La ciberdelincuencia es una máquina bien engrasada que mueve miles de millones de dólares al año. En los mercados de la dark web, ocultos a las fuerzas del orden y a la mayoría de los consumidores, los ciberdelincuentes compran y venden enormes cantidades de datos robados, así como las herramientas de piratería informática necesarias para obtenerlos.

Por ejemplo, se cree que hay 24.000 millones de nombres de usuario y contraseñas obtenidos ilegalmente que circulan por estos sitios. Uno de los datos más codiciados es el de las tarjetas de crédito, que los delincuentes compran al por mayor para cometer posteriores fraudes de identidad.

En los países que han implantado sistemas de chip y PIN (EMV), es difícil convertir estos datos en tarjetas clonadas. Por ello, lo más habitual es que se utilicen online en ataques de tarjeta no presencial (CNP). Los estafadores podrían utilizarla para comprar artículos de lujo para su posterior venta, o podrían comprar tarjetas de regalo al por mayor, otra forma popular de blanquear fondos obtenidos ilícitamente.

La magnitud del mercado de estas tarjetas es difícil de calcular. Sin embargo, los administradores del mayor mercado clandestino del mundo se han retirado recientemente después de haber ganado unos 358 millones de dólares.

Con esto en mente, ESET, compañía experta en ciberseguridad, saca a la luz las 5 formas más comunes en las que los ciberdelincuentes podrían obtener los datos de tu tarjeta de crédito, y cómo detenerlos:

  1. Phishing

El phishing es una de las técnicas más populares de los ciberdelincuentes para robar datos. En su forma más simple, se trata de una técnica en la que el ciberdelincuente se hace pasar por una entidad legítima (por ejemplo, un banco, un proveedor de comercio electrónico o una empresa de tecnología) para engañar al usuario para que divulgue sus datos personales o descargue involuntariamente un malware. A menudo animan a los usuarios a hacer clic en un enlace o a abrir un archivo adjunto. A veces esto lleva al usuario a una página de phishing, donde se le anima a introducir información personal y financiera. Se dice que el phishing ha alcanzado un máximo histórico en el primer trimestre de 2022.

Estas estafas han evolucionado en los últimos años. En lugar de un correo electrónico, hoy puedes recibir un mensaje de texto malicioso (SMS) de un pirata informático que se hace pasar por una empresa de reparto, una agencia gubernamental u otra organización de confianza. Los estafadores pueden incluso llamarte, de nuevo haciéndose pasar por una fuente de confianza, con el objetivo de obtener los datos de tu tarjeta. El phishing por SMS (smishing) se duplicó con creces en 2021, mientras que el phishing por voz (vishing) también aumentó, según un reciente estudio.

  1. Malware

El subsuelo de la ciberdelincuencia es un enorme mercado, no sólo de datos, sino también de programas maliciosos. A lo largo de los años se han diseñado diferentes tipos de códigos maliciosos para robar información. Algunos registran las pulsaciones del teclado, por ejemplo, cuando se introducen los datos de la tarjeta en un sitio de comercio electrónico o de banca. ¿Cómo consiguen los delincuentes introducir estas herramientas en tu dispositivo?

Los correos electrónicos o los mensajes de texto de suplantación de identidad son un método muy popular. Otro son los anuncios maliciosos online. En otros casos, pueden infectar sitios web populares y esperar a que los usuarios los visiten. Este tipo de malware se instala en cuanto se visita la página web infectada. El malware de robo de información también suele estar oculto dentro de aplicaciones móviles de apariencia legítima pero maliciosa.

  1. Skimming digital

A veces, los ciberdelincuentes también instalan programas maliciosos en las páginas de pago de las webs de comercio electrónico. Estos programas son invisibles para el usuario, pero se llevan los datos de la tarjeta a medida que se introducen. No hay mucho que los usuarios puedan hacer para estar seguros, aparte de comprar sólo en grandes marcas y sitios web, que probablemente sean más seguros. Las detecciones de skimming digital (también conocido como skimming de tarjetas online) aumentaron un 150% entre mayo y noviembre de 2021.

  1. Filtraciones de datos

A veces, los datos de las tarjetas son robados directamente de las empresas con las que haces negocios. Puede tratarse de un proveedor de servicios sanitarios, una tienda de comercio electrónico o una empresa de viajes. Esta es una forma más rentable de hacer las cosas desde el punto de vista del ciberdelincuente, porque en un solo ataque consiguen acceder a una gran cantidad de datos.

  1. Wi-Fi público

Cuando estás fuera de casa, puede ser tentador navegar por la red de forma gratuita en puntos de acceso Wi-Fi públicos, en aeropuertos, hoteles, cafeterías y otros espacios compartidos. Aunque tengas que pagar para unirte a la red, puede que no sea seguro si los ciberdelincuentes han hecho lo mismo. Pueden utilizar este acceso para espiar tus datos mientras los introduces.

Cómo proteger tu tarjeta de crédito

Afortunadamente, hay muchas maneras de mitigar el riesgo de que los datos de tu tarjeta caigan en manos equivocadas. Considera lo siguiente como un buen punto de partida:

  • Estate alerta: nunca respondas, hagas clic en los enlaces ni abras los archivos adjuntos de correos electrónicos no solicitados. Podrían estar llenos de malware. O pueden llevarte a páginas de phishing que parecen legítimas y en las que se te anima a introducir tus datos.
  • No divulgues ningún dato por teléfono, aunque la persona al otro lado parezca convincente. Pregunta desde dónde llaman y vuelve a llamar a esa organización para comprobarlo, aunque no utilices los números de contacto que te den.
  • No utilices Internet en redes Wi-Fi públicas, sobre todo si no tienes una red privada virtual (VPN). Si no tienes más remedio, no hagas nada que requiera que introduzcas los datos de la tarjeta (por ejemplo, compras online).
  • No guardes los datos de la tarjeta en las compras online o en otros sitios, aunque esto te ayude a ahorrar tiempo en futuras visitas. Esto reducirá las posibilidades de que se tomen los datos de tu tarjeta si esa empresa sufre una infracción, o si tu cuenta es secuestrada.
  • Descarga un antimalware, que incluya protección contra el phishing, de un proveedor de seguridad de confianza como ESET en todos los portátiles y dispositivos (por ejemplo, teléfonos y tabletas).
  • Utiliza la autenticación de múltiple factor en todas las cuentas sensibles. Esto reduce las posibilidades de que los piratas informáticos las abran con contraseñas robadas o suplantadas.
  • Descarga aplicaciones solamente de mercados legítimos (Apple App Store, Google Play).
  • Si haces alguna compra online, hazla sólo en sitios con HTTPS (debería aparecer un candado en la barra de direcciones del navegador junto a la URL). Así hay menos posibilidades de que los datos sean interceptados mientras se envían de tu dispositivo a la web, aunque esto no evita que haya webs fraudulentas con este tipo de certificados.