El carding es una técnica de fraude bien conocida en el ámbito de los pagos online. Consiste en probar masivamente números de tarjetas bancarias robadas o falsificadas utilizando el sitio web de un comercio como simple terreno de prueba.

El objetivo del defraudador no es realizar un pedido, sino comprobar qué tarjetas están activas y pueden utilizarse. Una vez identificadas las tarjetas válidas, las utilizará posteriormente para realizar compras fraudulentas en otros sitios web.

En algunos casos, las operaciones de carding realizadas mediante bots automatizados también buscan saturar los servicios de pago o incluso provocar la caída del sitio web del comercio.

Comprender el mecanismo del carding

El carding se basa en la velocidad y el volumen de intentos: se envía un gran número de solicitudes de autorización en muy poco tiempo.

El defraudador suele utilizar tarjetas identificadas por el mismo BIN (Bank Identification Number), que corresponde a los 8 primeros dígitos de la tarjeta, y las prueba de forma automatizada mediante scripts o bots.

Los números de tarjetas utilizados por los defraudadores pueden obtenerse de diferentes maneras:

  • compra de datos en foros ilegales
  • recuperación tras filtraciones de datos (phishing, malware, etc.)
  • robo directo de tarjetas en determinadas regiones del mundo durante su proceso de producción

Estos tests no tienen como objetivo comprar un producto. El sitio del comerciante se utiliza simplemente como herramienta de verificación, lo que genera numerosas solicitudes en poco tiempo y puede provocar varias consecuencias para el comercio:

  • Saturación de los servidores o bloqueo temporal por parte del proveedor de servicios de pago (PSP) debido a sospecha de fraude
  • Costes de autorización elevados y otros cargos aplicados por el proveedor de servicios de pago
  • Deterioro de la reputación ante los actores del ecosistema de pagos

Cómo reconocer y limitar los intentos de carding

Señales de alerta

Existen varios indicadores que pueden alertar al comerciante sobre una actividad sospechosa:

  • La misma dirección email o IP intenta múltiples transacciones con tarjetas diferentes
  • Los BIN o fechas de expiración suelen ser idénticos
  • Numerosos intentos fallidos seguidos de uno o dos pagos aceptados
  • Pedidos realizados en horarios inusuales, a menudo durante la noche
  • Un volumen elevado de actividad procedente de zonas geográficas poco habituales

Cómo reaccionar eficazmente

Para limitar los riesgos, se recomienda aplicar varias buenas prácticas:

  • Configurar reglas en el módulo de gestión de riesgos del Back Office de Lyra para identificar transacciones sospechosas (por ejemplo: recibir una alerta cuando una misma dirección de correo utilice más de 3 tarjetas en 5 minutos).
  • Activar un modo de monitorización, ya sea informativo o bloqueante, para recibir alertas inmediatas ante comportamientos sospechosos.
  • Implementar un CAPTCHA para frenar los intentos automatizados.
  • Supervisar los intentos de pago fallidos y evitar el envío del pedido en caso de duda, incluso si el pago ha sido autorizado.
  • Cancelar o reembolsar las transacciones sospechosas antes de su procesamiento.

Conclusión: proteger su sitio frente al carding

El carding puede tener un impacto significativo en la reputación del sitio web y la estabilidad técnica del comercio online. Aunque no siempre tiene como objetivo directo defraudar al comerciante, sí expone su actividad a riesgos técnicos y financieros importantes.

Aplicando medidas de protección simples y adaptadas, es posible bloquear este tipo de ataques y reforzar la seguridad del entorno de pago a largo plazo.