EL Instituto Nacional de Ciberseguridad (INCIBE) ha alertado sobre las recurrentes estafas a usuarios con el método 'carding', que se ha puesto de moda entre los ciberdelincuentes como una forma de obtener los datos de tarjetas bancarias para utilizarlas en otras operaciones ilegales, por ejemplo, la compra de productos para su posterior venta a menor precio.
El 'carding' hace referencia a un tipo de técnica que llevan a cabo los actores maliciosos para robar los datos de tarjetas bancarias y conseguir acceso al dinero de las cuentas de los usuarios. Una vez logrado, los ciberdelincuentes utilizan los datos de estas tarjetas para realizar acciones fraudulentas.
En este marco, INCIBE y la Oficina de Seguridad del Internauta (OSI) han lanzado una advertencia a los usuarios sobre este tipo de fraude, ya que consideran que es una de las estafas «más recurrentes» de los actores maliciosos hoy en día, tal y como señalan en un comunicado en su blog.
El objetivo de estos ataques es el de utilizar las tarjetas bancarias de usuarios con otros fines fraudulentos. Así, una vez se obtienen los datos de estas tarjetas, son replicados en una tarjeta virtual que ya pueden utilizar. Sin embargo, los actores maliciosos se han de asegurar primero de que la información obtenida de las tarjetas es válida, así como tratar de averiguar el saldo disponible.
Para ello, comienzan a realizar compras de importes pequeños que puedan pasar desapercibidos, lo que, en caso de conseguir sin contratiempos, les indica que los datos de la tarjeta son correctos. Tras ello, los ciberdelincuentes pasan a comprar productos o servicios con un valor más alto, con lo que tratan de determinar el saldo disponible en dicha tarjeta.
Según indica la OSI, las estafas de 'carding' se suelen cometer en periodos en los que los usuarios realizan muchas compras, por ejemplo, en épocas como navidad o rebajas, ente otras principales campañas comerciales. De esta forma, los estafadores consiguen esconder sus compras entre las compras del propio usuario, aprovechando la larga lista de transacciones.
Un ejemplo de esta práctica en España fue la operación 'Proxy' de 2012/2013, en la que se creó una red de estafas con ciberdelincuentes residentes en distintos países que compraban productos con las tarjetas robadas y, posteriormente, los revendían con un precio inferior a los estipulados en el mercado.
Además, la OSI ha explicado que hay distintas técnicas para realizar 'carding'. En primer lugar, los actores maliciosos pueden utilizar conocidos ataques como el 'phishing' a través de correos electrónicos fraudulentos, el 'smishing' a través de mensajes de texto (SMS) o el 'shoulder surfing', un método que se basa en espiar a un usuario mientras utiliza un dispositivo mirando «por encima de su hombro» la pantalla para conseguir información personal como patrones de desbloqueo.
Otra de las tácticas para llevar a cabo el 'carding' es a través de la distribución de 'malwares' como Keyloggers, con los que los actores maliciosos son capaces de registrar las pulsaciones del teclado para obtener contraseñas u otra información relevante.
Igualmente, los datos de las tarjetas bancarias pueden llegar a manos de actores maliciosos a través de bases de datos de sitios webs que hayan sido vulnerados. En algunas ocasiones tras un ataque a la seguridad de estos sitios web, los datos vulnerados son publicados en Internet.
Siguiendo esta línea, otro de los procedimientos para el robo de estos datos es el uso de lectores con comunicación inalámbrica RFID o NFC. Los estafadores solo tienen que acercar estos lectores a la tarjeta de la víctima a una distancia de al menos 15 centímetros y obtendrán los datos de la tarjeta en segundos. Para ello, hacen uso de ingeniería social.
Cómo evitar los ataques 'carding'
Con todo ello, la OSI e INCIBE han facilitado algunos consejos a los usuarios de cara a evitar ser víctima de este tipo de estafas. En primer lugar, como en todo tipo de ataques maliciosos, se recomienda evitar abrir mensajes de 'spam' o correos electrónicos con remitentes desconocidos.
Asimismo, es importante que los usuarios lleven un control de las operaciones y transacciones bancarias. De esta forma, si el ciberdelincuente ejecuta una compra podrá ser identificada fácilmente por el usuario, quien podrá tomar medidas al respecto. Este control de las cuentas bancarias se ha de realizar especialmente en épocas de vacaciones, rebajas o campañas como 'Black Friday'.
Otra opción para evitar el robo de datos de la cuenta bancaria con técnicas como la del uso de lectores de comunicación inalámbrica, es la de desactivar el sistema NFC del dispositivo móvil y de las aplicaciones de los bancos o, en caso de utilizarlo solicitar una confirmación con PIN a la hora de realizar una compra.
Muchos usuarios utilizan el 'smartphone' o 'smartwatch' para pagar introduciendo su tarjeta. En este sentido, también se convierten en un blanco para los ciberdelincuentes, y por ello existen protectores antirrobo de tarjetas que las protegen de los lectores inalámbricos a la hora de guardarlas en el bolsillo o en la cartera.
En cuanto a las compras 'online', el usuario se ha de cerciorar de que se trata de una tienda de confianza y de que los métodos de pago son seguros. En caso de duda, se recomienda no introducir los datos bancarios.
De la misma forma, se recomienda que «en ninguna circunstancia» se proporcionen los datos bancarios por teléfono, al igual que no se deben realizar compras a través de ordenadores públicos. Finalmente, es aconsejable actualizar los programas y aplicaciones relativas al banco o a las tarjetas bancarias «con frecuencia», de cara a mantenerlos protegidos.