Carding: nueva técnica de ciberfraude

Carding: nueva técnica de ciberfraude

El Carding es una ciberestafa consistente en acceder ilegalmente a la información de una tarjeta bancaria

El Carding es una modalidad de fraude virtual, en el que se usa información de tarjetas robadas para cargar compras de tarjetas de prepago o de otro tipo de artículos en distintos comercios online. El ciberdelincuente primero tiene que robar los datos de tu tarjeta de crédito y, para eso, puede utilizar distintos métodos. Una vez consigue la tarjeta realizan distintas compras y pagos de productos y servicios con ella, de cualquier importe[1] ¿Y cómo consiguen los datos de tu tarjeta? Pues los ciberdelincuentes pueden hacerlo de distintas maneras, una de las más comunes, consiste en realizar campañas de phishing, enviando correos fraudulentos con los que hacerte creer que vas a realizar una compra en una página, pero que se trate de una página fraudulenta o que imita la original para que escribas en ella los datos de tu tarjeta[2]. Otra opción para hacerse con los datos de la tarjeta consiste en la técnica del vishing que es un tipo de ataque de ingeniería social en el que los estafadores se hacen pasar por una empresa o entidad de confianza, como un banco, mediante una llamada telefónica. Los ciberdelincuentes falsifican el número de teléfono del remitente durante la llamada, haciendo que parezca provenir de una fuente legítima o de confianza.

Ok Diario ha publicado el pasado 4 de enero, la historia de una víctima de la técnica de Carding. El afectado recibió una llamada de un sujeto que afirmaba ser del equipo de seguridad de ING, alertándole sobre un presunto acceso no autorizado a sus cuentas desde la provincia de Cádiz, utilizando un iPhone 7. Utilizando el argumento de proteger su dinero, el estafador presentó dos opciones: visitar una oficina de ING o seguir instrucciones por teléfono para asegurar sus fondos en una cuenta segura durante la «duración de la incidencia». La víctima comenzó a sospechar de la legitimidad de la llamada de seguridad, preocupado por la autenticidad del interlocutor. Ante sus dudas, el estafador proporcionó una respuesta persuasiva: les instó a colgar y verificar en línea el número desde el que se realizaba la llamada, el cual coincidía con el teléfono registrado de la sucursal de ING en la calle O’Donnell de Madrid. Detalles convincentes, como la reproducción del tono de espera de ING y el ambiente de una oficina con voces de otros empleados, así como el acento español de su interlocutor, reforzaron la creencia del afectado en la legitimidad de la llamada, que siguiendo las indicaciones del estafador, transfirió su dinero a una supuesta «cuenta segura» de ING, resultando en la pérdida total de sus fondos en tan solo 25 minutos. Al día siguiente, decidió llamar al número desde el cual recibió la llamada inicial. Para su sorpresa, esta vez, estaba en comunicación con el verdadero ING, confirmándole que había sido víctima de una estafa. La víctima interpuso una queja a la entidad, que no atendió por entender que las operaciones se llevaron a cabo con la validación móvil enviada al dispositivo usual del cliente, considerando que su presunta «falta de diligencia» en la custodia de sus elementos de seguridad y datos personales, exime a la entidad del reembolso de los fondos[3].

Sobre estos supuestos, se han pronunciado diferentes Audiencias Provinciales, determinando la responsabilidad de las entidades financieras ante este tipo de ataques informáticos, apuntando que no puede entenderse que hubiera falta de diligencia de las víctimas de los ataques, destacamos entre otras las siguientes: SAP de Cáceres, Sección 1ª, nº 132/2022 de 16 de febrero, Rec. 1370/2021, SAP Cuenca, Sección 1ª, nº 350/2021, de 2 de noviembre, rec. 278/2021 y la SAP Madrid, Sección 11ª, nº 74/2022 de 28 de febrero, rec. 35/2021.

Sacristán&Rivas Abogados recomienda a todos aquellos que hayan sido víctimas de un ciberfraude, acudir, tan pronto sea posible, a expertos cualificados en la materia para la realización de un estudio del caso concreto y de las posibilidades de defensa, estando este Despacho especializado en este tipo de reclamaciones y a su disposición a tales efectos.

Sacristán&Rivas Abogados

 

[1] ¿Qué es el carding? | BBVA

[2] Fraudes financieros | SACRISTÁN&RIVAS ABOGADOSSACRISTÁN&RIVAS ABOGADOS (sacristan-rivas.es)

[3] La estafa con la que una familia perdió todo en menos de 25 minutos: que no te la juegen (okdiario.com)