Así es el 'carding', la estafa de mayor auge en internet

Algunas de las vías de sustracción más usuales son el 'phishing', el 'smishing' o el 'shoulder surfing', acepciones que todo el mundo debería conocer para evitar sustos. El 'phishing' consiste en la suplantación de la página web de una empresa o entidad financiera con el fin de engañar al usuario y conseguir sus datos personales o bancarios. El 'smishing' persigue el mismo objetivo, aunque a través de mensajes de texto fraudulentos como los que muchos españoles reciben a diario, supuestamente provenientes de Correos (a razón de un falso paquete pendiente del pago por aduanas), Netflix o similares.

El caso del 'shoulder surfing' es más curioso por su simpleza: se da cuando alguien mira disimuladamente a la pantalla de nuestros dispositivos para reparar en sus códigos de desbloqueo, la contraseña que utilizamos en determinados sitios web, nuestro número de teléfono... Como bien señala la OSI, «ninguno de nosotros llega a ser consciente cuando viajamos en metro, en el autobús o en tren de que, quien se sienta a nuestro lado o se encuentra muy próximo a nosotros, puede estar observando nuestros movimientos en el dispositivo con intenciones maliciosas». Esta forma casera de espionaje también se ha detectado en el sector corporativo, por lo que nunca está de más proteger nuestro equipo informático con contraseña, de forma que nadie pueda manejarlo mientras nos ausentamos del puesto de trabajo.

Otra técnica que los cacos utilizan para conseguir nuestro número de tarjeta es la distribución de virus ('malware'). Más concretamente los llamados 'keyloggers', programas diseñados para detectar qué teclas pulsamos al iniciar sesión en una tienda online o la página de nuestro banco. Esto permite al atacante acceder en nuestro nombre y consultar todos los datos almacenados en dicha web, tarjeta de crédito incluida.

También puede que dicha información provenga de brechas de seguridad, esto es, que los servidores de una empresa hayan sido vulnerados y nuestras credenciales acaben vendiéndose al mejor postor en la red de redes. Esto último ocurre más de lo que nos gustaría: no hay semana que alguna compañía no envíe correos electrónicos a sus clientes pidiendo que cambien su contraseña, fruto de un ataque.

Menos probable, aunque también ocurre, es que los delincuentes obtengan los datos de nuestra tarjeta utilizando un lector de comunicación inalámbrica RFID o NFC. Tan sólo necesitan acercarse a unos 15 centímetros de la víctima para capturar la información que necesitan en cuestión de segundos.

Los ciberdelincuentes operan con la mayor velocidad posible. Al fin y al cabo, la víctima no tardará mucho en detectar que alguien está haciendo uso de su tarjeta. Lo más habitual es que realicen compras de importes bajos, que no llamen mucho la atención, para comprobar que los datos que tienen en su poder son correctos.

Con los días, las compras van incrementándose en valor para determinar el saldo diario disponible; así hasta agotar la cuantía de la cuenta corriente asociada.

Para no llegar a ese extremo, la OSI recomienda estar muy atento al extracto bancario. Especialmente durante los periodos de mayor actividad comercial (rebajas, vacaciones, Navidad, Black Friday...), cuando resulta fácil pasar por alto la presencia de cargos sospechosos.

Los expertos de la OSI han ofrecido los siguientes consejos para protegernos si alguien intenta vaciarnos la cuenta:

• Ignorar todos los mensajes o correos electrónicos detectados como 'spam' o que resulten sospechosos. Si no estábamos esperando un paquete, no hay forma de que alguien intente cobrarnos por 'un imprevisto' con el envío, por ejemplo.

• Desactivar el sistema NFC de nuestro móvil mientras no lo estemos usando y utilizar una cartera con protector antirrobo de tarjetas.

• No proporcionar información personal a páginas web sospechosas; mucho menos comprar online si no es en tiendas de confianza, que usen una pasarela de pagos y acepten métodos de pago seguro.

• A la hora de comprar por Internet, mejor utilizar tarjetas virtuales proporcionadas por nuestro banco.

• Desactivar los pagos con el móvil si no los utilizamos. En caso contrario, supeditarlos a una confirmación con código PIN para más seguridad.

• Bajo ningún concepto facilitar datos bancarios por teléfono.

• No realizar compras por Internet a través de ordenadores públicos (en colegios, cafeterías, bibliotecas...).

• Mantener actualizado el sistema operativo y las aplicaciones de nuestro móvil para asegurarnos de tener instalados los últimos parches de seguridad.

• Activar la autenticación de doble factor para los pagos con tarjeta y desconfiar de cualquier correo que nos pida nombres de usuario, contraseñas o numeraciones de tarjeta.

En caso de duda o problema, el consejo siempre será notificarlo al banco para que tome medidas lo antes posible, además de interponer la pertinente denuncia ante los Cuerpos y Fuerzas de Seguridad del Estado.