Carding, ¿Qué es y cómo puedes evitarlo?

El fraude es una pesadilla tanto para los clientes como para los comerciantes. Con noticias constantes de violaciones de datos, los compradores están legítimamente preocupados por la seguridad de sus datos de pago. La idea de que un extraño acumule millas de dólares en deuda mantiene a muchos clientes despiertos por la noche y hace que duden en comprar online.

Los minoristas también se ven perjudicados por las transacciones fraudulentas con tarjetas de crédito. El fraude provoca devoluciones de carga, posible pérdida de productos y daño a la reputación de un comerciante, todo lo cual puede perjudicar en gran medida a una empresa. Y no son solo las pequeñas empresas las que pueden sufrir, incluso los minoristas más grandes pueden verse muy afectados.

Los números de tarjetas robados a menudo se venden a granel a los estafadores que luego los prueban a través de un proceso conocido como carding. El carding puede ser tan dañino como cualquier otro tipo de fraude, y es importante detectarlo y prevenirlo.

Explicamos aquí qué es el carding, cómo funciona, cómo identificarlo y cómo evitarlo.

¿Qué es el Carding?

El carding es un tipo de fraude que utiliza información de tarjetas de crédito robadas para cargar tarjetas prepagas que se venden. Para probar si se puede usar un número de tarjeta robado, los estafadores visitarán sitios web de comercio electrónico e iniciarán múltiples transacciones. Este método se utiliza para probar muchas tarjetas robadas.

Hay varios tipos de carding:

  • Múltiples tarjetas que se usan repetidamente en rápida sucesión por importes bajos o idénticos.
  • Múltiples tarjetas con la misma información (nombre y/o dirección de facturación) desde la misma dirección IP.
  • Una sola tarjeta que se usa repetidamente en rápida sucesión por importes bajos o idénticos.
  • Múltiples tarjetas con diferentes direcciones de facturación pero un BIN (Número de identificación bancaria) idéntico.

¿Cómo funciona?

Aquí hay un escenario típico en un ataque de cardado :

  1. Un estafador obtiene una lista de números de tarjetas de crédito robados, ya sea de un mercado criminal o al comprometer un sitio web o un canal de pago. Su calidad es a menudo desconocida.
  2. El estafador configura un bot para realizar pequeñas compras en varios sitios de pago. Cada intento compara un número de tarjeta con los procesos de pago de un comerciante para identificar detalles de tarjeta válidos.
  3. Intentan la validación de la tarjeta de crédito miles de veces hasta que obtienen con éxito los datos de la tarjeta de crédito validada.
  4. Los números de tarjeta exitosos se organizan en una lista separada y se usan para otras actividades delictivas, o se venden a redes del crimen organizado.
  5. El fraude de tarjetas a menudo pasa desapercibido para el titular de la tarjeta hasta que es demasiado tarde.

El carding es un tipo de fraude con tarjeta de crédito en el que un delincuente roba o utiliza de manera fraudulenta los datos de la tarjeta de crédito para comprar tarjetas de regalo prepagas.

Después de obtener tus datos, los delincuentes prueban la validez de tu tarjeta intentando realizar pequeñas compras en la web. Si eso funciona, el estafador usa tus datos para comprar tarjetas de regalo en lugares como Amazon o Walmart.

Todo el proceso puede tomar solo unos minutos, lo que significa que un estafador puede fugarse con los fondos robados antes de que te des cuenta de lo que sucedió.

A diferencia de otras formas de fraude con tarjetas de crédito, las tarjetas de regalo y prepagas no se pueden rastrear. Entonces, una vez que el estafador ha completado la compra, puede usar las tarjetas de regalo para comprar artículos o venderlos en efectivo.

De los 2,1 millones de informes de fraude en 2020, las tarjetas de crédito fueron el método de pago más utilizado. Pero mientras que las compras en la tienda requieren firmas o PIN, los estafadores pueden usar los datos de la tarjeta de crédito para comprar en línea.

¿Cómo roban los delincuentes los números de tu tarjeta de crédito?

Los delincuentes que se dedican a las tarjetas, comúnmente conocidos como «carders», utilizan varios métodos para obtener números de tarjetas de crédito robados. Pero la estafa más fácil es simplemente comprar los datos de tu tarjeta en la Dark Web.

Debido a la gran cantidad de violaciones de datos en los últimos años, los piratas informáticos en línea pueden acceder fácilmente a la información confidencial y financiera.

Por ejemplo, los detalles de una tarjeta de crédito con un saldo de hasta $1,000 cuestan solo $150 en la Dark Web.

Incluso si los detalles de tu tarjeta de crédito no están disponibles en línea, los carders han desarrollado métodos para obtenerlos.

Hay varias formas en que los delincuentes pueden robar la información de su tarjeta de crédito y usarla para fines de tarjetas. Estos son algunos de esos métodos.

Malware

Malware, abreviatura de software malicioso, es un programa que ayuda a los ciber ladrones a obtener acceso a la cuenta o dispositivo de alguien, generalmente sin el conocimiento del usuario. Una vez que se instala el malware, se ejecuta en segundo plano y puede registrar pulsaciones de teclas, monitorizar los programas que usas y recopilar información personal, como números de tarjetas de crédito y contraseñas de cuentas.

Suplantación de identidad

El phishing ocurre cuando un estafador intenta engañarte para que compartas información personal, como un número de Seguro Social o una contraseña de cuenta de tarjeta de crédito. Los ladrones pueden usar casi cualquier medio en un ataque de phishing: correos electrónicos, llamadas telefónicas, mensajes de texto, mensajes directos de redes sociales y correo postal. El estafador por lo general finge representar a una fuente confiable, como tu banco, y afirma que hay algún problema con tu cuenta. Una vez que hayas proporcionado tu información personal, el estafador puede usarla para fines de tarjetas.

Foros de carding

Un foro de tarjetas es un sitio web ilegal donde los delincuentes pueden comprar y vender números de tarjetas de crédito robados. También comparten métodos para robar detalles financieros y pueden probar la información de la tarjeta robada en estos foros. Los foros de carding a menudo están ocultos en la web oscura, que es una parte de Internet a la que no se puede acceder con los navegadores web normales y que no está indexada por los motores de búsqueda.

Robo de tarjetas de crédito

Un skimmer de tarjetas de crédito es un dispositivo pequeño y difícil de detectar que los ladrones pueden instalar encima de un lector de tarjetas de crédito legítimo, como en el surtidor de una gasolinera. A medida que deslizas tu tarjeta de crédito o débito en una máquina comprometida, el lector de tarjetas lee y almacena la información de tu tarjeta. Un ladrón puede usar los datos de tu tarjeta de crédito para realizar estafas.

¿Crees que te robaron su tarjeta de crédito? Revisa las señales de advertencia

Las estafas con tarjetas son cada vez mas comunes. Es importante que te mantengas diligente para protegerte contra el fraude de tarjetas de crédito y de identidad.

El mejor lugar para comenzar es reconociendo las banderas rojas de que has sido victima de carding.

Hay algunas señales reveladoras de que un delincuente está intentando o ya ha obtenido tu información financiera, como:

  • Mensajes entrantes o llamadas de fuentes desconocidas. Ten cuidado si alguien que no reconoces tiene tu información privada. No hagas clic en enlaces, descargues archivos ni respondas a mensajes. Si es una llamada telefónica, cuelga y contacta con tu banco a través de los canales oficiales.
  • Errores de sitios web no profesionales. Las instituciones financieras tienen sitios web bien pulidos. Estate atento si observas fallas de diseño, errores ortográficos, navegación torpe o enlaces que no conducen a ninguna parte.
  • Comportamiento extraño del dispositivo. Los cambios arrepentidos en el comportamiento de tu computadora o teléfono son señales de alerta importantes. Sospecha si tu dispositivo es ciertamente más lento, más caliente o más ruidoso. Además, los iconos o animaciones nuevos y extraños pueden indicar la presencia de malware.
  • Transacciones misteriosas. Revisa el informe de tu tarjeta de crédito al menos una vez al mes. Si ves transacciones inusuales o no autorizadas, los detalles de tu tarjeta de crédito pueden estar en manos de delincuentes.
  • Alerta de saldo. La compañía de tu tarjeta de crédito puede emitir alertas una vez que su saldo alcance cierto límite. Si no has realizado compras grandes recientemente pero tu saldo cambia significativamente, podría ser una tarjeta.
  • Nuevas tarjetas de crédito o prestamos. Revisa tu informe de crédito de las tres grandes cooperativas de crédito (Experian, TransUnion y Equifax). Si se han abierto nuevos préstamos o tarjetas de crédito a tu nombre, es probable que alguien haya robado la información de tu tarjeta de crédito.

Es esencial estar atento a las señales de advertencia anteriores. Sin embargo, existen algunas estrategias más proactivas para ayudar a reducir las posibilidades de robo de tarjetas.

Formas de detectar y prevenir la actividad de carding

El mejor enfoque para detectar y prevenir el uso de tarjetas es implementar un proceso de revisión de pago de varias partes. Cada capa coloca otro obstáculo frente a cualquier posible actividad de carding y ayuda a proteger tu tienda en línea para que no sea atacada. Las capas de este sistema trabajan juntas para detectar y prevenir el uso de tarjetas mediante la comparación de datos y la ralentización de las actividades del estafador.

Usa un CAPTCHA

El objetivo principal de un CAPTCHA es evitar que los intentos de pago se envíen mediante un script automatizado, ya que se requiere una intervención humana para resolver el CAPTCHA. Al obligar a los estafadores potenciales a hacer sus tarjetas manualmente, haces que tu tienda en línea sea un objetivo menos atractivo para la actividad de tarjetas.

Es importante tener en cuenta que agregar una validación de Captcha a tu proceso de pago tendrá un impacto negativo en tu tasa de conversión, ya que agregará fricción a tu flujo de pago y no es un elemento común del pago de una tienda en línea.

Utiliza el Sistema de verificación de direcciones (AVS)

El sistema de verificación de direcciones compara las direcciones de facturación mostradas al finalizar la compra con la dirección que la compañía de la tarjeta de crédito tiene registrada para el cliente. Los resultados de esta comparación se te envían inmediatamente. Las respuestas comunes de AVS son:

Y (coincidencia completa)
A (solo coincide la dirección)
Z (solo coincidencia de código postal)
N (ninguna coincidencia)

Si se configura correctamente, tu pasarela de pago puede detener las transacciones con una respuesta de N si la tarjeta ha sido reportada como perdida o robada. Para cualquier otra variación, deberás usar filtros de fraude para validar estos datos y decidir aceptar o rechazar transacciones a tu discreción.

AVS está activo en los Estados Unidos, Canadá y el Reino Unido. Las tarjetas emitidas desde países sin soporte AVS pueden devolver estas respuestas:

U (AVS no compatible)
S (AVS no disponible)
G (tarjeta mundial)

Dado que AVS no está presente en todos los países, debes respaldarlo con otras formas de detección de fraude.

Realiza verificaciones de geolocalización de IP

Una dirección IP marca la ubicación de la computadora de un usuario de Internet. Una verificación de geolocalización de IP compara la dirección IP del usuario con la dirección de facturación que ingresan en tu página de pago. Si las observaciones no coinciden, es probable que el usuario no esté comprando desde la misma dirección que el propietario de la tarjeta de crédito, un posible indicador de fraude.

Una verificación de geolocalización de IP falla no siempre significa que una transacción es fraudulenta. También debes verificar si el usuario está visitando tu sitio web a través de una dirección IP de proxy, que se utiliza para hacer que los usuarios de Internet aparezcan desde una ubicación falsa. Es cierto que algunos estafadores usan proxies para ocultar sus pistas, pero su uso también es común entre la gente normal que simplemente quiere privacidad adicional.

También es posible que el usuario haya realizado su pedido mientras viajaba, por lo que su dirección IP es diferente de su información de facturación, pero nunca debes asumir que este es el caso. Una discrepancia de geolocalización de IP siempre justifica una mirada más cercana, y es posible que descubras instantáneamente otras señales de alerta.

Compara los números de identificación bancaria de las tarjetas

El BIN proporciona información sobre el tipo de tarjeta de crédito y el nombre y ubicación del banco emisor. Aparece como los primeros seis dígitos de cada número de tarjeta de crédito y débito. Dado que el BIN identifica el tipo de tarjeta (Visa, MasterCard, American Express o Discover) y el banco que la emitió, puedes identificar tarjetas que provienen todas de la misma fuente.

Esta información puede ser vital para detectar intentos de carding. Normalmente, deberías ver con poca frecuencia números de tarjeta con el mismo BIN, tal vez dos al mes. Si de repente recibes varias transacciones dentro de uno o dos días, todas relacionadas con el mismo BIN, esto es una señal de que tu tienda en línea está siendo atacada para un intento de carding utilizando una gran cantidad de números de tarjetas compradas en línea y /o que se originan a partir de una violación de datos. El seguimiento de BIN puede ayudar a detectar este tipo de actividad.

Comprobaciones de velocidad

La velocidad se refiere al número o la velocidad de las transacciones intentadas dentro de un cierto período de tiempo, por ejemplo, varios pagos del mismo visitante realizados en segundos o minutos entre sí. Es muy inusual que un usuario realice múltiples pagos en rápida sucesión, especialmente si las transacciones están tan juntas que serían difíciles para un ser humano realizarlas.

Es muy importante monitorizar la velocidad y se puede hacer por importe en dólares, dirección IP del usuario, dirección de facturación, BIN o dispositivo. En cada caso, se verifica el número y la velocidad de las transacciones idénticas en cierta forma. Por ejemplo, los controles de velocidad por importe en dólares identificarán una serie rápida de transacciones, todas por el mismo importe exacto, lo cual es un signo frecuente de carding.

Autorización/Captura

La autorización/captura es un método para aceptar pagos con tarjeta de crédito en el que primero se autoriza la tarjeta para una compra y los fondos se capturan más tarde. A menudo se usa para situaciones como autorizar la tarjeta de un cliente para el pago de un importe determinado, mientras que el importe exacto del cargo aún no se ha determinado. Una vez que el proveedor alcanza el importe exacto del pago, los fondos se capturan de la tarjeta del cliente hasta, pero sin exceder, el importe de la autorización.

Si usas el método de autorización/captura en tu tienda en línea, puedes tomarte el tiempo para revisar las transacciones durante el período de autorización. Si crees que estás siendo atacado por tarjetas, no captures los fondos. En caso de haberlos capturado, se recomienda encarecidamente emitir un reembolso rápidamente en lugar de esperar una devolución del cargo por parte del cliente.

3D-Secure

3D-Secure (3 Domain Secure) implementa tecnología para trasladar la carga de la prevención del fraude del comerciante al proveedor de pago. Las transacciones y la identidad de un cliente se verifican a través de un sistema que utiliza una gran cantidad de información para determinar si un pago es fraudulento o válido, mientras mantiene la experiencia de pago del cliente lo más fluida posible.

3D-Secure funciona en segundo plano, transfiriendo datos entre el comerciante en línea y el proveedor de la tarjeta de crédito del cliente. Los datos transferidos cubren múltiples aspectos del historial de compras del cliente que pueden ayudar a verificar su identidad, como el dispositivo que está usando, sus patrones de gasto y más. Cuantos más datos se transfieran, más segura será la identificación, lo que dará como resultado una disminución del fraude y menos falsos positivos.

Cómo comenzar a filtrar transacciones fraudulentas

La solución más rápida y sencilla para identificar y prevenir el uso de tarjetas y otras transacciones fraudulentas en tu tienda en línea es utilizar una solución de filtro de fraude. Existen múltiples soluciones en el mercado que revisan automáticamente las transacciones en varias de las formas anteriores. La información recopilada se analiza y se le devuelve, lo que le permite decidir si acepta o no pedidos posibles riesgosos.

Cómo funcionan los filtros de fraude

Utilizando múltiples fuentes de información para ayudar a determinar el riesgo potencial de fraude de cualquier transacción. Su carrito de compras ya está recopilando datos que incluyen, entre otros:

  • Dirección IP del usuario
  • Información de facturación y envío del usuario
  • Información de pago del usuario
  • Respuesta AVS de vuelta para una transacción

Esta información se puede usar para compararla con los parámetros que definen, como los importes de los pedidos, la cantidad de artículos, etc. para configurar reglas de filtrado que realizarán automáticamente las acciones que elijan cuando se reciba un nuevo pedido.

Por ejemplo, puedes realizar tu propia validación de geolocalización comparando la dirección IP y la dirección de facturación de un comprador, tomar nota de las inconsistencias enumeradas por la respuesta de AVS y más. A continuación, puedes designar acciones que se realizarán automáticamente cuando apareció un pedido que coincidió con los criterios que has enumerado.

Con la mayoría de las soluciones antifraude, puedes utilizar los criterios que establecer para aceptar, rechazar o marcar automáticamente los pedidos para su revisión manual si se detectan incoherencias en los datos del pedido. O bien, puedes crear reglas que marquen cada pedido realizado por cualquier cliente cuya dirección de facturación no coincida con la dirección IP de su computadora o dispositivo. Del mismo modo, puedes marcar automáticamente todos los pedidos de alto valor realizados por un cliente nuevo. Todos estos pedidos aparecerán para que los verifiques manualmente, permitiéndote aceptarlos o rechazarlos caso por caso.

Con Velocity Checks, puedes configurar una cantidad máxima de intentos de pago por usuario, lo que evita más intentos después de alcanzar el límite designado. Esta es un arma poderosa contra las tarjetas, ya que evita un gran número de transacciones sucesivas, una táctica de primera para las tarjetas.

Conclusión

Hay más amenazas a tus finanzas e identidad que nunca.

Pero a pesar de la creciente amenaza, es difícil para las fuerzas del orden rastrear a los cardadores, y mucho menos recuperar los fondos robados.

La batalla contra el fraude es interminable, pero herramientas como FraudWatch, NoFraud, Kount y Siftscience te brindan una forma rápida y confiable de recopilar toda la información pertinente que puede ayudar a juzgar si una transacción presenta una amenaza o no. Con reglas altamente configurables y numerosos puntos de recopilación de datos, una solución antifraude es imprescindible para cualquier propietario de una tienda en línea que busque protegerse a sí mismo ya sus clientes de los intentos de carding y de toda actividad fraudulenta.

A medida que se fortalece el cibercrimen, también lo hacen los métodos de ciberseguridad. No podemos aceptar las tarjetas y el fraude en línea como “el coste del negocio”. Tenemos que seguir luchando y eliminar tanto como sea posible del panorama del comercio electrónico.