El carding es una forma de fraude con tarjetas que sigue muy presente en el comercio digital. Básicamente, consiste en usar datos robados de tarjetas para hacer compras no autorizadas o para comprobar qué tarjetas siguen activas y funcionan. INCIBE define el carding como un fraude en el que los ciberdelincuentes utilizan información de tarjetas robadas para realizar transacciones no autorizadas, y añade que una señal típica son las pequeñas compras de prueba que a veces pasan desapercibidas antes de un cargo mayor.
La parte más incómoda de este fraude es que muchas víctimas no detectan el problema al instante. A veces no pierden físicamente la tarjeta y ni siquiera recuerdan haberla usado en una web sospechosa. El Banco de España explica que el uso fraudulento puede producirse por robo, extravío, clonación o robo de datos, y recuerda que, si detectas un cargo que no reconoces, debes avisar cuanto antes a tu entidad, aunque legalmente dispongas de hasta 13 meses para reclamar desde el adeudo.
¿Qué significa carding?
El término carding viene de “card”, tarjeta en inglés, y se usa para describir el fraude basado en el uso ilícito de datos de tarjetas bancarias. INCIBE lo define como un fraude en el que los ciberdelincuentes recopilan información de tarjetas robadas y la emplean para realizar operaciones no autorizadas. La Guardia Civil utiliza una definición muy parecida cuando habla del “método carding” en investigaciones sobre estafas con tarjetas.
En la práctica, el carding no siempre empieza con una compra grande. INCIBE explica que los delincuentes suelen hacer antes pequeñas operaciones para verificar que la tarjeta sigue activa y que los datos funcionan. Esa comprobación previa es importante porque ayuda a entender por qué, a veces, la primera pista de fraude no es un cargo enorme, sino un importe pequeño y raro que el titular casi pasa por alto.
Por eso, si te preguntas cómo saber si han usado tu tarjeta, una señal bastante típica es ver micropagos, cargos de importe muy bajo, comercios que no reconoces o intentos de compra que llegan por alerta SMS o app del banco. El Banco de España insiste en revisar los extractos y comunicar inmediatamente los cargos no reconocidos a la entidad, precisamente para cortar el fraude antes de que escale a operaciones mayores.
¿Qué datos no debes dar de tu tarjeta?
Número, fecha de caducidad y CVV
Los tres datos más sensibles de una tarjeta para compras online son el número, la fecha de caducidad y el CVV o CVC. El Banco de España recuerda que esos datos son información sensible y delicada que debe protegerse para evitar un uso fraudulento. También explica que históricamente han sido los datos básicos que se pedían en muchas compras por internet, aunque hoy se refuercen con sistemas adicionales de autenticación.
Eso significa que no debes facilitar esos datos en formularios que te lleguen por correo, SMS, mensajería o llamada, especialmente si el mensaje te mete prisa o te habla de bloqueos, reembolsos o incidencias. INCIBE lleva tiempo alertando de campañas en las que, tras un enlace fraudulento, se pide precisamente el número de tarjeta, la fecha de expiración y el código CVV con excusas aparentemente creíbles.
PIN, códigos de verificación y claves de banca online
Tampoco debes compartir el PIN, los códigos de verificación que recibes por SMS o app, ni las credenciales de acceso a la banca online. INCIBE advierte de fraudes por vishing y smishing en los que los estafadores piden esos códigos para autorizar operaciones que ya están intentando ejecutar con tus datos. En otras campañas, directamente buscan robar el acceso a la banca online para vaciar cuentas o validar compras.
Aquí hay una regla sencilla que casi siempre funciona: si alguien te pide por teléfono o por mensaje un código que acaba de llegarte al móvil, mala señal. Esos códigos están pensados para que tú autorices operaciones, no para dictárselos a nadie. INCIBE insiste en que los bancos legítimos no deberían dirigirte a enlaces de inicio de sesión por correo o SMS ni pedirte que les comuniques esos códigos.
Fotos de la tarjeta y datos guardados sin control
También conviene evitar algo que mucha gente ve como inofensivo: enviar fotos de la tarjeta por mensajería, correo o redes, o guardar esos datos sin control en webs o dispositivos. El Banco de España recuerda qué elementos visibles tiene una tarjeta, incluido el CVV en el reverso, y ese simple recordatorio ya deja claro que una foto bien enfocada puede dar a un tercero casi todo lo necesario para intentar pagos online.
Si además vas a comprar por internet, INCIBE recomienda utilizar métodos de pago seguros y pasarelas que añadan una capa de protección, como la doble verificación, para que el comercio no tenga que manejar directamente todos tus datos financieros. Cuantas menos veces escribas los datos reales de tu tarjeta en sitios distintos, menos superficie de riesgo dejas abierta.
¿Cómo funciona el «carding»?
Primero consiguen un listado de tarjetas
El carding empieza cuando los delincuentes obtienen datos de tarjetas válidas o potencialmente válidas. INCIBE explica que, una vez tienen un listado de tarjetas robadas, los atacantes prueban cuáles siguen funcionando. A partir de ahí, separan las válidas para venderlas o para usarlas directamente en compras fraudulentas.
Esa fase previa es importante porque desmonta la idea de que el fraude siempre empieza con una gran compra. Muchas veces empieza con un simple intento de validación. Y por eso, cuando una víctima revisa su cuenta, lo primero que ve puede ser un cargo minúsculo, no un desastre enorme.
Después prueban las tarjetas con compras pequeñas
INCIBE señala que los ciberdelincuentes suelen apoyarse en bots que hacen pequeñas compras repetidas en comercios electrónicos hasta encontrar tarjetas operativas. Esas operaciones de baja cuantía suelen pasar desapercibidas para el titular, sobre todo si no revisa con frecuencia la app o los extractos de la cuenta.
Por eso, una de las formas más realistas de saber si han usado tu tarjeta es detectar ese patrón de cargo pequeño raro + comercio desconocido + posterior intento mayor. No siempre ocurre exactamente así, pero es uno de los comportamientos típicos descritos por INCIBE. El Banco de España, además, recomienda revisar los movimientos y comunicar de inmediato cualquier pago no reconocido para evitar que el problema continúe.
Si cuela, pasan a cargos más serios
Cuando los delincuentes comprueban que la tarjeta funciona, pueden dar el salto a compras de mayor importe o vender esos datos a otros criminales. INCIBE describe justamente esa secuencia: primero validan, luego agrupan las tarjetas útiles y después las explotan o las comercializan.
Desde el punto de vista de la víctima, aquí lo más importante es actuar rápido. El Banco de España explica que, si no reconoces la autoría de una operación y no has actuado con fraude o negligencia grave, tu banco debe reembolsarte de inmediato los fondos detraídos, salvo que pueda acreditar lo contrario. Además, una vez comunicas el problema, no debes asumir los cargos no autorizados que se produzcan después de esa comunicación.
¿Cómo consiguen los datos de las tarjetas los ciberdelincuentes?
Los obtienen por varias vías. INCIBE menciona algunas bastante claras: el phishing, los keyloggers que registran pulsaciones del teclado, el uso de skimmers en lectores de tarjetas y la compra de datos robados en entornos delictivos de internet. También señala que una fuente frecuente son los listados de tarjetas que circulan tras robos de información.
A eso se suma la ingeniería social. INCIBE ha documentado campañas de smishing y phishing bancario en las que el objetivo es llevar a la víctima a una web falsa para robar credenciales, datos personales y datos de la tarjeta. En otros casos, los delincuentes llaman por teléfono, se hacen pasar por el banco y convencen a la persona para que facilite códigos de seguridad o acceso a la app bancaria.
También hay riesgos técnicos más silenciosos. INCIBE recuerda que las conexiones inseguras pueden permitir la interceptación de información sensible, incluidos números de tarjetas, y en su guía de compra segura insiste en comprobar que la web usa HTTPS, que el certificado es válido y que corresponde realmente al sitio donde estás comprando. No es una garantía absoluta, pero sí una barrera mínima sensata.
Y, por supuesto, existe el factor humano de siempre: webs poco fiables, marketplaces sin garantías o servicios donde introduces tus datos con demasiada ligereza. El Banco de España recomienda extremar la precaución al comprar en páginas no conocidas o en plataformas que no ofrezcan garantías suficientes, porque pueden ser utilizadas por estafadores.
¿Qué podemos hacer para prevenir?
Proteger los datos y no darlos fuera de contexto
La primera medida es la más básica: no compartir los datos sensibles de la tarjeta ni las claves asociadas fuera de los canales legítimos. Eso incluye no dar por teléfono el CVV, no reenviar códigos SMS, no introducir credenciales bancarias desde enlaces recibidos por mensajes y no dejar fotos de la tarjeta circulando por el móvil. El Banco de España e INCIBE coinciden en que esos elementos son sensibles y que los fraudes de phishing, smishing y vishing los buscan precisamente para autorizar pagos o tomar el control de la cuenta.
Comprar solo en webs seguras y con autenticación reforzada
La segunda medida es revisar dónde pagas. INCIBE recomienda comprobar que la web utiliza HTTPS, que el certificado es válido y que la página cuenta con mecanismos de seguridad adecuados. El Banco de España añade que la autenticación reforzada ha endurecido la seguridad de muchas compras online, porque el número de tarjeta, la fecha y el CVV ya no deberían bastar por sí solos en muchos pagos.
También puede ayudar usar métodos que limiten la exposición, como tarjetas prepago, tarjetas virtuales o tarjetas con CVV dinámico. El Banco de España destaca que las tarjetas prepago son habituales en compras por internet porque limitan la pérdida al importe recargado, y también menciona innovaciones como tarjetas sin numeración visible o con CVV dinámico para reducir el riesgo en caso de robo o uso indebido.
Revisar movimientos y activar alertas
La tercera medida es menos glamourosa, pero muy eficaz: mirar los movimientos. El Banco de España recomienda comprobar los extractos y comunicar de inmediato cualquier cargo no reconocido. Eso es especialmente importante en fraudes como el carding, donde los primeros importes pueden ser muy pequeños. Si tu banco ofrece alertas por app, SMS o correo, activarlas puede ayudarte a detectar el problema cuando todavía está empezando.
Bloquear rápido y reclamar si ya sospechas
Si sospechas que han usado tu tarjeta, lo primero es avisar inmediatamente al banco y solicitar el bloqueo o apagado de la tarjeta desde la app, la web o el teléfono habilitado para estos casos. El Banco de España lo recomienda expresamente y añade que, según el caso, puede ser útil presentar denuncia ante Policía, Guardia Civil o juzgado.
Después toca reclamar por el cauce correcto. El Banco de España explica que primero debes reclamar ante la entidad y que, si no estás de acuerdo con la respuesta o no contestan en plazo, puedes acudir al propio Banco de España. En reclamaciones relacionadas con servicios de pago, el plazo de respuesta de la entidad es de 15 días hábiles.
