La Benemérita tuvo conocimiento de los hechos a raíz de una denuncia presentada en el mes de agosto de 2024 en dependencias del Puesto Principal de la Guardia Civil de San Bartolomé de Lanzarote. En la misma, el denunciante informaba que había detectado en su cuenta bancaria hasta 63 cargos no autorizados con su tarjeta bancaria, ascendiendo todas las compras a un importe de 5.018 euros.

El Equipo Arroba de Lanzarote, dentro de las labores encomendadas en el ejercicio de sus funciones específicas en materia de lucha contra la Ciberdelincuencia, recabó todos los datos sobre los hechos ocurridos y realizó las indagaciones policiales oportunas, identificando a la supuesta autora de los hechos, siendo la misma una ciudadana residente en la misma isla de Lanzarote.

Para la localización de la autora de los cargos fraudulentos fueron necesarias técnicas de investigación encaminadas a la detección del fraude tecnológico en Internet, motivo por el cual se interesó la rápida actuación del equipo especializado de la Guardia Civil. En este tipo de ataques, los ciberdelincuentes utilizan la información de tarjetas robadas, extraviadas o a las cuales tienen acceso por cualquier razón, siendo las brechas de seguridad en la Red una de las principales fuentes de información de los estafadores.

Consejos de seguridad. ¿Qué es el CARDING?

El carding es un tipo de fraude que utiliza información de tarjetas de crédito/débito robadas, para utilizarlas de manera fraudulenta en la compra on line o suscripciones en plataformas virtuales. Los datos que se sustraen son los relativos a dichas tarjetas, de ahí la terminología de “carding” (card: tarjeta en inglés). Los ciberdelincuentes utilizan distintas técnicas para obtener los datos de las tarjetas de las víctimas. A continuación, enumeramos algunas de las más habituales:

- Usuarios víctimas de fraudes como: phishing, smishing, vishing o shoulder surfing.

- Distribución de malware, como Keyloggers, capaces de capturas las pulsaciones del teclado.

- Base de datos de clientes/usuarios de sitios webs cuya seguridad haya sido vulnerada, y que están publicadas en Internet.

- Webs fraudulentas en las que los usuarios hayan introducido sus datos bancarios.

- Clonado de tarjetas bancarias a las cuales tienen acceso por trabajo, relación de amistad, etc.

- Empleo de lectores con comunicación inalámbrica RFID o NFC capaces de obtener los datos de la tarjeta. Se acercan a la tarjeta de la víctima a una distancia inferior a los 15 centímetros y en cuestión de segundos, se guardan los datos.

Una vez obtenidos los datos de la tarjeta, los ciberdelincuentes proceden a realizar compras para verificar que la información que han replicado en una tarjeta virtual es válida. Generalmente comienzan realizando compras de productos o servicios que tengan un importe bajo, evitando de esta manera en muchos casos los dobles sistemas de autenticación y los irán aumentando para así tratar de determinar el saldo disponible de la tarjeta y/o las operaciones.

Si el anterior paso se realizó con éxito, los estafadores habrán verificado tanto los detalles de la tarjeta como la calidad de la información de la cuenta robada para determinar su valor.

Hay que tener en cuenta que, por lo general, el carding aumenta en los periodos de las principales campañas comerciales, aprovechando la sobrecarga de transacciones debido a las compras, por lo que hay que prestar especial atención en estas fechas para evitar ser víctimas de cargos fraudulentos ajenos a la voluntad del titular.

Un ejemplo de caso real de carding y con bastante repercusión en España fue la operación “Proxy”, en la que los miembros de la red estafadora residentes en diversos países repartidos por el mundo, revendían los productos obtenidos de forma fraudulenta a precios inferiores a los estipulados en el mercado.