Contenidos didácticos

‘Carding’ a tarjetas bancarias: qué es y sus consecuencias

A través del ‘carding’, los ciberdelincuentes intentan robar la información de las tarjetas bancarias y sacar un provecho económico a costa de las víctimas. De ahí que se tan importante conocerlo y saber cómo protegerse.

dibujo de un ciberdelincuente practicando carding para robar una tarjeta de crédito de un monedero

Las tarjetas bancarias son el punto de entrada a nuestras finanzas. ¡Por eso hay que protegerlas! Getty Images.

Por Redacción.

Sin duda, uno de los principales objetivos de la ciberdelincuencia es obtener el dinero y los datos confidenciales de sus víctimas. Para lograr dicho fin, uno de sus modus operandi es robar tarjetas bancarias por Internet, algo que consiguen sirviéndose de métodos como el carding. Pero, ¿en qué consiste exactamente? Y no menos relevante: ¿qué consejos hay que poner en práctica para prevenirlo?

¿Qué es el ‘carding’ de tarjetas bancarias?

Como revela su denominación, el término carding proviene de la palabra inglesa card (tarjeta). Y, según explican desde el Instituto Nacional de Ciberseguridad (Incibe) español, tiene como fin conseguir información de tarjetas bancarias para usarlas fraudulentamente.

  • Una vez obtenidos los datos, como el número de la tarjeta, el código CVV y la fecha de caducidad, los ciberdelincuentes proceden a volcarlos en tarjetas virtuales o clonadas. Y cuando completan el proceso, realizan compras con ellas.
  • De cara a no levantar sospechas ni ser detectados, suelen hacer compras cuyos importes no sean muy elevados. En el supuesto de lograr su propósito, el siguiente paso es llevar a cabo operaciones de mayor valor.

Quienes se dedican al carding reciben el nombre de bineros. Ello es así porque intentan hacerse con el número de identificación bancaria (BIN, por sus siglas en inglés), esto es, los seis primeros dígitos de las tarjetas. Y para lograrlo, como veremos a continuación, se sirven de diferentes técnicas.

tarjeta bancaria
A la ciberdelincuencia le interesa conocer los seis primeros dígitos de las tarjetas (número BIN). Getty Images.

Cómo hacer ‘carding’ mediante ingeniería social

Entre ellas, los ciberataques de ingeniería social son bastante habituales. Sobre todo, los siguientes:

  • Phishing. Es una de las técnicas más populares y consiste en el envío de correos electrónicos que suplantan a una entidad con el objetivo de robar información confidencial, realizar un cargo económico o infectar un dispositivo. Para ello, los ciberdelincuentes adjuntan archivos infectados o enlaces a páginas fraudulentas.
  • Smishing. Como ya ha explicado Segurilatam en sus contenidos didácticos, el smishing es similar al phishing. En este caso, los ciberatacantes sustituyen los emails por mensajes de texto a través de SMS o aplicaciones de mensajería instantánea.
  • Vishing. Parecido al phishing y el smishing, el vishing se basa en comunicaciones telefónicas o mensajes de voz que suplantan la identidad de una empresa o persona de confianza.
  • Shoulder surfing. De igual manera, en Segurilatam nos hemos ocupado del shoulder surfing, consistente en mirar los dispositivos de las víctimas por encima de sus hombros.
un hacker con guantes practica smishing con un smartphone
El ‘smishing’ es una de las técnicas de ingeniería social usadas por los ciberdelincuentes para practicar ‘carding’. Getty Images.

Otras técnicas utilizadas por los ciberdelincuentes

Pero, lejos de ceñirse a los ciberataques de ingeniería social, quienes practican carding recurren a otras técnicas para obtener la información de las tarjetas bancarias de sus víctimas. Entre ellas:

  • Registradores de pulsadores de teclas. Más conocidos como keyloggers, son introducidos en los equipos tras ser infectados con malware como backdoors, rootkits y troyanos. A partir de ahí, son empleados para monitorizar la actividad de las víctimas en los teclados y robar contraseñas o datos bancarios.
  • Sitios web fraudulentos. En muchos casos, la ciberdelincuencia redirige a los usuarios a páginas web fraudulentas para que introduzcan información personal. Como, por ejemplo, los datos de sus tarjetas bancarias. En este sentido, es muy importante saber si una tienda en línea es segura para evitar ser víctimas de fraude.
  • Bases de datos. De igual manera, se recurre a la Internet Oscura (Dark Web) para conseguir listados de clientes o usuarios cuya seguridad haya sido vulnerada, así como información de tarjetas robadas y series BIN. En este sentido, en Segurilatam ya dedicamos un contenido a explicar cuánto cuestan las tarjetas bancarias en la Dark Web.
  • Lectores RFID o NFC. Y otra alternativa es hacer uso de lectores de comunicación inalámbrica y aproximarlos a las víctimas para obtener la información de sus tarjetas. Entre los lectores utilizados se encuentra la app Credit Card Reader.
  • Lectores de bandas magnéticas portátiles. Apenas miden 10 centímetros y permiten leer la banda magnética de una tarjeta si un usuario despistado la deja sobre un mostrador.
  • Skimmers. Son dispositivos que se colocan en los cajeros automáticos y sirven para hacer skimming, consistente en el copiado de la banda magnética de las tarjetas bancarias.
  • Datáfonos offline. Estos terminales puntos de venta no tienen conexión a Internet, pero registran los datos de una tarjeta.
  • Finalmente, los bineros también recurren a softwares específicos que facilitan obtener números de tarjetas y su correspondiente código CVV.

Habitualmente, los bineros participan en foros para adquirir conocimientos sobre el carding. Incluso en algunas páginas web del Internet público se han compartido tutoriales para aprender a conseguir información de tarjetas de banco.

dos manos sobre un teclado de ordenador
Un ‘keylogger’ permite robar los datos bancarios introducidos a través del teclado de un ordenador. Getty Images.

10 consejos para prevenir el robo de datos de las tarjetas

Para ponérselo difícil a los amigos de lo ajeno, y prevenir el robo de nuestras tarjetas bancarias, los expertos sugieren poner en práctica los siguientes consejos básicos:

  1. Ser cautos con el uso de las tarjetas durante las campañas comerciales (rebajas, Navidad, Black Friday, Prime Day, Cyberlunes, Hot Sale, Buen Fin, etc.), pues en esas fechas se incrementa el carding.
  2. Comprobar que las tiendas en línea son de confianza –prestando atención a la URL y al protocolo https– y disponen de métodos de pago seguros.
  3. No realizar compras en línea mediante ordenadores públicos o redes wifi abiertas. Y siempre que sea posible es imprescindible contar con una red privada virtual (VPN, por sus siglas en inglés).
  4. Usar tarjetas prepago (monedero) o virtuales, en lugar de tarjetas de crédito o débito físicas, para comprar productos o contratar servicios en Internet. Y activar el factor de autenticación multifactor para los pagos con tarjeta.
  5. Desactivar la función NFC (Near Field Communication o comunicación de campo cercano) del teléfono móvil. Del mismo modo, es recomendable deshabilitar las funciones NFC y RFID (identificación por radiofrecuencia) de la app del banco. Y en caso de utilizarlas, solicitar confirmación por PIN.
  6. Ya que nos hemos referido a la app del banco, acceder a ella para bloquear las tarjetas que no vayan usarse temporalmente.
  7. Utilizar una funda antirrobo para tarjetas bancarias. Y no perderlas de vista cuando se esté comprando en un establecimiento.
  8. Desconfiar de los correos electrónicos, mensajes de texto y llamadas telefónicas no previstos que solicitan datos bancarios o realizar una acción determinada. Como, por ejemplo, descargar un archivo adjunto y abrirlo o clicar en un enlace.
  9. Descargar aplicaciones de sitios oficiales y recabar información sobre sus medidas de seguridad y privacidad antes de hacerlo.
  10. Proteger los equipos y dispositivos con un software antivirus. Y mantenerlos actualizados con las últimas versiones del sistema operativo y de los programas y aplicaciones que se usen frecuentemente.

Por último, es recomendable controlar las operaciones y transacciones de forma periódica. Y ponerse en contacto con la entidad bancaria cuanto antes en caso de detectar compras anómalas. Al respecto, una buena medida es activar alertas de los movimientos que se realicen para recibirlos en el teléfono móvil.

funciones y servicios de una app bancaria
Las aplicaciones bancarias facilitan controlar los gastos y desactivar las tarjetas temporalmente. Getty Images.
Aplicar filtros
Convocatoria 37ª edición Trofeos Internacionales de la Seguridad
Convocatoria 37ª edición Trofeos Internacionales de la Seguridad
Presenta tu candidatura para la 37ª edición de los Trofeos Internacionales de la Seguridad