El pasado mes de julio tuvimos conocimiento de una estafa por Internet denominada “carding”, consistente en realizar compras fraudulentas por Internet con números de tarjetas de crédito ajenas o falsas. La operación “Proxy” de la Guardia Civil desmanteló una red internacional dedicada a este tipo de estafa, que se viene a sumar a otras viejas conocidas como el “phishing” o el “pharming”.
Hagamos memoria. El “phishing” es una modalidad de estafa online que consiste en hacerse, de forma ilícita, con datos de un usuario, tales como claves, números de cuentas bancarias o de tarjetas de crédito, para utilizarlos de manera fraudulenta. Por su parte, el “pharming” consiste en conducir al usuario a una página falsa con el fin de robarle la información personal, pero con técnicas diferentes al “phishing”: aquí el engañado es el equipo o PC, que cambia las direcciones URL correctas y lleva al usuario a destinos no deseados.
Carding: nueva forma de Phishing
El “carding” está íntimamente relacionado con el “phishing”, ya que los ciberdelincuentes se valen de esta última técnica para hacerse con datos de empresas de comercio electrónico a través de distintos programas. Los datos que sustraen son los relativos a las tarjetas de crédito, de ahí el término de “carding” (card es tarjeta en inglés). En el caso concreto de la operación “Proxy”, desarrollada en julio, los miembros de la red, residentes en Rusia, Vietnam, Perú, Ecuador y Estados Unidos, revendían los productos obtenidos fraudulentamente a precios inferiores al valor de mercado.
Según la Guardia Civil, las transacciones se realizaban facilitando identidades y datos de contacto falsos. Los datos eran remitidos a la organización mediante programas de mensajería instantánea a través de internet o bien por medio de correos electrónicos. Y para efectuar los pagos por las numeraciones, empleaban empresas de envío de dinero. En un comunicado, la Benemérita informó de que la operación “Proxy” se inició al detectar que uno de los detenidos había realizado vuelos por valor de 25.000 euros.
Los integrantes de la organización en España eran los responsables de adquirir todo tipo de productos con los números de las tarjetas bancarias. La temática de las adquisiciones era muy variada: desde billetes de avión o tren, artículos electrónicos audiovisuales, de telefonía móvil de última generación y, sobre todo, cupones de promoción o descuento de diferentes plataformas alojadas en sitios web.
El líder del grupo y sus principales colaboradores se repartían las principales funciones. De este modo, uno de ellos era el encargado de obtener las numeraciones en internet y gestionar operativamente las tarjetas, mientras que otros recibían las compras realizadas y captaban “clientes”. El resto serían colaboradores del grupo desarticulado o beneficiarios del uso ilícito.
Una forma que tienen los negocios online para evitar este tipo de estafa es limitar a un determinado número de intentos la introducción de datos relativos a la tarjeta de crédito. De esta manera se consigue que nadie pueda hacer alguna compra mediante un sistema de prueba/error. El Código Penal, en su artículo 248, regula el delito de estafa (aplicable para el “carding” y el “phishing”), que lo cometen “los que, con ánimo de lucro, y valiéndose de alguna manipulación informática o artificio semejante, consigan la transferencia no consentida de cualquier activo patrimonial en perjuicio de otro”.
La pena de prisión prevista es de seis meses a tres años, si la cuantía de lo defraudado excede de 400 euros. Para fijar la pena se tiene en cuenta el importe de lo defraudado o las relaciones entre el perjudicado y el defraudador, entre otros aspectos. También están sujetos a estas penas los que fabriquen, introduzcan, posean o faciliten programas de ordenador destinados a la comisión de estas estafas.
Trackbacks/Pingbacks