El carding podría definirse como un tipo de ciberfraude o fraude cibernético que utiliza ilegalmente datos de tarjetas bancarias para realizar compras online u otro tipo de delitos financieros.
El término proviene de la palabra card (tarjeta en inglés) e implica no solo el uso fraudulento de los datos para comprar bienes o servicios, sino que también puede darse mediante la venta de los mismos en el mercado negro o en la dark web.
Cómo funciona el carding
Tal y como se explica en la web del Instituto Nacional de Ciberseguridad (INCIBE), el carding opera de la siguiente manera.
Primero, los ciberdelincuentes se hacen con los listados de tarjetas de crédito, en muchas ocasiones mediante la dark web, una parte de Internet “invisible” a la que no se puede acceder mediante navegadores normales y donde se llevan a cabo diversos actos delictivos como la compra y venta de bienes y servicios ilegales, como en este caso serían los datos de estos productos bancarios.
Otras formas de conseguir los datos de las tarjetas de crédito o débito son el phishing (engañar a las víctimas para que den sus datos), el skimmer (instalación de lectores de tarjetas que roba información al utilizarlos) o el keylogger (registrar cómo se pulsa el teclado para recopilar información).
Una vez conseguidos estos datos, el ciberdelincuente se ayuda de bots que llevan a cabo pequeñas compras en comercios electrónicos de manera repetida hasta dar con tarjetas válidas.
Como veremos más adelante, aquí entra la importancia de chequear el estado de las cuentas bancarias, puesto que frecuentemente primero se realizan transacciones de cuantías bajas hasta que finalmente se acomete una compra mayor.
En ocasiones, los ciberdelincuentes también recurren a adquirir tarjetas de prepago o tarjetas de regalo con las que, entre otras cuestiones, se dificulta el rastreo del dinero.
Por qué el carding es una amenaza
El carding es una amenaza tanto para los particulares como para las empresas.
Por un lado, los titulares de las tarjetas bancarias pueden sufrir cargos no autorizados. Si bien es cierto que habitualmente las entidades bancarias suelen reembolsar el dinero defraudado, pueden convertirse en procesos farragosos o complicados.
Desde la perspectiva de las empresas, el perjuicio puede ser tanto desde un punto de visto económico (con la devolución de cargos fraudulentos) como reputacional.
Como consecuencia indirecta, también se da que este tipo de ciberdelito fomenta el robo de identidades y la consecuente proliferación de otro tipo de delitos relacionados.
Cómo protegerse del carding
Partiendo de la premisa de que actuar con cautela y sentido común ya es un primer paso para evitar los riesgos del carding, veamos más específicamente qué más se puede hacer para prevenirlo:
- No compartir información bancaria en sitios no verificados ni acceder a enlaces que sean sospechosos recibidos por SMS, correo electrónico u otra vía no solicitada.
- Llevar a cabo las compras online únicamente en comercios electrónicos de confianza. Asimismo, se debe comprobar que la página web es segura incluyendo https y el candado en la barra de dirección.
- Comprobar periódica y regularmente el estado de las cuentas bancarias y en caso de hallar movimientos extraños avisar a la entidad bancaria.
- Descargar las apps de los markets oficiales.
- Utilizar tarjetas virtuales o de prepago.
- Actualizar la seguridad de los dispositivos cuando sea necesario.
Así pues, podemos observar que la minimización de riesgos vinculadas con este tipo de fraude online pasa tanto por cuestiones relacionadas con la responsabilidad y/o precaución de los usuarios como por medidas tecnológicas.
