Un “Todo incluido” muy caro

Las reservas online de alojamiento facilitan mucho la vida a hoteles, hostales, posadas, hospederías, apartamentos, etc. que pueden ofertar sus habitaciones y “packs económicos” a golpe de click. Las webs comparativas de precios hacen que contrastes y encuentres alojamiento en dos minutos y que reserves en uno más. Además, añaden que tres personas están viendo la misma oferta en ese momento y que queda siempre la última habitación disponible; te pones de los nervios y acabas reservando. Pero esas reservas rápidas y la omisión de determinadas comprobaciones están dando lugar a una picaresca creciente inusual, más típica del choro habitual ya con pelaje. Además del hotelero, es probable que tú, como usuario, también te encuentres con un cargo inesperado que te amargue el verano.

Anuncio de venta de tutoriales para duplicar tarjetas | Fuente: Silvia Barrera

Aunque se ha dado la voz de alarma en los alojamientos en período vacacional, le puede ocurrir a cualquier negocio que lleve el siguiente método de reserva.

El carding o “dump” no es un deporte de verano pero casi

El carding es un método choricesco antiguo que se basa en la utilización de numeraciones correspondientes a tarjetas de crédito/débito sin la autorización de sus legítimos titulares (que será la víctima indirecta y el daño colateral necesario), al adquirir cualquier tipo de producto o servicio online, entre ellos, el “todo incluido”.

La mecánica del fraude es muy simple por eso proliferan este tipo de prácticas entre particulares, que se convierten en delincuentes ocasionales (personas que delinquen aprovechando la oportunidad). Hay tutoriales, cursos, blogs y todo tipo de información para quienes quieran llevarlo a cabo así como la forma de evadir posibles investigaciones.

Anuncio de venta de tutorial para evitar ser investigado | Fuente: Silvia Barrera

El malo se da de alta en el servicio (alojamiento o la web intermediaria), que cumplimenta un formulario de registro necesario para efectuar el alta como cliente. Después, debe introducir el número de tarjeta de crédito/débito a la que se va a cargar el importe de la compra y la fecha de caducidad de la tarjeta (y en ocasiones, otros elementos de verificación complementarios). La pasarela de pago asociada a la entidad bancaria con la que la web intermediaria o el alojamiento ha concertado este mecanismo valida el número de la tarjeta utilizada por el cliente, pero no contrasta (ni puede) la identidad facilitada por el comprador con la identidad del titular de la tarjeta empleada.

Resumiendo, el hotel es el que pierde y asume las consecuencias del “sinpa” ya que el banco de la víctima de la tarjeta doblada o robada recupera su dinero y la entidad bancaria que autorizó la transacción de la reserva deniega la operación. El servicio de alojamiento debía haber comprobado la identidad del titular.

Aunque la compraventa y obtención ilícita de los datos de las tarjetas de crédito/débito sigue siendo el negocio de organizaciones de cibercriminales, cada vez es más fácil conseguir numeraciones de tarjetas o tarjetas dobladas en el mercado negro y provoca que personas que no son criminales profesionales, aprovechen el pillaje para convertirse en delincuentes ocasionales. No hay más que darse una vuelta por internet y la Deep web y encontramos lo siguiente:

Rateros ofertando sus servicios a través de anuncios y páginas webs, como si fueran auténticos negocios. Ofrecen tarjetas de compra, regalos y de crédito/débito a un precio inferior de su valor venal (de lo que realmente se puede obtener con ellas).

Web de venta de tarjetas duplicadas | Fuente: Silvia Barrera

Numeraciones de tarjetas robadas en foros, webs anónimas y en TOR . Si las numeraciones son “frescas”, se cotizan más caras, dependiendo del tiempo que ha transcurrido desde su obtención, su propietario o saldo. Si lleva la indicación de “live”, significa que funciona y que nadie más lo ha utilizado.

. Si las numeraciones son “frescas”, se cotizan más caras, dependiendo del tiempo que ha transcurrido desde su obtención, su propietario o saldo. Si lleva la indicación de “live”, significa que funciona y que nadie más lo ha utilizado. Intermediarios que elaboran los packs del fraude, numeraciones y otra información personal requerida para efectuar la reserva o la transacción bancaria, a cambio de un precio inferior al contratado para el viaje.

Anuncio ofertando servicios de carding | Fuente: Silvia Barrera

Si sois un comercio o servicio online de reserva, no penséis que por tener una dirección de correo, un teléfono de contacto o los datos técnicos del registro del alta y la operativa en vuestra web de los clientes, vais obtener indicios. El teléfono será falso, el email y la operación de reserva serán realizadas a través de una conexión wifi, pública u oculta a través de redes privadas virtuales o de TOR y la cuenta de correo a la que enviarás la confirmación de la reserva será anónima.

La delincuencia ocasional u oportunista es más difícil de investigar ya que no llevan una operativa frecuente (que deja más rastros o cometen errores) y no se disponen de datos precedentes de los autores. Es recomendable que los negocios lleven a cabo algún tipo de comprobación: verificación telefónica llamando desde el número de teléfono de la dirección de facturación, responder a un mensaje de voz o recibir un código en un número de teléfono, etc. Tras ello, cuando el cliente se presente en el hotel, se debe verificar que la identidad de la tarjeta de la reserva o el pago de señal es la misma de quien se presenta en el mostrador.

Por otra parte, si se te ha pasado por la cabeza o estás pensando en llevar a cabo un “sinpa” de este estilo, ten presente que no es una pillería, es un acto criminal, un fraude. Que las tarjetas se vendan con esa “libertad” o sean cada vez más accesibles, no quiere decir que sea un negocio legítimo. Si te vas de un hotel sin pagar, estás llevando a cabo un fraude continuado, empleando tarjetas de crédito que no son tuyas y, posteriormente, estafando al hotel.

Y, por último, la víctima indirecta del daño colateral, es decir, el titular legítimo de la numeración de la tarjeta doblada, por muchas precauciones que se tomen, no se puede evitar que los malos se hagan con los datos de nuestras tarjetas de crédito, bien porque la empresa o banco que custodia tus datos bancarios ha sido atacada y no te ha avisado (no te extrañes) o bien, porque a través de un dispositivo diseñado al efecto, te han clonado la banda magnética en un local en el que acabas de pagar. Aun así, aún hay salvación porque puedes solicitar que el banco restituya la cantidad estafada.