Descubre qué es el carding y cómo evitar el robo de tus datos bancarios e identidades digitales

¿Qué es el carding? ¿Cómo funciona este fraude?


El carding es una práctica ilegal que consiste en el uso de datos de tarjetas de crédito o débito ajenas para obtener beneficios económicos propios. Esta práctica se lleva a cabo mediante técnicas como el phishing o el skimming. Los ciberdelincuentes pueden llevar a cabo este delito con el objetivo de robar el dinero y dejar la cuenta vacía.






Ahora bien, los BIN son los primeros seis dígitos de una tarjeta de crédito o débito que identifican al emisor de la misma. En este sentido, los bineros son individuos que se dedican a recopilar información de los BIN para llevar a cabo actividades fraudulentas, incluyendo el carding.

Por su parte, los bineros pueden utilizar herramientas de software para generar números de tarjetas de crédito válidos a partir de los BIN, y posteriormente utilizar estos números para hacer compras fraudulentas en línea o en tiendas físicas. Es importante destacar que el uso de BIN legítimos no es ilegal, pero los bineros que los utilizan de manera fraudulenta pueden ser objeto de investigaciones criminales y enfrentar cargos penales.

Afortunadamente, el carding se ha complicado gracias a las medidas de seguridad implementadas por los bancos y las plataformas de pago. Pero, por desgracia, los sistemas contra el fraude no funcionan a la perfección y los servicios especiales, herramientas y tiendas necesarios para robar dinero de las tarjetas de crédito de otros están a disposición de cualquiera.



Huella digital: pedir prestada otra identidad para robar los fondos de su tarjeta


El investigador de Kaspersky Lab Sergey Lozhkin ha descubierto una tienda en la Darknet llamada Genesis que se utiliza para vender máscaras digitales a los usuarios. Nuestro compañero reveló esta información en la Security Analist Summit 2019. Una máscara es la huella digital de un usuario (su historial web, el sistema operativo y la información del navegador, como los complementos instalados y demás) e información sobre su comportamiento: qué hace online y cómo lo hace.

Pero ¿por qué venden los ciberdelincuentes máscaras y qué relación tienen con el carding? Las máscaras digitales se utilizan en los sistemas antifraude para verificar a los usuarios. Si la máscara digital coincide con la que ha mostrado anteriormente el usuario, el sistema antifraude considerará que la actividad es legítima. Por tanto, en el caso de muchos bancos, ni siquiera requerirán un código 3D Secure por SMS ni notificarán al usuario para confirmar la transacción.

Por tanto, si un ciberdelincuente consiguiera robar tu máscara digital y tus credenciales de la banca online, el sistema antifraude pensará que eres tú y no hará saltar ninguna alarma. De esta forma, el atacante puede apropiarse de todo el dinero de tu cuenta sin ser detectado.

Este es el motivo por el que algunos cibercriminales extraen los datos de los dispositivos de los usuarios y los ponen a la venta en Genesis. Otros compran esta información, que puede costar entre 5 y 200 dólares, dependiendo de la cantidad de datos y de las credenciales incluidas, y la utilizan para hacerse pasar por el propietario de la máscara digital.







Recopilación de huellas digitales


Entonces, ¿dónde consiguen los cibercriminales de Genesis todos los datos que venden? La respuesta es simple, pero un tanto difusa: a partir de varios tipos de malware.

No todos los tipos de malware intentan cifrar tus datos para pedir un rescate o robar tu dinero nada más acceder a tu dispositivo. Otros permanecen en silencio, recopilando todos los datos a su alcance y elaborando esas máscaras digitales que posteriormente se venden en Genesis.



Otras formas de evitar los sistemas antifraude


El primer método para esquivar los sistemas antifraude es resultar familiar, pero el otro es parecer completamente diferente. Y, como los ciberdelincuentes piensan en todo, hay un servicio en Internet para ello también.

Completamente nuevo significa que casi no hay parámetros coincidentes entre la máscara digital utilizada y cualquier otra máscara digital que el servicio tenga en cuenta. Es decir, el ciberdelincuente no podrá iniciar sesión en un servicio con un sistema antifraude, aunque instalen un nuevo navegador en su ordenador, si algunos de los parámetros (como el hardware, la resolución de pantalla y demás información del ordenador) son los mismos a los de la máscara digital utilizada anteriormente.

Pero un servicio llamado Sphere permite a los ciberdelincuentes crear una nueva identidad digital y personalizar todos los parámetros para que el sistema de prevención de fraude los conciba como algo completamente nuevo. Y no tiene por qué no confiar en esa nueva persona.



¿Cómo protegerte de este ataque?


Es un hecho que la información bancaria siempre ha sido el blanco para los cibercriminales. Recientemente, Instituto Nacional de Ciberseguridad de España (INCIBE) publicó una alerta sobre este tipo de fraudes, con estas recomendaciones para evitar ser otra posible víctima:

•No prestes atención a ningún tipo de mensaje spam o correo electrónico de remitentes desconocidos.

•Es recomendable llevar un registro de todas tus transacciones bancarias. Especialmente, anotar las fechas específicas de cada operación. Pues bien, este tipo de ataque suele ser muy común en temporadas especiales como Black Friday, época navideña, rebajas por liquidación, etc.

•Cuando no uses el sistema NFC en tu móvil, es importante que lo desactives o que utilices un protector para tus tarjetas que evite robos mientras las llevas en tu bolsillo.

•Para compras en línea, verifica que la tienda sea confiable y cuente con opciones de pago seguro. No proporciones información personal en sitios web con reputación dudosa.

•Aprovecha las opciones que ofrecen los bancos, como las tarjetas monedero o virtuales, para realizar pagos en línea.

•Si no usas NFC o RFID, asegúrate de deshabilitar estas opciones en la aplicación de tu banco. Si las utilizas, configura la app para que solicite confirmación con PIN en el pago con tarjeta.

•Nunca proporciones datos bancarios por teléfono, bajo ninguna circunstancia.

•No utilices ordenadores públicos para compras en línea, ya que pueden tener software malicioso.

•Mantén actualizados tus aplicaciones, especialmente, las más usadas. Estas las actualizaciones suelen incluir mejoras de seguridad.

•Activa el doble factor de autenticación en los pagos con tarjeta y desconfía de cualquier correo electrónico que solicite información personal o datos de la tarjeta, utilizando incluso la biometría, como el lector de huellas (real, no digital), el análisis de iris o el reconocimiento facial.



Sigue las recomendaciones


Es importante estar informado sobre el carding y sus diferentes modalidades con el fin de prevenir posibles ciberataques en nuestras transacciones financieras. Al conocer las prácticas fraudulentas más comunes, como el phishing, el skimming o el uso de bineros, podemos tomar medidas de precaución para proteger nuestra información personal y bancaria.

Además, es fundamental tener precaución en nuestros hábitos de consumo en línea. Especialmente, verificar la confiabilidad de las tiendas y evitar proporcionar información personal en sitios web de reputación dudosa. De esta manera, podemos disminuir el riesgo de ser víctimas de carding y proteger nuestras finanzas de posibles robos o fraudes.


No hay comentarios:

Publicar un comentario