Hace un momento estaba preparando un artículo (que publicaremos más adelante) sobre cómo es el hardware utilizan los cibercriminales para realizar sus actos (lo dejo enlazado para que esté disponible en un futuro), y al escribirlo he caído en la consideración de que no habíamos explicado por aquí cómo funciona el carding, y peor aún, qué impacto tiene para la reputación personal y crediticia de una persona.
Así que vamos a solucionarlo.
Índice de contenido
Qué es el carding
Esta respuesta es rápida. Se trata de una serie de ataques que tienen como premisa el hacer uso de datos de tarjetas de crédito o cuentas bancarias ajenas, generalmente para usurpar su identidad, contratar productos o servicios en plataformas digitales, o robar directamente dinero a las víctimas.
Para ello, obviamente, es necesario primero conseguir esos números de cuentas y tarjetas bancarias, y para ello, tenemos que hablar de los bineros.
Quiénes son los bineros
Pues como te habrás podido imaginar, los bineros son aquellos que se dedican a conseguir números de tarjeta de crédito o débito, así como cuentas bancarias.
Para ello, o bien directamente los obtienen de filtrados masivos previos (es decir, robo de datos de otras filtraciones que se hacen públicos, o bien se venden en foros especializados en cibercrimen), o bien los generan/descubren.
Pero, ¿cómo es que los generan o descubren?
Pue para entender esto, es necesario saber cómo funcionan los números que forman parte de nuestras tarjetas y cuentas bancarias.
Por ejemplo, las tarjetas están formadas por un mínimo de 16 dígitos. Y de esos 16 números:
- Los seis primeros definen el banco emisor y el tipo de tarjeta (que si VISA, que si MasterCard…), lo que llamamos el BIN de la tarjeta (que viene, por cierto, de «código binario»).
- Los siguientes, que tienen como nombre IAI, son los que definen el número de tarjeta unitario de cada usuario.
- Y el último dígito es un dígito de control, que se genera a partir de unos cálculos matemáticos que dependen del resto de números anteriores.
Gracias a ello, te habrás fijado que cuando empiezas a escribir el número de tarjeta en un servicio online, apenas has metido los seis primeros dígitos el sistema ya es capaz de saber si la tarjeta será VISA, MasterCard u otro tipo, además de a qué banco pertenece (son datos que a veces es necesario mostrar al usuario o saber de antemano para que el formulario de compra funcione correctamente).
Eso y que para un eCommerce, gracias a ese último dígito de control, resulta muy sencillo validar si la tarjeta es inventada o tiene sentido (parece real) sin tener que realizar una comprobación contra el TPV/datáfono, simplemente haciendo esos cálculos y validando si el dígito de control es correcto, lo que evita muchísimas peticiones falsas o erróneas, ergo, que las correctas funcionen mejor (solo se realizan si la tarjeta parece real al cumplir con un dígito de control correcto para esa numeración).
¿Cómo obtienen los bineros los números de tarjeta?
Aquí llegamos al quid de la cuestión.
¿Cómo obtienen estos cibercriminales los números de tarjeta?
Pues de múltiples maneras. Entre ellas:
- Filtrados masivos previos: Es decir, ciberataques que previamente afectaron a algún servicio, y en el que se expuso, entre otros datos, los datos de tarjetas de crédito de sus usuarios. En CyberBrainers contamos con herramientas para saber si una persona ha sido víctima de carding, o potencialmente puede llegar a ser víctima debido a que su tarjeta está expuesta en algún lado de Internet.
- Campañas de phishing: ¿Alguna vez te has preguntado para qué existen todos esos fraudes de sorteos en redes sociales que aseguran que has ganado un smartphone de última generación? Pues sirven para esto. Para robar datos personales, entre ellos números de tarjeta de crédito, que usarán para revenderse y/o en futuros ciberataques.
- Descubrimiento de números de tarjetas: Te sorprendería ver la cantidad de usuarios que publican en sus perfiles de redes sociales, abiertos incluso a todo el mundo, fotos con sus tarjetas y documentos de identidad. Basta realizar una búsqueda OSINT para llegar a múltiples usuarios exponiendo, sin saber, algo que debería ser tan privado como esto…
¿Qué podemos hacer para protegernos del carding?
Echas las presentaciones, vamos a ver qué podemos hacer para evitar problemas futuros.
- Desconfiar de los chollos que nos llegan por Internet: Esta es una de las típicas recomendaciones que hacemos en CyberBrainers a todos nuestros clientes a la hora de concienciarles sobre los riesgos de las campañas de fraude. La mayoría de estas campañas de phishing intentan engañarnos, haciéndose pasar por una entidad o persona conocida por nosotros (tu hijo te escribe supuestamente desde otra cuenta de WhatsApp para pedirte que le envíes dinero), generando una sensación de urgencia (tienes que hacer esto ya que si no algo malo va a pasar) y en definitiva intentando engañarte con algún timo, para que expongas tus datos.
- Tener nuestros dispositivos y aplicaciones siempre actualizados: Hay parte de los ciberataques que no dependen de nuestra seguridad (los que afectan directamente a un servicio donde tengamos cuenta), pero la mayoría dependen de nuestra propia seguridad. Y algo que siempre funciona: tener los dispositivos y todo su software actualizado a la última versión disponible, y por tanto, con las actualizaciones de seguridad que el desarrollador haya implementado, para minimizar el perímetro de exposición.
- El NFC del smartphone solo conectado cuando realmente lo necesites: El NFC es un sistema de pago contactless que funciona a unos centímetros del dispositivo, y se conocen ya algunos ataques que se realizan sobre todo en zonas con mucha gente apelotonada (como puede ser un viaje en metro) que se usa para ir colocando cerca del móvil de la persona un dispositivo que lee los datos del NFC, o directamente emite un pago pequeño (los mayores requieren siempre confirmación del usuario).
- Cada vez más bancos ofrecen cuentas y tarjetas virtuales: Lo que nos permite no exponer el número de la tarjeta real, sino uno generado específicamente para un servicio (o para varios), de manera que si se expone ese número, ya sabemos de dónde ha venido el problema. Eso y que incluso hay cada vez más servicios, como ocurre con Apple Pay, que generan tokens de tarjetas únicos para cada transferencia, de manera que aunque nos lo roben, no se podrá utilizar en otro servicio distinto al que fue usado la primera vez.
- No compartas tus datos de tarjeta o documentos de identidad: Ni por email, ni por WhatsApp, ni mucho menos por redes sociales. Si tienes que hacer algún pago y pasarle los datos a una persona (evitaría a toda costa hacerlo así, pero si no hay otra opción…) lo mejor es que se lo digas a viva voz por llamada. Y en todo caso, evitar este sistema de pago.
- Revisar periódicamente los descuentos bancarios: Hay personas que no revisan sus cuentas, y esto es un problema, sobre todo teniendo en cuenta que de cara a un fraude y para recuperar nuestro dinero, el tiempo es crucial.
Con estas medidas minimizamos, considerablemente, el riesgo a ser víctimas del carding.
Y si el mal ya está hecho, ponte en contacto con nosotros para que te podamos asesorar.
En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.
Monitorización y escucha activa
Ponemos nuestras máquinas a escuchar para identificar potenciales fugas de información, campañas de fraude/extorsión y usurpación de identidad que estén en activo, y/o datos expuestos de ti o de tu organización.
Planes de autoridad y Presencia Digital
Ayudamos a organizaciones y particulares a definir la estrategia e implementar acciones digitales que mitiguen los posibles daños reputacionales que pueda sufrir en el futuro.
Gestión de crisis reputacionales
Cuando el mal ya está hecho, establecemos un calendario de acciones para reducir su duración e impacto, y que la organización y/o persona pueda volver a la normalidad lo antes posible.
Pablo F. Iglesias es un empresario e inversor español especializado en la Consultoría de Presencia Digital y Reputación Online, fundador de la agencia de reputación CyberBrainers, de la startup EliminamosContenido, y del sello editorial Ediciones PY. Además, es un reconocido escritor con su saga de ciencia ficción "25+1 Relatos Distópicos" y "Historias Conectadas", y la colección de fantasía épica "Memorias de Árganon". Dedica sus "horas libres" a concienciar sobre las oportunidades y riesgos del entorno digital, ya sea en charlas, talleres, sus escritos en blogs y las colaboraciones con medios de comunicación.