Que le roben las tarjetas es un miedo con el que vive cualquiera en esta sociedad occidental. No es infundado. Según datos del Banco de España, cada año se detecta más de un millón de operaciones fraudulentas con tarjetas de crédito o débito, algunas en compras físicas, pero la mayoría (tres cuartas partes) relacionadas con compras online.
Y como toda actividad que se ‘populariza’, hasta tiene un nombre: Carding (que viene de tarjeta en inglés: card). Este concepto se aplica a cualquier actividad ilícita relacionada con una tarjeta ajena: compras no autorizadas, sacar dinero de las cuentas de otro o pagar nuestros gastos con ellas. Y se está extendiendo tanto que el propio INCIBE, junto con la Oficina de Seguridad del Internauta, advierte a los ciudadanos de manera oficial y les insta a protegerse y a abrir los ojos ante ello.
“Aunque por lo general, con estos números de tarjeta robado, los malhechores realizan operaciones pequeñas (compras particulares, suscripción a servicios, operativa online, etc.), el impacto para las entidades bancarias, que se hacen cargo de la responsabilidad en este tipo de fraudes puede ser de decenas de miles de euros.”, afirma Hervé Lambert Global Consumer Operations Manager de Panda Security.
Antes del carding
Como decimos, se considera carding a toda aquella actividad en que se usa la tecnología para operar con datos de tarjetas bancarias de manera ilícita. Así que no estamos hablando tanto del robo de la tarjeta física (aunque alguna variedad de esta amenaza consiste en asaltar los almacenes de una entidad de pagos para hacerse con tarjetas ‘vírgenes’ y manipularlas a posteriori para poder comprar con ellas), sino más bien de conseguir un número y todo lo que le acompaña y que es imprescindible para cualquier operación online, como la fecha de vencimiento de la tarjeta o el número de control CCV.
El concepto de Carding se aplica a cualquier actividad ilícita relacionada con una tarjeta ajena: compras no autorizadas, sacar dinero de las cuentas de otro o pagar gastos con ellas
La manera de obtener esos datos puede ser muy variada y creativa. Pero, las prácticas más habituales incluyen los viejos conocidos de los expertos en ciberseguridad, como el phishing (esos emails que parecen del banco o de una tienda de confianza donde se nos pide introducir datos personales como la tarjeta o esas llamadas telefónicas en las que nos piden nuestros datos); el skimming: los lectores ‘a distancia’ de las bandas magnéticas o chips para extraer los datos sin siquiera tocar al interesado y sin que este se dé cuenta; o el mucho más prosaico ‘shoulder surfing’, que no por su nombre en inglés es más innovadoramente glamouroso, ya que no consiste más que mirar por encima del hombro de cualquiera que esté realizando una operación (sacar dinero de un cajero o pagar en una tienda física metiendo el número PIN).
Otra manera más rentable y segura para los criminales es directamente crear números de cuenta falsos mediante algoritmos, ¡o comprarlos en el mercado negro!
En algunas ocasiones tras un ataque a la seguridad de algún sitio web -puede ser un banco, una aseguradora o un establecimiento-, los datos vulnerados son publicados en internet, y están bastante a mano para quien sabe buscarlos. Según un informe de NordVPN habría más de 4 millones de estos números de tarjeta a la venta en la Dark Web, cerca de 80.000 de España. ¿Y es difícil o caro? Para nada, en concreto, y según este gráfico, una tarjeta de España con su CCV puede costar en la Dark Web apenas 25 dólares.
“Lo que el delincuente en cuestión necesita no son nuestros datos en sí, sino un BIN (bank identification number, o número de identificación bancaria) válido con el que poder operar. Y eso se puede conseguir mediante acceso ilícito a las tarjetas de otros -o su compra en el mercado negro-, o mediante algoritmos que ‘crean’ números de tarjeta válidos (junto con sus CCV y fechas de validez, claro). Por esa razón, a quienes se dedican a esta actividad ilícita se les llama ‘bineros’”, explica Lambert.
Como mucho una vez a la semana deberías comprobar el movimiento de tus cuentas y tarjetas y verificar que todos los cargos realizados en ellas son legítimos. También podemos activar alertas para pagos de más de una cierta cantidad o en un cierto tipo de establecimientos.
Una vez tienen esos números, el primer paso es comprobar que funcionan, lo que consiguen realizando pequeñas operaciones de compras online. Si no son detectados, los delincuentes continuarán realizando compras y aumentando el importe de las mismas hasta ‘quemar’ ese número de tarjeta, lo que sucede cuando alguien detecta esa actividad fraudulenta, sea el banco o el propietario.
Cómo evitar los ataques carding
Incluso al usuario más avezado le puede costar librarse de uno de estos ataques de carding, sobre todo si pensamos en que cada persona suele manejar varias tarjetas de crédito o débito y los pagos con ellas son tan habituales que muchas veces no nos planteamos del todo si el sitio es o no seguro. Por eso, no está de más recordar algunas recomendaciones básicas de protección contra el fraude en general y otras más específicas para este caso:
- Tarjetas protegidas: Las aplicaciones bancarias suelen tener sistemas de protección, como la posibilidad de habilitar la autenticación en dos pasos o las alertas de operaciones y movimientos. No dudes en activarlas y en investigar bien todas las opciones que ofrece la entidad.
- Vigilar tus movimientos: Como mucho una vez a la semana deberías comprobar el movimiento de tus cuentas y tarjetas y verificar que todos los cargos realizados en ellas son legítimos. También podemos activar alertas para pagos de más de una cierta cantidad o en un cierto tipo de establecimientos.
- No caer en las redes de pesca: Nunca hacer caso de mensajes que ‘parezcan’ spam, porque casi seguro lo serán. Tu banco o tu tienda de confianza no te enviarán un correo con un link para que introduzcas tus datos personales.
- Conectividad limitada: Aunque el NFC y el RFID son grandes avances que nos facilitan la vida, mejor tenerlos desactivados cuando no los estemos usando. Existen protectores anti robo (carteras con piezas de metal que impiden el hackeo mediante el bloqueo de la señal). Esto vale también para los smartwatches o bandas que nos permiten pagar con ellas.
- Redes y ordenadores públicos, ¡prohibidos!: Al menos si lo que vas a hacer requiere que introduzcas datos personales o bancarios. Aunque suelen estar protegidos, estos dispositivos siempre serán más vulnerables a ataques de todo tipo.
- Siempre a la vista: En cualquier lugar tienen un datáfono pequeño y portátil que te llevarán hasta la mesa o te facilitarán para pagar, así que no pierdas tu tarjeta de vista en ningún momento. Lo mejor, de hecho, es que ni siquiera la sueltes cuando estés pagando.
- Si ya no sirve, rómpela: Un hacker avezado las aprovechará, y un sitio web poco seguro podría permitir su uso. Aun caducada, sigues siendo el titular, así que asegúrate de que nadie más pueda usarla cortándola y tirando los pedazos en sitios distintos.
- Tiendas seguras: Comprueba que la conexión sea HTTPS y mejor evita ‘guardar los datos para próximas compras’ en las páginas. Y si no conoces la tienda, investiga un poco antes de realizar ninguna operación, normalmente encontrarás comentarios de otros usuarios que te den pistas sobre si la tienda en cuestión es o no legítima.
- Y dispositivos también seguros: Tanto tu teléfono, como tu ordenador de casa o del trabajo deberían contar con sistemas de protección antivirus, conexión VPN y de protección de documentos. Nuestra recomendación es Panda Dome, un blindaje de tu seguridad y la de toda tu familia que incluso cuenta con una caja fuerte virtual para proteger tu dinero y tu información confidencial.
Y si aún así sufrimos un uso ilícito de nuestra tarjeta, lo primero es bloquearla, lo siguiente avisar al banco y, después, a la autoridad competente. Desde aquí te recordamos que el número 017 es la Línea de Ayuda en Ciberseguridad de INCIBE.
“Nuestras tarjetas bancarias son el punto de entrada a nuestras finanzas. No se trata solo de que nos ‘roben’ alguna cantidad más o menos pequeña de dinero, sino de la intromisión que puede al final derivar en temas más graves si no se detecta a tiempo. Pongamos cuidado”, concluye el Hervé Lambert.