Aunque la sociedad vive rodeada de advertencias para comprar con tarjeta de crédito de forma segura y a pesar de las recientes medidas de seguridad basadas en la autenticación reforzada, las informaciones sobre fraudes basados en el uso ilícito de tarjetas siguen siendo el pan de cada día. Un auténtico problema que se llama, así en general, carding.

Ahora que se cumplen aproximadamente diez años del “descubrimiento” de TCF (Tor Carding Forum) en la web profunda, el primer y principal mercado de carding del mundo, vale la pena recordar qué es el carding, qué riesgos acarrea al usuario de tarjeta de crédito y algunas buenas prácticas para evitarlo.

El carding, ¿en qué consiste?

Si bien en líneas generales se usa el término para referirse a cualquier actividad fraudulenta de robo, duplicación o tráfico tanto de las tarjetas físicas como (sobre todo) de los datos de la propia tarjeta y de su usuario legítimo, el carding remite en realidad a una amplia y variada serie de actividades y técnicas distintas de estafa.

Estas técnicas se adaptan a los distintos usos y métodos de pago con tarjeta que van apareciendo, desde la simple extracción en cajero automático a la tarjeta virtual integrada en el teléfono inteligente para pagos inalámbricos, pasando, por supuesto, por el pago online y el pago telefónico con tarjeta.

Mediante estas técnicas que señala el Banco de España (y entre las que podríamos destacar, por su relación con el pago telefónico con tarjeta y a la que ya hemos dedicado algunas líneas, el vishing), los estafadores se hacen con los datos necesarios para suplantar la identidad del usuario, y suelen vender dichos datos a otros delincuentes.

¿Cuáles son los riesgos del carding para la víctima?

Con el auge de la compra online, lo más habitual es el uso fraudulento de la tarjeta para hacer pequeños pagos o retiradas de efectivo de forma reiterada por debajo del umbral de seguridad que pueden pasar desapercibidos al usuario, sobre todo en épocas de gran actividad comercial.

Pero también podríamos hablar de casos más dramáticos en los que los usuarios particulares y con mayor frecuencia las empresas pierden totalmente el control de sus datos financieros y, lo que es peor, sufren chantajes cuando sus recursos económicos se ven comprometidos en manos de los ladrones, sea una cuenta bancaria, una lista de datos de clientes, un software de contabilidad, etc.

Pero probablemente lo más pernicioso para el usuario es que su tarjeta duplicada o sus datos bancarios han entrado en un amplio circuito comercial delictivo; se venden y se compran, y pueden pasar por muchas manos, y quién sabe por cuáles, antes de que el riesgo pueda ser neutralizado.

¿Cómo evitar el carding?

Como explican desde la OCU, aunque el consumidor está relativamente protegido, debemos ser precavidos, mantener los ojos abiertos y evitar conductas de riesgo en función del medio y el canal de pago que utilicemos; en una retirada de efectivo o en un pago en TPV, por ejemplo, el riesgo es el skimming o la duplicación. En una compra online, el spoofing.

En cuanto al pago con tarjeta por teléfono, que es lo que interesa aquí, la ley de oro para prevenir problemas la da de nuevo el Banco de España; citamos: “No facilites los datos de tu tarjeta si no conoces la identidad de quién te los pide”.

¿Ni siquiera a un operador humano en una transacción “normal”? Ni siquiera; ya en los años ochenta, en la prehistoria del carding, los “caballos de troya” eran la mayor fuente de datos para las actividades fraudulentas. La tecnología IVR con operador automático de empresas como PaybyCall está ahí precisamente para solventar ese problema en las transacciones con tarjeta por teléfono.