Un "eBay" para hackers: tu tarjeta bancaria puede comprarse en línea — con cashback y garantía de devolución
Las viejas medidas de protección no bastan ante las cadenas de producción automatizadas.
El fraude con tarjetas bancarias, a pesar de años de lucha contra este fenómeno, no ha desaparecido bajo la presión de los bancos y los sistemas de pago, sino que se ha reconvertido en un mercado de servicios en la sombra estable. Los autores del informe de Rapid7 describieron cómo las «tiendas de dumps» y las grandes plataformas han convertido el comercio de datos robados en escaparates cómodos con filtros, garantías y soporte, casi como en el comercio electrónico legítimo.
Este modelo Rapid7 lo llama carding-as-a-service («carding como servicio»). Se trata de ofertas integrales donde se venden juntos datos de tarjetas, herramientas de verificación y políticas de devolución. Además, a los datos de las tarjetas se añaden cada vez más datos personales de los titulares, por lo que el perjuicio supera los cargos directos y deriva en el robo de identidad y toma de control de cuentas.
El informe distingue tres tipos principales de «mercancía». Son conjuntos con los datos de la tarjeta y el código de seguridad, «dumps» con datos en bruto de la banda magnética para clonar la tarjeta y «fullz» con un perfil ampliado del titular, que incluye datos de contacto y otros identificadores. Las plataformas suelen ocultar las fuentes de las fugas, pero en los foros especializados se discuten con más frecuencia el phishing, las solapas y dispositivos físicos en terminales y cajeros automáticos, el malware para sistemas POS y los stealer de información, así como ataques a las páginas de pago mediante la inyección de scripts.
Rapid7 analizó por separado tres plataformas destacadas que siguen influyendo en el mercado: Findsome, UltimateShop y Brian's Club. Todas comparten una lógica de funcionamiento: búsqueda por BIN, país y «bases», indicación de la fecha de caducidad, del banco emisor y del precio, así como condiciones de devolución si el registro resulta no válido. Las plataformas se presentan como agregadores que compran lotes a vendedores externos y los revenden tras su propia «verificación de calidad», por lo que los mismos conjuntos pueden aparecer en varios sitios a la vez.
Findsome, según el informe, opera al menos desde 2019 y vende principalmente datos de tarjetas y «fullz», además de imponer acceso de pago para cuentas nuevas. UltimateShop opera al menos desde 2022 y depende en mayor medida de un pequeño grupo de vendedores grandes, lo que, según los autores, puede afectar la proporción de datos inválidos. Brian's Club existe desde 2014 y se distingue por su amplio surtido de «dumps» y por contar con una herramienta que facilita la preparación de datos para el clonado físico.
Las tres plataformas aceptan bitcoin, y Findsome, según Rapid7, también admite otras criptomonedas. Los administradores cambian con frecuencia los dominios en la red abierta para reducir el riesgo de bloqueos, y paralelamente crece el número de sitios clonados que se hacen pasar por «oficiales» y roban fondos a los compradores.
En la sección de estadísticas, los autores advierten que las cifras provienen de las propias plataformas y no pueden confirmarse de forma independiente. Según esos datos, la mayor cuota corresponde a Findsome, seguida de UltimateShop y Brian's Club. Entre las marcas, las más frecuentes son Visa y Mastercard, y geográficamente predominan los registros vinculados a EE. UU., con mucha menos frecuencia Canadá y el Reino Unido. El pico de publicaciones se produjo en noviembre y diciembre, lo que se relaciona con la temporada de rebajas.
Rapid7 espera que el mercado se desplace de los esquemas masivos con banda magnética hacia la venta de conjuntos «ricos» con datos personales, que sirven para el phishing, la toma de control de cuentas y otros ataques de identificación. En las recomendaciones para las empresas se mencionan la autenticación multifactor, las actualizaciones regulares, la protección de las páginas de pago contra inyecciones del lado del cliente y el monitoreo de las plataformas en la sombra para encontrar más rápido los datos filtrados y activar la reemisión de tarjetas y el restablecimiento de credenciales.