Protéjase del carding y el phishing en época de fiestas

Español | December 30, 2024 | 5 min read

Protéjase del carding y el phishing en época de fiestas

En esta temporada de fin de año todo se dispara hasta los ataques cibernéticos a las personas del común y empresas.Cuídese especialmente del phishing y del carding, ¡le cuento cómo!

Hace poco me llegó un correo que decía: “Demanda por falsificación de documentos”. Antes de entrar en pánico, primero me resultó extraño, ya que a conciencia pura no recordaba haber hecho algo así en mi vida. Esto me decía a gritos que era un intento de phishing. 

En el correo había un archivo adjunto que solo podía ver desde el computador. Ante la extrañeza del correo (pues decidí no abrirlo), demás está decir que se encendieron mis alarmas de phishing. Consulté primero el remitente, que en efecto era un correo no oficial.

El remitente era Rolando Botia de Gmail (rolandobotia23@gmail.com). Luego me dirigí a la página de la Rama Judicial del mi país para verificar el proceso. En efecto, no existía ningún proceso a mi nombre y menos con las referencias que mencionaron en el correo.

Lo que sí me enviaban allí era una clave para abrir el archivo adjunto: 4520. En este punto el intento de phishing ya estaba confirmado para mí.  Pero para que a usted no le pase, le comparto un pantallazo del correo del phishing, así puede aprender a identificarlos.

Estos correos electrónicos, pretendiendo ser un banco o una institución gubernamental, en los que se invita a descargar, hacer click en algún link o ingresar un código, suelen ser de tipo malicioso, y hacen parte de una de las tretas más utilizadas para estafar a los usuarios online.

Contenido relacionado: Microsoft: la nueva víctima de los hackers rusos y la inteligencia rusa  

Hablamos de un tipo de ataque que además está especializándose. En el mundo, el 41 % de los ataques son iniciados por phishing el cual se usa para el robo de datos personales. Ahora, ¿qué tal que hubiera hecho caso de ese correo?

Algunos posibles escenarios que se habrían podido desencadenar son: una posible suplantación, robo de datos, claves y credenciales e incluso podrían haberme extorsionado.

Pero a través de este tipo de phishing también habrían podido obtener suficiente información como para lograr ejecutar lo que se conoce como carding.

¿Qué es el carding?

Antes de continuar, primero quiero contarle que el carding es un tipo de fraude en el que los delincuentes roban o usan la información que obtienen de las tarjetas de crédito para realizar compras fraudulentas.

En Latinoamérica, el carding se está convirtiendo en un tipo de robo cada vez más frecuente. Al menos, entre el 2019 y 2022, América Latina tuvo las tasas de fraude más altas del mundo con tarjetas, según datos recopilados en Techopedia.

Usualmente, los robos de tarjetas o el carding se pueden dar a través de los siguientes métodos:

– Phishing (por SMS o correos electrónicos)

– Malware

– Clonación de tarjetas o skimming

– Conexiones a Wi-Fi público

– Software espía

– Filtración de datos

–  Ataques BIN: se dicen que se ejecutan ataque ‘bineros’ cuando los ciberdelincuentes generan y prueban miles de combinaciones posibles para descifrar números de tarjetas de crédito.

Ellos identifican el número BIN del banco, tras generar las combinaciones con un software especializado. Posteriormente prueban los números en marketplaces y se quedan con los números que funcionaron para robar o realizar actividades fraudulentas. 

– Robo por RFID: el RFID es una tecnología de ondas de radiofrecuencia que sirve para identificar objetos. De esta manera pueden acercar esta tecnología a una tarjeta, que se encuentre en una cartera o mochila, y clonarla, como se explica en el blog de gift campaign.

En época de fiestas, vacaciones y de fin de año, las personas podrían ser más vulnerables ante este tipo de ataques. Por ello, quiero dejarle algunas recomendaciones para evitar ser estafado y para que le dé un uso seguro a sus tarjetas de crédito.

Contenido relacionado: ¡Cuidado!, las estafas online con el SOAT continúan en Colombia (Parte 1)  

Empecemos con recomendaciones para las empresas:

  1. Implemente el CAPTCHA en las transacciones en línea para evitar que los bots realicen compras fraudulentas.

  2. Verifique las direcciones (AVS): se pueden usar sistemas de verificación de direcciones para asegurarse de que la dirección de facturación coincide con la registrada.

  3. Use la geolocalización de IP: otra opción es realizar verificaciones de la ubicación IP del comprador para detectar transacciones sospechosas.

  4. Compare los números de identificación bancaria: también se recomienda comparar los números de identificación bancaria de las tarjetas para detectar posibles fraudes.

  5. Use la autorización 3D-Secure: una última recomendación sería el usar sistemas adicionales de autorización como 3D-Secure para añadir una capa extra de seguridad.

Contenido relacionado: Cómo implementar un modelo de seguridad Zero Trust en su organización  

Continuemos con las recomendaciones para las personas del común:

1. Cuídese de las ofertas que suenan demasiado buenas para ser verdad

Ante descuentos exagerados, ofertas de último minuto que apelan a la urgencia o una súperganga, desconfíe y verifique la legitimidad del sitio web.

2. Use métodos de pago seguros

Es mejor usar tarjetas de crédito o débito en lugar de recurrir a las transferencias bancarias directas. También se recomienda revisar cuáles son las plataformas de pago confiables, ya que estas suelen ofrecer protección al comprador.

3. No comparta tu información personal 

Esto es básico, todos lo sabemos. Evitar compartir la información personal como el número de teléfono, dirección o detalles bancarios a través de correos electrónicos o mensajes de texto sigue siendo la regla.

4. Use la autenticación de dos factores

Activa la autenticación de dos factores en tus cuentas bancarias y de correo electrónico, para añadir una capa extra de seguridad.

5. Pilas con los enlaces o archivos adjuntos ¡Sospeche!

Recuerde la historia que le conté al principio de este blog. Hay que desconfiar de los correos electrónicos y de los mensajes de texto. Sobre todo si vienen con un enlace o archivo que no esperaba recibir. De entrada ya sabe que no debe abrirlo o hacer click.

6. Compre en sitios web legítimos

Ingrese directamente al sitio web oficial de la tienda en la que va a comprar y no a través de enlaces proporcionados por medio de correos electrónicos o SMS.

7. Ojo con las compras en los Marketplace

Antes de comprar en un Marketplace (en la web o en una app) observe, verifique el historial y las reseñas del vendedor antes de realizar la compra.

8. Actualícese e infórmese sobre las modalidades de estafa

Estar actualizado sobre las tácticas comunes que utilizan los ciberdelincuentes para estafar a las personas y mantenerse alerta, es ahora obligatorio.

9. Revise con regularidad sus estados de cuenta

Monitoree de manera frecuente sus cuentas bancarias y tarjetas de crédito para detectar cualquier actividad inusual o fraudulenta. Esto le permitirá detectar posibles compras hormiga, por ejemplo, las que se realizan en medio de un posible ataque BIN. 

Tenga a mano estas recomendaciones siempre, ya que, si bien son útiles en tiempos de fiestas pues solemos estar más distraídos, los robos cibernéticos y de carding se siguen presentando a diario y en el día a día.

Manténgase alerta y cuide sus datos y recursos.

Fuentes consultadas:

1. Xataka. Carding: qué es esta popular ciberestafa y cómo evitarla  

2. Seon ¿Qué es el carding?

3. Ciberseguridad. Carding, ¿Qué es y cómo puedes evitarlo?   

Tags : autenticacion multifactor / blog / carding / desktop central / falsificacion de documentos / malware / ManageEngine / manageengine blog / MFA / Phishing / phishing diciembre / proteccion de tarjetas / proteccion en epocas decembrinas / software espia
Lucía Jiménez Riveros