### Así evalúan los ciberdelincuentes las tiendas de tarjetas robadas: calidad, reputación y supervivencia
#### 1. Introducción
En los mercados clandestinos de la ciberdelincuencia, la confianza no es un valor inherente, sino una característica que debe ser verificada meticulosamente. Flare, empresa especializada en inteligencia de amenazas, ha publicado un análisis detallado sobre cómo los actores maliciosos utilizan guías y tutoriales en foros underground para determinar la fiabilidad de los carding shops, es decir, las tiendas que venden datos de tarjetas de crédito robadas. Este proceso, lejos de ser aleatorio, implica criterios técnicos muy precisos y prácticas sistematizadas que han evolucionado al ritmo de la persecución policial, la sofisticación de los controles antifraude y la profesionalización de los propios cibercriminales.
#### 2. Contexto del Incidente o Vulnerabilidad
El comercio de tarjetas de crédito robadas representa una de las actividades más lucrativas y extendidas en la economía sumergida digital. Desde foros en la dark web hasta canales semi-públicos en Telegram y Discord, las carding shops constituyen nodos esenciales donde se intercambian datos financieros obtenidos mediante phishing, skimming, infostealers o vulnerabilidades como las recogidas en el CVE-2023-34362 (MOVEit Transfer) o el reciente CVE-2024-21412 (Windows SmartScreen). El problema para los actores maliciosos es que no todas las tiendas son igual de fiables ni ofrecen el mismo nivel de anonimato, supervivencia ante las fuerzas de seguridad o calidad en los datos vendidos.
#### 3. Detalles Técnicos
##### Evaluación de Carding Shops: Criterios y Técnicas
Las guías de evaluación, ampliamente difundidas en foros underground como XSS, Exploit.in o BreachForums, recomiendan a los compradores potenciales analizar:
– **Calidad de los datos**: Se verifica si las tarjetas incluyen información completa (número, fecha de vencimiento, CVV, dirección, teléfono), si están activas y su país de origen. Los scripts automatizados, frecuentemente desarrollados en Python o integrados en frameworks como Metasploit, permiten comprobar lotes de tarjetas contra servicios de verificación online antes de la compra.
– **Reputación y tiempo de actividad**: La longevidad de la tienda y el feedback de otros usuarios son determinantes. Para ello, algunos foros emplean sistemas de puntuación y escrow, y se utilizan indicadores como el número de ventas exitosas y la rapidez en la atención de reclamaciones.
– **Supervivencia ante cierres**: Las guías advierten de los riesgos de operar en tiendas que rotan dominios constantemente, no emplean mecanismos antifraude sólidos o carecen de soporte tras compras fallidas. Se analiza la infraestructura (por ejemplo, si usan servicios de DDoS protection, servidores offshore, integración con criptomonedas como Monero o Bitcoin con mixers).
– **IoC y TTPs**: Según MITRE ATT&CK, los TTPs relevantes incluyen el uso de técnicas de evasión (T1556 – Modify Authentication Process), exfiltración encriptada (T1041 – Exfiltration Over C2 Channel) y abuso de cuentas privilegiadas (T1078).
##### Explotación y Herramientas
Herramientas como Cobalt Strike, Genesis Market y plugins para navegadores que suplantan huellas digitales se emplean tanto para robar los datos como para automatizar procesos de compra y “carding”. Además, los propios foros distribuyen exploits recientes y manuales para eludir controles de bin-checkers o mecanismos de validación de tiendas legítimas.
#### 4. Impacto y Riesgos
Se estima que el mercado global de tarjetas comprometidas mueve anualmente más de 1.200 millones de dólares, con un crecimiento del 20% anual, favorecido por filtraciones masivas y la digitalización del fraude. Para las organizaciones, el riesgo va más allá del fraude directo: la exposición de tarjetas puede acarrear sanciones bajo el GDPR (hasta el 4% de la facturación anual) y, con la inminente entrada en vigor de la Directiva NIS2, las obligaciones de notificación y protección se endurecen aún más.
#### 5. Medidas de Mitigación y Recomendaciones
Para los equipos de seguridad y cumplimiento, las recomendaciones incluyen:
– Implementar soluciones de threat intelligence capaces de monitorizar foros underground y detectar la aparición de lotes de tarjetas asociadas a la organización.
– Fortalecer el uso de MFA y monitorización de anomalías en transacciones.
– Concienciar al personal y clientes sobre técnicas de phishing y smishing.
– Revisar la postura de cumplimiento PCI DSS y adaptar los controles a las nuevas exigencias de NIS2.
– Colaborar con entidades bancarias y fuerzas de seguridad para la notificación y mitigación rápida ante filtraciones.
#### 6. Opinión de Expertos
Analistas de threat hunting de Flare y consultores independientes como Brian Krebs coinciden en que la sofisticación de las guías y el uso de técnicas OSINT para evaluar la reputación de las tiendas es una muestra del alto grado de profesionalización de la economía criminal. Subrayan la importancia de anticiparse a la aparición de nuevos carding shops y de compartir información en tiempo real entre entidades afectadas.
#### 7. Implicaciones para Empresas y Usuarios
Para las empresas, la aparición de sus tarjetas (corporativas, de empleados o clientes) en tiendas underground puede suponer un daño reputacional y económico significativo, así como responsabilidades legales bajo la regulación europea. Para los usuarios, el principal riesgo es el fraude financiero y la usurpación de identidad, con las consiguientes complicaciones en la recuperación de fondos y saneamiento de la información comprometida.
#### 8. Conclusiones
La verificación de la confianza en el mercado del cibercrimen es un proceso técnico y sistemático, basado en la evaluación de datos, reputación y resiliencia de las carding shops. Las empresas deben reforzar sus capacidades de inteligencia de amenazas y respuesta ante incidentes para anticipar, detectar y mitigar la exposición de datos financieros en estos entornos cada vez más profesionalizados y resilientes.
(Fuente: www.bleepingcomputer.com)