Impulsa tus cobros hoy mismo
+34 968 079 125
WhatsApp: +34 613 01 87 17
Síguenos en LinkedIn
Solicitar llamada gratis
Carding
  1. Glosario Financiero PayOk
  2. Carding

Carding

Índice [Ocultar] [Mostrar]

¿Qué es carding? Definición

El carding es un tipo de fraude con tarjetas que consiste en obtener, verificar y utilizar datos robados de tarjetas de crédito o débito para realizar compras no autorizadas o revender esa información en la dark web. Los delincuentes, conocidos como carders, explotan el canal de pago no presencial (CNP) porque no necesitan la tarjeta física para operar.

A diferencia de otros fraudes, el carding opera de forma escalonada. Primero se verifican los datos con compras de bajo importe (card testing) y, si la tarjeta responde, se ejecutan transacciones de mayor valor. Los períodos de alta actividad comercial (rebajas, Black Friday, Navidad) son especialmente críticos porque el volumen de operaciones legítimas enmascara los cargos fraudulentos.

Fraude de tarjetas conocido como carding

Cómo funciona el carding

El proceso sigue una cadena bien definida que combina ingeniería social, herramientas automatizadas y mercados clandestinos:

  • Obtención de datos. Los carders consiguen información de tarjetas mediante phishing, skimming en terminales físicos, malware que captura pulsaciones de teclado o compra directa de lotes en foros de la dark web.
  • Verificación automatizada (card testing). Bots especializados lanzan microtransacciones (a menudo de 0,01 - 1,00 €) contra pasarelas de pago con controles débiles. Cada intento exitoso confirma que la tarjeta está activa y que el CVV es correcto.
  • Explotación. Con los datos validados, se realizan compras de alto valor, se adquieren tarjetas regalo o tarjetas prepago difíciles de rastrear, o se financian monederos de criptomonedas.
  • Monetización. Los bienes adquiridos se revenden a precio reducido y los datos sobrantes se redistribuyen en canales cifrados.

Según la Federal Trade Commission (FTC), en 2024 se registraron más de 449.000 casos de robo de identidad vinculados a tarjetas de crédito solo en Estados Unidos, un incremento del 7 % respecto al año anterior.

Impacto normativo y seguridad aplicable en el carding

El marco regulatorio europeo proporciona varias capas de defensa contra el carding que todo comercio debe conocer:

PCI DSS v4.0 exige a cualquier entidad que almacene, procese o transmita datos de tarjeta el cumplimiento de 12 requisitos principales. Los más relevantes frente al carding son el Requisito 3 (proteger los datos de cuenta almacenados con criptografía sólida), el Requisito 6 (mantener sistemas protegidos frente a software malintencionado) y el Requisito 9.5.1 (proteger dispositivos POI contra manipulación y skimming).

PSD2 y la autenticación reforzada de cliente (SCA) obligan a aplicar al menos dos factores de autenticación en la mayoría de los pagos electrónicos dentro del Espacio Económico Europeo. El protocolo 3D Secure 2 es el estándar técnico que implementa esta exigencia y traslada la responsabilidad por fraude al emisor cuando la autenticación se completa correctamente. En España, esta obligación se transpone a través del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago.

Además, los esquemas de tarjetas imponen programas de monitorización de fraude y contracargos. Visa y Mastercard penalizan a los comercios que superan el 0,9 - 1 % de tasa de chargeback sobre sus ventas, pudiendo incluirlos en listas restrictivas (como la lista MATCH) que impiden la aceptación de pagos con tarjeta de forma indefinida.

Ventajas y desventajas operativas

AspectoVentaja para el comercioRiesgo si no se gestiona
SCA/3D SecureTraslada la responsabilidad al emisor en transacciones autenticadasFricción en el checkout que puede reducir la conversión si no se aplican exenciones correctamente
TokenizaciónSustituye el PAN real por un token sin valor fuera del sistema, reduciendo el alcance PCI DSSSi no se implementa extremo a extremo, los datos sensibles siguen expuestos en algún punto
Velocity checks y listas de bloqueoDetienen el card testing antes de que escale, limitando intentos por IP, BIN o dispositivoReglas demasiado agresivas bloquean clientes legítimos y generan falsos positivos
Monitorización en tiempo realDetecta patrones anómalos (múltiples tarjetas desde un mismo dispositivo, picos de microtransacciones)Sin revisión humana complementaria, los modelos automáticos pueden dejar pasar fraude sofisticado

La clave operativa es equilibrar seguridad y experiencia de compra. Un ecommerce que aplica 3D Secure de forma inteligente (solo cuando el riesgo lo justifica y usando exenciones de bajo riesgo previstas en PSD2) protege su ratio de contracargos sin sacrificar conversión.

Fuentes y lecturas relacionadas