El carding es una práctica ilegal destinada a obtener información financiera y personal de las personas a través de fraude en las tarjetas de crédito. Esta técnica es utilizada por criminales que buscan obtener beneficios económicos sin importar el daño que puedan causar a sus víctimas.
Los carders utilizan diferentes mecanismos para obtener y vender información de tarjetas de crédito. Entre ellos, se encuentran la clonación de tarjetas, el skimming (copiado de datos de tarjetas en cajeros automáticos), la compra de información robada en la dark web, entre otros.
El carding es una práctica muy peligrosa ya que puede llevar a la ruina financiera a las personas afectadas. Además, los carders pueden utilizar la información obtenida para cometer otros delitos, como la usurpación de identidad.
Es importante destacar que el carding es considerado un delito en la mayoría de los países, y puede conllevar penas de cárcel y fuertes multas.
En el momento actual y como consecuencia del incremento de la operativa de la banca online y de las operaciones de comercio electrónico, las tarjetas bancarias se han convertido en un instrumento de pago de uso cotidiano y habitual. Cada vez es más habitual que los ciudadanos paguen con tarjeta en establecimientos incluso para hacer compras de un importe insignificante, una tendencia cada vez más al alza especialmente en grandes ciudades, donde la mayoría de los establecimientos se han acostumbrado a cobrar con tarjeta. Algunos pagan con la tarjeta bancaria vinculada al smartphone o teléfono, otros incluso la tienen vinculada al reloj o smartwatch.
Este desarrollo y crecimiento exponencial en el uso de las tarjetas bancarias ha dado lugar también a un incremento de los intentos de defraudación a través de ellas (carding), ya sea por medio de la clonación de tarjetas, el uso de sus claves por terceros no autorizados o su utilización para realizar compras a través de Internet.
Actualmente estas conductas, relativas al carding, se incluyen en la LO 10/1995, de 23 de noviembre, dentro del apartado C del art. 248.2 del CP. Se sancionan, por tanto, dos conductas: el uso de tarjetas auténticas y el uso de tarjetas clonadas.
Tal y como hemos señalado en apartados anteriores, con la generalización del uso de Internet se ha extendido la posibilidad de llevar a cabo fraudes informáticos, surgiendo cada vez formas más novedosas de fraude para intentar engañar a los usuarios que a su vez tratan de ser más cuidadosos con la información que reciben a través de la red.
En estos casos a su vez hay considerar el hecho de que las claves pueden ser obtenidas directamente por terceros o ser entregadas por el titular de los datos de forma consciente.
Si son obtenidas directamente por terceros nos encontramos con los supuestos en que se accede de forma no autorizada a la máquina, equipo o terminal de la posible víctima del fraude con la intención de obtener por ejemplo sus claves bancarias y realizar posteriormente una disposición patrimonial. Se trata normalmente de spyware —software espía— dentro del cual a su vez podemos citar los troyanos o las bombas lógicas. El troyano se ejecuta cuando se descarga el archivo que lo contiene, la bomba lógica se ejecuta bajo determinadas condiciones, por ejemplo, que se llegue a una determinada fecha.
En el ámbito bancario se está produciendo un gran incremento de los denominados troyanos bancarios que infectan el sistema operativo de nuestro ordenador. Una vez que pinchamos en el enlace se descarga el troyano y normalmente está inactivo hasta que accedemos al portal web de un banco de los que tiene programados, y es en ese momento cuando grabará nuestra contraseña.
En el segundo caso, es el usuario el que proporciona los datos de forma voluntaria, pero sin lógicamente tener conocimiento del destino fraudulento de estos. Estas conductas en la actualidad ven disminuyendo en su frecuencia como consecuencia del progresivo conocimiento de estas por parte de los usuarios de Internet, y normalmente son sustituidas por la utilización de troyanos bancarios, pero todavía se siguen produciéndose.
Las dos modalidades del carding más interesantes son:
- Phishing: esta modalidad de carding se basa en la realización de un envío masivo de correos electrónicos que suelen incluir un enlace a la web de una entidad bancaria. Cuando el usuario pincha en el enlace se despliega un portal web semejante al original de la entidad en el que normalmente —alegando problemas de seguridad— se le solicita que introduzca sus claves para verificación. A partir de ese momento las claves pasan a estar en poder del autor de la defraudación.
- Pharming: es una modalidad del anterior en la cual lo que se hace es infectar los ordenadores de los usuarios, con el fin de que cuando acceden a la web de su entidad bancaria les aparece la página falsa, de forma que al introducir las claves surge en la interfaz un mensaje de error y a partir de ese momento las claves del usuario ya han pasado a manos ajenas.
Como hemos mencionado anteriormente, la tecnología avanza a un ritmo muy acelerado y, es por ello, que es necesario avanzar también en los procedimientos que la rodean. En el caso de haber sido víctimas de un delito de estafa informática, por ejemplo, de un delito de carding deberemos ponernos en contacto con los cuerpos de seguridad del Estado para denunciar los hechos delictivos. Durante ese procedimiento nos acompañaran distintos agentes, tanto policiales como abogados y peritos.
Un elemento imprescindible a tener en cuenta en un proceso judicial es la admisión de la prueba, ya que a partir de la admisión de la prueba podremos probar aquello que estamos denunciando. Así pues, es importante que todas las pruebas con las que contamos, o la gran mayoría, sean admitidas como tal.
La figura del perito informático es imprescindible para que el proceso se lleve a cabo de la mejor manera posible, así como con las mayores garantías posibles para el denunciante.
A través de un perito informático, se podrán encontrar pruebas tomadas directamente de dispositivos móviles, ordenadores, discos duros, tarjetas de memoria, etc., probar su veracidad, o no, así como su admisibilidad, o el análisis de pruebas tecnológicas que confirmen algún elemento clave en la comisión de un delito.
Para más información consulta nuestro apartado de Ciberseguridad.