Hay distintas técnicas para realizar carding. Los ciberdelincuentes utilizan ataques como el ‘phishing’, el ‘smishing’, el ‘shoulder surfing’ o la distribución de ‘malware’.

El Instituto Nacional de Ciberseguridad (INCIBE) ha alertado sobre las recurrentes estafas a usuarios con el método carding, que se ha puesto de moda entre los ciberdelincuentes como una forma de obtener los datos de tarjetas bancarias para utilizarlas en otras operaciones ilegales, por ejemplo, la compra de productos para su posterior venta a menor precio.

El carding hace referencia a un tipo de técnica que llevan a cabo los actores maliciosos para robar los datos de tarjetas bancarias y conseguir acceso al dinero de las cuentas de los usuarios. Una vez logrado, los ciberdelincuentes utilizan los datos de estas tarjetas para realizar acciones fraudulentas.

En este marco, INCIBE y la Oficina de Seguridad del Internauta (OSI) han lanzado una advertencia a los usuarios sobre este tipo de fraude, ya que consideran que es una de las estafas «más recurrentes» de los actores maliciosos hoy en día, tal y como señalan en un comunicado en su blog.

El objetivo de estos ataques es el de utilizar las tarjetas bancarias de usuarios con otros fines fraudulentos. Así, una vez se obtienen los datos de estas tarjetas, son replicados en una tarjeta virtual que ya pueden utilizar.

📢 Actualmente, se ha puesto de moda un tipo de #fraude que utiliza información de tarjetas 💳 robadas para usarlas de manera fraudulenta 👿. Dicha técnica es conocida como #carding, ¿conocías este término?

💻 Más info en el blog de @osiseguridad: https://t.co/J6dUWDrCc5 pic.twitter.com/DLECXLqIwU

— INCIBE (@INCIBE) April 19, 2023

Sin embargo, los actores maliciosos se han de asegurar primero de que la información obtenida de las tarjetas es válida, así como tratar de averiguar el saldo disponible.

Para ello, comienzan a realizar compras de importes pequeños que puedan pasar desapercibidos, lo que, en caso de conseguir sin contratiempos, les indica que los datos de la tarjeta son correctos.

Tras ello, los ciberdelincuentes pasan a comprar productos o servicios con un valor más alto, con lo que tratan de determinar el saldo disponible en dicha tarjeta.

Según indica la OSI, las estafas de carding se suelen cometer en periodos en los que los usuarios realizan muchas compras, por ejemplo, en épocas como navidad o rebajas, ente otras principales campañas comerciales.

De esta forma, los estafadores consiguen esconder sus compras entre las compras del propio usuario, aprovechando la larga lista de transacciones.

Además, la OSI ha explicado que hay distintas técnicas para realizar carding.

En primer lugar, los actores maliciosos pueden utilizar conocidos ataques como el phishing a través de correos electrónicos fraudulentos, el smishing a través de mensajes de texto (SMS) o el shoulder surfing, un método que se basa en espiar a un usuario mientras utiliza un dispositivo mirando «por encima de su hombro» la pantalla para conseguir información personal como patrones de desbloqueo.

Otra de las tácticas para llevar a cabo el carding es a través de la distribución de malware como Keyloggers, con los que los actores maliciosos son capaces de registrar las pulsaciones del teclado para obtener contraseñas u otra información relevante.

Igualmente, los datos de las tarjetas bancarias pueden llegar a manos de actores maliciosos a través de bases de datos de sitios webs que hayan sido vulnerados.

En algunas ocasiones tras un ataque a la seguridad de estos sitios web, los datos vulnerados son publicados en Internet.

Siguiendo esta línea, otro de los procedimientos para el robo de estos datos es el uso de lectores con comunicación inalámbrica RFID o NFC.

Los estafadores solo tienen que acercar estos lectores a la tarjeta de la víctima a una distancia de al menos 15 centímetros y obtendrán los datos de la tarjeta en segundos.

Para ello, hacen uso de ingeniería social.

Cómo evitar los ataques carding

Con todo ello, la OSI e INCIBE han facilitado algunos consejos a los usuarios de cara a evitar ser víctima de este tipo de estafas.

En primer lugar, como en todo tipo de ataques maliciosos, se recomienda evitar abrir mensajes de spam o correos electrónicos con remitentes desconocidos.

Asimismo, es importante que los usuarios lleven un control de las operaciones y transacciones bancarias.

De esta forma, si el ciberdelincuente ejecuta una compra podrá ser identificada fácilmente por el usuario, quien podrá tomar medidas al respecto.

Este control de las cuentas bancarias se ha de realizar especialmente en épocas de vacaciones, rebajas o campañas como Black Friday.

Otra opción para evitar el robo de datos de la cuenta bancaria con técnicas como la del uso de lectores de comunicación inalámbrica, es la de desactivar el sistema NFC del dispositivo móvil y de las aplicaciones de los bancos o, en caso de utilizarlo solicitar una confirmación con PIN a la hora de realizar una compra.

Muchos usuarios utilizan el smartphone o smartwatch para pagar introduciendo su tarjeta.

En este sentido, también se convierten en un blanco para los ciberdelincuentes, y por ello existen protectores antirrobo de tarjetas que las protegen de los lectores inalámbricos a la hora de guardarlas en el bolsillo o en la cartera.

En cuanto a las compras online, el usuario se ha de cerciorar de que se trata de una tienda de confianza y de que los métodos de pago son seguros.

En caso de duda, se recomienda no introducir los datos bancarios.

De la misma forma, se recomienda que «en ninguna circunstancia» se proporcionen los datos bancarios por teléfono, al igual que no se deben realizar compras a través de ordenadores públicos.

Finalmente, es aconsejable actualizar los programas y aplicaciones relativas al banco o a las tarjetas bancarias «con frecuencia», de cara a mantenerlos protegidos.