Las compras online cada vez son más habituales. La frenética vida que llevamos ha hecho que muchos nos rindamos ante la comodidad de comprar desde nuestro hogar y recibir nuestra compra en casa en pocos días o incluso horas. Algo que hace pocos años generaba rechazo o incluso miedo se ha convertido en el día a día de muchas personas y empresas. Y, como no podía ser de otra forma, los ciberdelincuentes están también ahí para aprovecharse de ello.
La posibilidad de que nuestros datos bancarios sean robados nos afecta principalmente como clientes de otros comercios electrónicos, pero el hecho de que sea nuestro negocio el puente para un fraude también debería preocuparnos. Además de poder significar la pérdida de un producto y, por consiguiente, de la cuantía económica que eso implique, una estafa a través de nuestra web puede conllevar un gran impacto reputacional para nuestra empresa.
En ocasiones, los ciberdelincuentes utilizan datos de tarjetas robadas para hacer compras no legítimas. Para probar que esos datos robados son válidos, realizan pequeñas compras en comercios electrónicos hasta que dan con las que funcionan. A esta técnica se le llama carding.
¿Cómo funciona el carding?
En primer lugar, el ciberdelincuente obtiene un listado de tarjetas de crédito robadas. Para probar que los datos robados son verdaderos, el ciberdelincuente se ayuda de bots que realizan pequeñas compras en comercios electrónicos de forma repetida hasta dar con tarjetas válidas. Este tipo de transacciones, al tratarse de cantidades pequeñas, suelen pasar desapercibidas para el titular de la tarjeta hasta que se comete una compra mayor, que suele ser el objetivo del fraude.
Cuando los carders dan con datos válidos, los organizan en listas aparte para posteriormente venderlos o realizar compras fraudulentas, como hemos dicho, de gran valor.
Pero, ¿cómo consiguen los datos de las tarjetas los ciberdelincuentes?
Una forma muy común de obtener estos listados de tarjetas de crédito es a través de la Dark Web, una parte «invisible» de Internet a la que no se puede acceder a través de los navegadores normales y en la que se realizan diferentes actos delictivos, como la compra y venta de bienes y servicios ilegales, entre ellos los números de tarjetas de crédito.
Los ciberdelincuentes también utilizan algunas técnicas, que ya nos resultan conocidas, para robar nuestras tarjetas de crédito. Por ejemplo, mediante un keylogger pueden registrar las pulsaciones de nuestro teclado y recopilar la información de nuestras tarjetas de crédito. Y, por supuesto, a través del phishing, consiguen engañar a sus víctimas para que les proporcionen estos datos. Otra técnica de robo de tarjetas es el uso de un skimmer, un pequeño dispositivo que se instala en los lectores de tarjetas bancarias y que roba la información cuando lo usamos.
¿Qué podemos hacer para prevenir que se realice esta actividad en nuestro negocio online?
Existen varias formas de prevenir estos ataques, y cuantas más barreras de protección pongamos, más seguro será nuestro negocio.
¿Alguna vez te has encontrado con un recuadro de «No soy un robot» o «Seleccione los pasos de peatones»? Pues bien, se trata de un CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) y, si alguna vez habías cuestionado su utilidad, ahora sabes por qué se usan. Generalmente, los bots que utilizan los carders no son capaces de pasar esta barrera de protección, evitando así que hagan sus pruebas en nuestro comercio electrónico.
Además, es importante contar con una pasarela segura de pago, ya que añade una capa extra de protección que implica la autenticación por parte del cliente para prevenir el fraude y hacer la compra más segura.
También se pueden detectar comportamientos sospechosos en las compras que pueden indicar que se está realizando carding. Por ejemplo, si un cliente realiza varias compras en pocos minutos o segundos o si la dirección de facturación y la de la IP desde la que se está realizando la compra no coinciden.
Preocuparnos de la seguridad de nuestra empresa es un instinto primario, pero no debemos olvidar que nuestro comercio online también debe ser seguro y confiable para nuestros clientes, que son esenciales para el éxito de nuestra organización.
Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o el formulario de contacto (seleccionando la opción de usuario de empresa o profesional) que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.
Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation EU).