(TUTORIAL GRATIS) 𝐂𝐚𝐫𝐝𝐢𝐧𝐠: Cómo proteger tu tienda online de los delincuentes cibernéticos

1. CONCEPTOS BÁSICOS​
2. CÓMO OPERA UN CARDER A LA HORA DE REALIZAR UNA COMPRA ILEGÍTIMA​
3. IDENTIFICAR PATRONES COMUNES EN COMPRAS ILEGALES​
4. MÉTODOS EFECTIVOS PARA EVITAR COMPRAS ILEGALES EN TU TIENDA ONLINE​
5. CONCLUSIONES​

CONCEPTOS BÁSICOS SOBRE CARDING​

CARDING:​

El "carding" es una forma de fraude cibernético que implica el uso no autorizado de información de tarjetas de crédito o débito robadas o adquiridas ilegalmente.

¿En qué consiste?

Obtención de datos:

Los delincuentes obtienen la información de las tarjetas a través de diversos métodos, como:

Phishing: Envío de correos electrónicos o mensajes fraudulentos para engañar a las víctimas y obtener sus datos.

Malware: Uso de software malicioso para robar información de dispositivos infectados.

Violaciones de bases de datos: Acceso ilegal a bases de datos que contienen información de tarjetas.

Compra en la dark web: Adquisición de datos de tarjetas robadas en mercados clandestinos en línea.

Skimming: uso de dispositivos para copiar la información de las tarjetas en cajeros automaticos o terminales de pago.

Uso fraudulento:

Una vez que tienen la información, los delincuentes la utilizan para:

Realizar compras en línea.

Comprar tarjetas de regalo o prepago.

Vender la información a otros delincuentes.

Realizar transacciones fraudulentas en general.

CARDER:​

Aquella persona que practica el Carding, sea cual sea el método o técnica siempre que esté relacionado.

CC: Se refiere a “Credit Card” ó “Tarjeta de Crédito” en español.

IP: Una dirección IP (Protocolo de Internet) es un conjunto de números que identifica de forma única un dispositivo (como una computadora, un teléfono inteligente o una tableta) en una red informática que utiliza Internet para comunicarse. Esencialmente, es como la dirección de tu casa, pero para tu dispositivo en Internet.

¿Cómo la usan los carders?

Los "carders" (personas que realizan carding) utilizan direcciones IP de diversas maneras para llevar a cabo sus actividades fraudulentas y evitar ser detectados:

Ocultar su identidad:

Los carders suelen utilizar redes privadas virtuales (VPN), servidores proxy o la red Tor para enmascarar su dirección IP real. Esto les permite ocultar su ubicación y dificultar el rastreo de sus actividades.

Al cambiar su dirección IP, pueden simular que están realizando transacciones desde diferentes ubicaciones, lo que dificulta la detección de patrones sospechosos.

Evadir la detección de fraudes:

Los sistemas de detección de fraudes suelen analizar las direcciones IP para identificar actividades sospechosas. Por ejemplo, si se realizan múltiples transacciones fraudulentas desde la misma dirección IP en un corto período de tiempo, el sistema puede generar una alerta.

Los carders cambian constantemente sus direcciones IP para evitar ser detectados por estos sistemas.

Realizar ataques desde múltiples ubicaciones:

Los carders pueden utilizar redes de bots (botnets) para realizar ataques desde múltiples direcciones IP simultáneamente. Esto les permite distribuir la carga y dificultar el rastreo del origen del ataque.

Acceder a servicios restringidos:

Algunos servicios en línea restringen el acceso a usuarios de determinadas ubicaciones geográficas. Los carders pueden utilizar direcciones IP de otros países para acceder a estos servicios.

VPN:​

Software que permite cambiar la dirección IP del propietario a otra de cualquier país,estado y ciudad del mundo.

FAKE:​

La palabra "fake" es un término inglés que se utiliza ampliamente en español y otros idiomas. Su significado principal es "falso" o "falsificado". Sin embargo, su uso puede variar dependiendo del contexto. Su uso más común en este contexto es:

Dirección FAKE: Dirección de envío o facturación falsa, normalmente generada por una página web o programa.

Dirección IP FAKE: Dirección IP que no es la real, cambiada por un VPN ó un servicio de proxys personalizado.

BIN o SERIE:​

El BIN (Bank Identification Number, o Número de Identificación Bancaria) es una secuencia de dígitos que aparece al principio de una tarjeta de crédito o débito. Sirve para identificar la institución que emitió la tarjeta y el tipo de tarjeta.

Composición: El BIN generalmente consta de los primeros 6 dígitos del número de la tarjeta.

Información: El BIN proporciona información sobre:

El banco o institución financiera que emitió la tarjeta.

La marca de la tarjeta (Visa, Mastercard, American Express, etc.).

El tipo de tarjeta (crédito, débito, prepago, etc.).

El país de origen de la tarjeta.

Utilidad: Los BIN son utilizados por los comercios y procesadores de pagos para verificar la validez de una tarjeta y prevenir el fraude.

Courier:​

Un "courier" es un servicio de mensajería especializado en la entrega rápida y segura de paquetes, documentos y otros envíos. A diferencia del correo postal tradicional, los couriers se caracterizan por: Ofrecer envíos internacionales, ofrecen un servicio de “casillero personalizado” a sus clientes y pueden utilizar una dirección de envío personalizada.

Chargeback:​

Un "chargeback" o contracargo es, en esencia, una reversión de una transacción financiera. Ocurre cuando un titular de tarjeta de crédito o débito disputa un cargo en su estado de cuenta y solicita a su banco o emisor de la tarjeta que revierta la transacción.

CÓMO OPERA UN CARDER A LA HORA DE REALIZAR UNA COMPRA ILEGÍTIMA​

Me voy a enfocar solo en lo que tú necesitas saber, ya que, esto no es un tutorial acerca de cómo ser carder, más bien, se trata de conocer lo suficiente de ellos para prevenir sus intentos de ataque hacia tus tiendas online.

Un carder, después de obtener una tarjeta de crédito de cualquiera de las maneras mencionadas en los conceptos básicos pretenderá utilizarla en una tienda online de su preferencia. Hay diversos patrones que los carders siguen a la hora de seleccionar su objetivo, esto con la finalidad de aprovecharse de vulnerabilidades para que así su compra sea enviada con éxito por parte del vendedor.

PATRONES QUE UTILIZA UN CARDER PARA ELEGIR SUS OBJETIVOS​

Tiendas online nuevas o con pocas ventas:

Normalmente este tipo de tiendas son nuevas no solo en ventas, si no más bien en conocimiento, por ende, no están preparados para detectar estos posibles fraudes, así que, por lo general, suelen enviar el pedido sin pensar mucho que ocurre detrás.

Tiendas online con pasarelas de pago en concreto.

Los carders suelen buscar tiendas online con pasarelas en concreto porque suelen admitir mayor cantidad de BIN de tarjetas de crédito y porque con el uso de diversas técnicas de búsqueda como “google dorks” pueden encontrar este tipo de tiendas fácilmente añadiendo parámetros específicos.

Una de las pasarelas de pago más atacadas es: Shopify. Esto no significa que sea una pasarela de pago con poca seguridad, de hecho, la pasarela te ofrece casi todas las señales para detectar un fraude que esta guía te va a dar, solo que las personas suelen obviarlas o no prestarle mucha atención siempre que vean el dinero en su cuenta bancaria.

Tiendas online con pasarelas de pago des-actualizadas.

Es importante mantener las actualizaciones de su tienda online al día, junto con todos los complementos de seguridad, esto podría hacer que los carders se aprovechen de algun tipo de vulnerabilidad en versiones viejas de pasarelas de pago.

Tiendas online que operan en modo automático con la modalidad “dropshipping”.

El dropshipping es un modelo de negocio muy popular y muy rentable, sin embargo, este tipo de tiendas suelen automatizar el proceso de compra y re-compra lo que hace que las ordenes no sean verificadas manualmente en busca de señales de fraude. Esto permite que los carders obtengan envíos casi 100% seguros de sus órdenes aunque tenga todas las señales de fraude activas en su pasarela de pago.

Tiendas online en general con métodos más profesionales.

Los carders son personas inteligentes, si cuentan con recursos y conocimiento suficiente, saben de las señales de fraude que sus mismas prácticas ocasionan en las diferentes pasarelas de pago. Esto hace que lo más profesionales puedan hacer compras fraudulentas incluso en tiendas populares como Amazon, Walmart, entre otros. Utilizando las técnicas correctas y tarjetas de crédito con datos del propietario en su totalidad, pueden lograr hacer compras que pasan casi por completo todas las pruebas de seguridad.

Una vez seleccionado su objetivo, que por lo general son varios, procederán a utilizar las tarjetas de crédito fraudulentas realizando compras de los productos más llamativos y valiosos de tu tienda online, usarán nombres falsos y muchas veces utilizarán una dirección de facturación FAKE, utilizando como único dato de posible rastreo una dirección de envío que, por lógica, tiene que dar a algún lugar. Esto no es un método fiable para seguir su rastro ya que, la mayoría de las veces, estos delincuentes utilizan habitaciones de alquiler para recibir sus paquetes u otras empresas que brindan un servicio de “casillero” y proporcionan una dirección para los envíos temporal.

MÉTODOS EFECTIVOS PARA EVITAR COMPRAS ILEGALES EN TU TIENDA ONLINE​

Mantén actualizada tu pasarela de pago y software de seguridad​

Mantener actualizada tu pasarela de pago y software de seguridad es una medida esencial para proteger tu negocio en línea y la información de tus clientes. Te explico por qué es tan importante y cómo puedes lograrlo:

Protección contra nuevas amenazas:​

Los delincuentes cibernéticos desarrollan constantemente nuevas técnicas para robar información y realizar fraudes como las compras ilegales. Las actualizaciones de software y pasarelas de pago suelen incluir parches de seguridad que corrigen vulnerabilidades y protegen contra estas amenazas emergentes.

Cumplimiento de normativas:​

Las normativas de seguridad, como el estándar PCI DSS para el procesamiento de pagos con tarjeta de crédito, se actualizan periódicamente. Mantener tu software y pasarela de pago actualizados te ayuda a cumplir con estas normativas y evitar sanciones.

Mejora del rendimiento:​

Las actualizaciones también pueden incluir mejoras en el rendimiento y la funcionalidad, lo que puede traducirse en una experiencia de pago más fluida y segura para tus clientes.

Activa la autenticación de dos factores (2FA)​

La 2FA requiere dos formas de verificación para acceder a una cuenta o en este caso, acceder al dinero de una tarjeta de crédito. La primera forma de verificación es conocer los datos de la tarjeta de crédito, este paso ya hemos explicado cómo lo obtienen los delincuentes. La segunda es un factor adicional, normalmente se le envía un código de seguridad de un solo uso al teléfono celular del propietario de la tarjeta o al correo electrónico del propietario. En algunos casos el propietario debe activar esta opción en su tarjeta por sí mismo y, en otros casos, el dueño de la tienda online podrá exigir esta verificación en todas sus ordenes (dependiendo de la tarjeta de crédito utilizada). Esta es de las mejores formas en las que puedes protegerte de las compras ilícitas.

Revisa manualmente las órdenes de compra​

No dejes las ordenes en automático, tampoco te confíes solo de que el dinero haya sido puesto en tu cuenta bancaria, esto puede fácilmente entrar en conflicto si la compra ha sido un fraude. Debes revisar manualmente y a detalle cada orden de compra.

Identifica que los datos concuerden utilizando la lógica​

Debes leer la orden de compra y comparar los siguientes datos:

• Que el nombre en el campo “titular” concuerde con el nombre de la tarjeta.
• Que la dirección de facturación sea igual a la dirección de facturación de la tarjeta.
• Que el lugar donde se realizó la compra sea igual al país (al menos) donde se haya emitido la tarjeta.
• El número de intentos al realizar la compra. (1 solo intento, si es más es una señal de sospecha)
• Que la dirección de envío sea a un domicilio personal y no a un courier o dirección alquilada.

Si utilizas Shopify, analiza las señales de fraude​

Todos los indicativos que te he dado, al utilizar la pasarela de pago Shopify, se te mostrarán en cada orden que, a su vez, estará marcada con un color o índice de fraude: Rojo es “Alto riesgo de fruade”, Amarillo es “riesgo medio de fraude” y Verde es “todo esta bien”. Sin embargo, aun si una compra está en verde, puedes solicitar información adicional, y, si una compra está en roja, puedes recurrir a todos los medios antes de cancelar la orden para validar la compra: Llamada telefónica, correo solicitando ID del titular de la tarjeta, entre otros.

La mejor forma es hablar​

Si quieres un método sencillo y efectivo independientemente de la pasarela de pago que utilices y todo lo demás puedes exigir una llamada de verificación para cada orden de compra, hablarás con quien hizo la compra y verificaras que realmente sea el titular y quien haya hecho la compra.

Filtra tu público objetivo​

Para evitar ordenes que ni siquiera quieres tener puedes bloquear tu tienda online para otros países excepto donde quieras vender tus productos.

Considera esperar un poco antes de enviar los pedidos​

Enviar el producto inmediatamente después de recibir una orden de compra puede ser un arma de doble filo, los -chargeback- serán el día a día en una orden fraudulenta y normalmente ocurren desde que se realizó la compra y durante las primeras 24-48 horas después. Es recomendable esperar este lapso de tiempo para aumentar las posibilidades de descartar una compra fraudulenta y así no tener disputas en tu cuenta bancaria.

No almacenes información sensible de tus clientes​

Guardar una base de datos en tu sitio web con información sensible de tus clientes como: tarjetas de crédito, hace que tu sitio web no solo esté vulnerable a compras ilegales sino que, además, pueda ser víctima de ataques para vulnerar tu base de datos y robar los datos de tus clientes.

Utiliza pasarelas de pago seguras y conocidas​

Utilizar pasarelas de pago seguras y conocidas es una decisión fundamental para cualquier negocio en línea que busque proteger tanto sus finanzas como la confianza de sus clientes. Aquí te explico por qué es tan importante y qué debes tener en cuenta:

¿Por qué es crucial elegir pasarelas de pago seguras y conocidas?​

Seguridad de las transacciones:

Las pasarelas de pago reputadas invierten fuertemente en medidas de seguridad para proteger la información confidencial de las tarjetas de crédito y otros datos sensibles. Esto incluye el cifrado de datos, la detección de fraudes y el cumplimiento de las normativas de seguridad como PCI DSS.

Confianza del cliente:

Los clientes se sienten más seguros al realizar compras en línea cuando reconocen la pasarela de pago. Las marcas conocidas generan confianza y reducen la ansiedad asociada con la introducción de datos financieros en línea.

Prevención de fraudes:

Las pasarelas de pago seguras utilizan algoritmos avanzados para detectar y prevenir transacciones fraudulentas. Esto ayuda a proteger tanto al comerciante como al cliente de pérdidas financieras.

Fiabilidad y estabilidad:

Las pasarelas de pago conocidas suelen tener una infraestructura sólida y fiable, lo que garantiza que las transacciones se procesen de forma rápida y sin interrupciones.

Conclusiones​

La seguridad de tu tienda online dependerá tanto de factor software como de factor humano, conocer cómo opera un carder ahora te permitirá identificar fácilmente una compra fraudulenta. Dentro del factor software comprende el uso de complementos de seguridad, pasarelas de pago reconocidas y confiables, mantenimiento y actualización del sitio web. Dentro del factor humano está la revisión manual de cada orden para identificar patrones comunes que utilizan los delincuentes cibernéticos, así como en los datos proporcionados en comparación con los datos de la tarjeta los cuales, en la mayoría de casos, tu pasarela de pago te dará indicaciones acerca de estas posibles compras fraudulentas.


Guía apoyada con IA en pequeñas cosas totalmente revisadas y aprobadas por mí

¡Hola! ¿Tienes alguna pregunta sobre la protección de tu tienda online? Estoy aquí para ayudarte.