impacto económico será menor.
• ¡Denuncia! Incluso si el banco te ha devuelto el dinero. Así evitarás que este fraude se propague. Contacta con la Unidad de Delitos Tecnológicos de la Policía Nacional o con el Grupo de Delitos Telemáticos de la Guardia Civil.
ConcienciaT más:
• Microcurso ‘Compras online seguras’
• Microcurso ‘Delitos tecnológicos’